0
0
Agência Federal Comprometida por Ator Cibernético Malicioso
Resumo
Este Relatório de Análise utiliza a estrutura MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK®). Consulte a estrutura ATT&CK for Enterprise para todas as táticas e técnicas de ator de ameaças referenciadas.
A Agência de Segurança cibernética e segurança de infraestrutura (CISA) respondeu a um recente ataque cibernético do ator ameaça à rede corporativa de uma agência federal. Ao aproveitar as credenciais comprometidas, o ator de ameaças cibernéticas implantou malware sofisticado — incluindo malware em vários estágios que evitou a proteção anti-malware da agência afetada — e obteve acesso persistente através de dois proxies reversos do Socket Secure (SOCKS) que exploraram fraquezas no firewall da agência.
Para obter uma cópia para download de IOCs, consulte: AA20-268A.stix.
Descrição
A CISA tomou conhecimento — via EINSTEIN, sistema de detecção de intrusões da CISA que monitora redes civis federais — de um potencial compromisso da rede de uma agência federal. Em coordenação com a agência afetada, a CISA conduziu um engajamento de resposta a incidentes, confirmando atividades maliciosas. As informações a seguir são derivadas exclusivamente do engajamento da resposta a incidentes e fornecem táticas, técnicas e procedimentos do ator de ameaças, bem como indicadores de comprometimento que a CISA observou como parte do engajamento.
Atividade do ator de ameaças
O ator de ameaças cibernéticas tinha credenciais de acesso válidas para contas de administrador do Microsoft Office 365 (O365) de vários usuários e administradores de domínio, que eles aproveitaram para acesso inicial [TA0001] à rede da agência (Valid Accounts [T1078]). Primeiro, o ator de ameaças entrou na conta O365 de um usuário a partir do endereço IP (Internet Protocol) e, em seguida, navegou páginas em um site do SharePoint e baixou um arquivo (Data from Information Repositories: SharePoint [T1213.002]). O ator de ameaças cibernéticas conectado várias vezes pelo Protocolo de Controle de Transmissão (TCP) do endereço IP ao servidor VPN (Virtual Private Network, rede virtual de rede privada) da organização vítima(Exploit Public-Facing Application ) (Exploit Public-Facing Application )(Exploit Public-FacingApplication ).91.219.236[.]166185.86.151[.]223
Os analistas da CISA não foram capazes de determinar como o ator de ameaça cibernética obteve inicialmente as credenciais. É possível que o ator cibernético tenha obtido as credenciais de um servidor VPN de agência não reparada explorando uma vulnerabilidade conhecida — CVE-2019-11510 — no Pulse Secure (Exploração para Acesso Credencial [T1212]). Em abril de 2019, o Pulse Secure lançou patches para várias vulnerabilidades críticas — incluindo o CVE-2019-11510, que permite a recuperação remota e não autenticada de arquivos, incluindo senhas. [1 A CISA tem observado ampla exploração do CVE-2019-11510 em todo o governo federal. [2]
Após o acesso inicial, o ator de ameaças realizou o Discovery [TA0007] fazendo login em uma conta de e-mail da agência O365 e visualizando e baixando anexos de e-mail do help desk com “acesso intranet” e “senhas VPN” na linha de assunto, apesar de já ter acesso privilegiado (Email Collection [T1114], Credenciais Não Suspensas: Credenciais em Arquivos [T1552.001]). (Nota: esses e-mails não continham senhas.) O ator fez login na mesma conta de e-mail via Remote Desktop Protocol (RDP) a partir de endereço IP(External Remote Services [T1133]). O ator enumerou a chave do Active Directory and Group Policy e alterou uma chave de registro para a Política de Grupo (Manipulação de Contas [T1098]). Logo depois, o ator de ameaças usou processos comuns da linha de comando do Microsoft Windows—, , , , , , e , — para enumerar o sistema e a rede comprometidos (Command and Scripting Interpreter [T1059], System Network Configuration Discovery [T1016]).91.219.236[.]166207.220.1[.]3conhostipconfignetquerynetstatpingwhoamiplink.exe
