0
0
À medida que o ransomware continua a provar o quão devastador pode ser,uma das coisas mais assustadoras para os profissionais de segurança é a rapidez com que ele pode paralisar uma organização. Basta olhar para a Honda, que foi forçada a encerrar todas as operações globais em junho, e garmin, que teve seus serviços desligados por dias em julho.
Ransomware não é difícil de detectar, mas identificá-lo quando a criptografia e a exfiltração são desenfreadas é tarde demais. No entanto, existem vários sinais de alerta que as organizações podem capturar antes que o dano real seja feito. Na verdade, o FireEye descobriu que geralmente há três dias de tempo de moradia entre esses sinais de alerta precoce e a detonação de ransomware.
Então, como uma equipe de segurança acha esses sinais de alerta fracos, mas importantes? Um pouco surpreendentemente, talvez, a rede fornece um ponto de vista único para detectar a atividade de pré-criptografia de atores de ransomware, como aqueles por trás do Maze.
Aqui está um guia, discriminado pela categoria MITRE, dos muitos sinais de alerta que as organizações que estão sendo atacadas pelo ransomware Maze podem ver e agir antes que seja tarde demais.
Acesso inicial
Com os atores do Maze, existem vários vetores de acesso iniciais, como anexos de phishing e links, acesso remoto voltado para externos, comoo RDP(Remote Desktop Protocol) da Microsoft, e acesso via contas válidas. Tudo isso pode ser descoberto enquanto a rede ameaça a caça através do tráfego. Além disso, dado que isso representa a primeira incursão do ator no meio ambiente, detectar esse acesso inicial é a melhor aposta da organização para mitigar significativamente o impacto.
| Técnicas ATT&CK | Caçando… |
| T1193 Anexo de spear-phishing T1192 Spear-phishing link | Domínios inéditos ou recém-registrados, registradores exclusivosDoppelgangers de sua organização / domínios de parceiros ou Alexa top 500 |
| T133 Serviços remotos externos | RDP de entrada de dispositivos externos |
| T1078 Contas válidas | Senhas expostas em SMB, FTP, HTTP e outros usos claros de texto |
| T1190 Explorar aplicativo voltado para o público | Exposição e exploração de vulnerabilidades conhecidas |
Execução
A fase de execução ainda é cedo o suficiente em um ataque para desligá-la e frustrar qualquer tentativa de detonar ransomware. Os sinais de alerta comuns para observar na execução incluem usuários sendo enganados a clicar em um link ou anexo de phishing, ou quando certas ferramentas como o PsExec foram usadas no ambiente.
| Técnicas ATT&CK | Caçando… |
| T1024 Execução do usuário | Comportamentos de e-mail suspeitos de usuários e downloads associados |
| T1035 Execução de serviço | File IO over SMB usando PsExec, extraindo conteúdo em um sistema e, posteriormente, em outro sistema |
| T1028 Gerenciamento remoto do Windows | Conexões de gerenciamento remoto excluindo bons dispositivos conhecidos |
Persistência
Os adversários que usam o Maze contam com várias técnicas comuns, como um web shell em sistemas voltados para a internet e o uso de contas válidas obtidas dentro do ambiente. Uma vez que o adversário tem garantido uma base, ele começa a se tornar cada vez mais difícil mitigar o impacto.
| Técnicas ATT&CK | Caçando… |
| T1100 Concha web | Conexões de atividade exclusivas (por exemplo, portas atípicas e agentes de usuário) de conexões externas |
| T1078 Contas válidas | Cópia remota das lojas de arquivos KeePass em SMB ou HTTP |
Escalada de privilégios
À medida que um adversário ganha níveis mais altos de acesso, torna-se significativamente mais difícil captar sinais adicionais de atividade no ambiente. Para os atores de Maze, as técnicas utilizadas para persistência são semelhantes às da atividade privilegiada.
| Técnicas ATT&CK | Caçando… |
| T1100 Concha web | Web shells em sistemas externos voltados para web e gateway |
| T1078 Contas válidas | Cópia remota de arquivos de senha em SMB (por exemplo, arquivos com “passw”) |
Evasão de defesa
Para ocultar arquivos e seu acesso a diferentes sistemas, adversários como os que usam Maze renomearão arquivos, codificar, arquivar e usar outros mecanismos para ocultar seus rastros. As tentativas de esconder seus traços estão em si mesmas indicadores para caçar.
| Técnicas ATT&CK | Caçando… |
| T1027 Arquivos ou informações ofuscadas | Ferramentas adversárias por uso da porta, nome do emissor de certificados ou comunicações de protocolo desconhecidas |
| T1078 Contas válidas | Criação de novas contas a partir de estações de trabalho e outros dispositivos usados por não administradores |
Acesso credencial
Existem vários controles defensivos que podem ser colocados em prática para ajudar a limitar ou restringir o acesso a credenciais. Os caçadores de ameaças podem habilitar esse processo fornecendo consciência situacional sobre a higiene da rede, incluindo uso específico de ferramentas de ataque, tentativas de uso indevido de credenciais e senhas fracas ou inseguras.
| Técnicas ATT&CK | Caçando… |
| T110 Força bruta | RdP tentativas de força bruta contra contas de nomes de usuário conhecidas |
| T1081 Credenciais em arquivos | Senhas não criptografadas e arquivos de senha no ambiente |
Descoberta
Os adversários do labirinto usam uma série de métodos diferentes para reconhecimento interno e descoberta. Por exemplo, ferramentas e métodos de enumeração e coleta de dados deixam seu próprio rastro de evidências que podem ser identificadas antes que a exfiltração e criptografia ocorram.
| Técnicas ATT&CK | Caçando… |
| T1201 Descoberta de política de senha | Tráfego de dispositivos copiando a política de senhas de compartilhamentos de arquivosEnumeração da política de senha |
| T1018 Descoberta remota do sistemaT1087 Descoberta de contaT1016 Descoberta de configuração de rede do sistemaT1135 Descoberta de compartilhamento de redeT1083 Descoberta de arquivo e diretório | Enumeração para nomes de computadores, contas, conexões de rede, configurações de rede ou arquivos |
Movimento lateral
Os atores do Ransomware usam o movimento lateral para entender o ambiente, espalhar-se pela rede e, em seguida, coletar e preparar dados para criptografia/exfiltração.
| Técnicas ATT&CK | Caçando… |
| T1105 Cópia remota do arquivoT1077 Ações do administrador do Windows | Atividade suspeita de gravação de arquivo SMBUso do PsExec para copiar ferramentas de ataque ou acessar outros sistemasFerramentas de ataque copiadas em SMB |
| T1076 Protocolo de desktop remotoT1028 Gerenciamento remoto do WindowsT1097 Passe o bilhete | HTTP POST com o uso do agente de usuário WinRMEnumeração de recursos de gerenciamento remotoDispositivos não administrativos com atividade RDP |
Coleção
Nesta fase, os atores de Maze usam ferramentas e scripts em lote para coletar informações e se preparar para exfiltração. É típico encontrar arquivos ou arquivos .bat usando a extensão .7z ou .exe nesta fase.
| Técnicas ATT&CK | Caçando… |
| T1039 Dados da unidade de compartilhamento de rede | Atividade suspeita ou incomum de coleta de dados do sistema remoto |
Comando e controle (C2)
Muitos adversários usarão portas comuns ou ferramentas de acesso remoto para tentar obter e manter O C2, e os atores de Maze não são diferentes. Na pesquisa que minha equipe fez, também vimos o uso de túneis ICMP para se conectar à infraestrutura do atacante.
| Técnicas ATT&CK | Caçando… |
| T1043 Porta usada comumT1071 Protocolo padrão de camada de aplicativo | Chamadas do ICMP para endereços IPTráfego HTTP não-navegadorScript HTTP exclusivo como solicitações |
| T1105 Cópia remota do arquivo | Downloads de ferramentas de acesso remoto através de pesquisas de string |
| T1219 Ferramentas de acesso remoto | Cobalt strike BEACON e FTP para diretórios com cobalto no nome |
Exfiltração
Nesta fase, o risco de exposição de dados confidenciais no domínio público é terrível e significa que uma organização perdeu muitos dos sinais de alerta anteriores — agora trata-se de minimizar o impacto.
| Técnicas ATT&CK | Caçando… |
| T1030 Limites de tamanho de transferência de dados | Tráfego de dispositivos externos para destinos incomuns |
| T1048 Exfiltração sobre protocolo alternativo | Saída de FTP desconhecida |
| T1002: Dados comprimidos | Extração de arquivos |
Resumo
Ransomware nunca é uma boa notícia quando aparece na porta. No entanto, com a caça e monitoramento de ameaças de rede disciplinadas, é possível identificar um ataque no início do ciclo de vida. Muitos dos primeiros sinais de alerta são visíveis na rede e os caçadores de ameaças seriam bem servidos para identificá-los e, assim, ajudar a mitigar o impacto.
FONTE: HELPNET SECURITY