O ator de ameaças cibernéticas então tentou várias vezes se conectar ao IP do servidor privado virtual (VPS) através de um cliente SMB (Windows Server Message Block, bloqueio de mensagens do servidor windows). Embora tenham se conectado e desconectado várias vezes, as conexões foram finalmente bem sucedidas. Durante o mesmo período, o ator usou uma conta de identificador seguro de pseudônimo que havia criado anteriormente para fazer login em VPS através de um compartilhamento de SMB. O invasor então executou em um servidor de arquivos da vítima (Interpretador de Comando e Scripting [T1059]). ( é uma versão de linha de comando do PuTTy que é usada para administração remota.)185.86.151[.]223185.86.151[.]223plink.exeplink.exe
O ator de ameaças cibernéticas estabeleceu persistência [TA0003] e comando e controle [TA0011] na rede de vítimas por (1) criar um persistente túnel Secure Socket Shell (SSH) /proxy SOCKS reverso, (2) executando (um malware único, multi-estágio usado para soltar arquivos) e (3) configurando um sistema remoto de compartilhamento local em endereço IP (Proxy [T1090]). O arquivo montado permitiu que o ator se movimentasse livremente durante suas operações, deixando menos artefatos para análise forense. Consulte a seção De malware do Ator de Ameaças para obter mais informações sobre o proxy SSH Tunnel/Reverse SOCKS e .inetinfo.exe78.27.70[.]237inetinfo.exe
O ator de ameaças cibernéticas criou uma conta local, que eles usaram para coleta de dados [TA0009], Exfiltração [TA0010], Persistência [TA0003], e Comando e Controle [TA0011] (Criar Conta [T1136]). O ator de ameaças cibernéticas usou a conta local para:
- Procure diretórios em um servidor de arquivos da vítima (Dados da Unidade de Rede Compartilhada [T1039]).
- Copie um arquivo do diretório doméstico de um usuário para seu compartilhamento remoto montado localmente (Data Staged [T1074]).
- Os analistas da CISA detectaram o ator de ameaças cibernéticas interagindo com outros arquivos nos diretórios domésticos dos usuários, mas não puderam confirmar se foram exfiltrados.
- Crie um proxy SOCKS SMB reverso que permitiu a conexão entre um VPS controlado por ator de ameaças cibernéticas e o servidor de arquivos da organização da vítima (consulte a seção De malware do ator de ameaças para obter mais informações) (Proxy [T1090]).
- Interaja com o módulo PowerShell (consulte a seção Malware do Ator de Ameaças para obter mais informações).
Invoke-TmpDavFS.psm - Exfiltrar dados de um diretório de conta e diretório de servidores de arquivos usando ( é um cliente do Microsoft Windows Terminal Services) (Dados do Sistema Local [T1005], Dados da Unidade Compartilhada de Rede [T1039]).
tsclienttsclient - Criar dois arquivos Zip compactados com vários arquivos e diretórios neles(Archive Collected Data [T1560]); é provável que o ator de ameaça cibernética exfiltrasse esses arquivos Zip, mas isso não pode ser confirmado porque o ator mascarava sua atividade.
Veja a figura 1 para a sequência das táticas e técnicas do ator de ameaças cibernéticas.
Figura 1: Táticas e técnicas de ator de ameaças cibernéticas
Malware do ator de ameaças
Proxy de túnel SSH /SOCKS reverso persistente
Enquanto estava logado como “Administrador”, o ator de ameaças cibernéticas criou duas Tarefas Programadas (ver tabela 1) que funcionaram em conjunto para estabelecer um túnel SSH persistente e reverter o proxy SOCKS. O proxy permitiu conexões entre um servidor remoto controlado por invasor e um dos servidores de arquivos da organização da vítima (Tarefa/Trabalho Programado [T1053], Proxy [T1090]). O Proxy de SOCKS reverso foi comunicado através da porta 8100 (Porta Não Padrão [T1571]). Esta porta normalmente está fechada, mas o malware do invasor a abriu.
Tabela 1: Tarefas programadas compondo túnel SSH e proxy SOCKS invertido
| Tarefa agendada | Descrição |
|---|---|
ShellExperienceHost.exe | Essa tarefa criou um túnel SSH persistente para servidor remoto controlado pelo invasor e forneceu o encaminhamento de porta para permitir conexões da porta do servidor remoto 39999 para o servidor de arquivos da vítima através da porta 8100. Esta tarefa era realizada diariamente.206.189.18[.]189ShellExperienceHost.exe é uma versão de , uma versão de linha de comando do PuTTy que é usado para administração remota.plink.exe |
WinDiag.exe | Esta tarefa é um proxy SOCKS reverso que é pré-configurado para vincular e ouvir na porta TCP 8100. recebeu respostas através do túnel SSH e encaminhou as respostas através da porta 8100 para o endereço IP VPS sobre a porta 443. Esta tarefa foi executada na bota.WinDiag.exe 185.193.127[.]17WinDiag.exe tinha informações compiladas que correspondiam ao nome de login VPS |
Malware dropper: inetinfo.exe
O ator de ameaça criou uma Tarefa Programada para executar inetinfo.exe (Scheduled Task/Job [T1053]). é um malware único e multi estágio usado para soltar arquivos (figura 2). Caiu e arquivos e uma segunda instância de . A partir da segunda instância de descriptografado como binário a partir da primeira instância de . O binário descriptografado foi injetado na segunda instância para criar e conectar-se a um túnel localmente chamado. O binário injetado então executou o shellcode na memória que se conectava ao endereço IP, o que resultou no download e execução de uma carga útil.inetinfo.exesystem.dll363691858inetinfo.exesystem.dllinetinfo.exe363691858inetinfo.exe363691858inetinfo.exe185.142.236[.]198
Figura 2: Malware de dropper inetinfo.exe
O ator de ameaças cibernéticas foi capaz de superar a proteção anti-malware da agência, e escapou da quarentena. Os analistas da CISA determinaram que o ator de ameaças cibernéticas acessou a chave de licença de software e o guia de instalação do produto anti-malware e, em seguida, visitou um diretório usado pelo produto para análise temporária de arquivos. Depois de acessar este diretório, o ator de ameaças cibernéticas foi capaz de executar (Defesas de Prejuízo: Desativar ou Modificar Ferramentas [T1562.001]).inetinfo.exeinetinfo.exe
Proxy de meias SMB reversa
O script PowerShell criou um proxy SOCKS SMB reverso que permitia a conexão entre o IP VPS controlado pelo invasor e o servidor de arquivos da organização vítima sobre a porta 443 (Command and Scripting Interpreter: Power Shell [T1059.001], Proxy [T1090]). O script PowerShell foi executado diariamente através de uma Tarefa Programada (Tarefa Programada/Trabalho [T1053]).HardwareEnumeration.ps1185.193.127[.]18HardwareEnumeration.ps1
HardwareEnumeration.ps1 é uma cópia de , uma ferramenta gratuita criada e distribuída por um pesquisador de segurança no GitHub. [3 O roteiro provavelmente foi alterado com as necessidades de configuração do ator de ameaças cibernéticas.Invoke-SocksProxy.ps1Invoke-SocksProxy.ps1
Módulo PowerShell: invoke-TmpDavFS.psm
invoke-TmpDavFS.psm é um módulo PowerShell que cria um servidor Web Distributed Authoring and Versioning (WebDAV) que pode ser montado como um sistema de arquivos e se comunica sobre a porta TCP 443 e a porta TCP 80. é distribuído no GitHub. [4 invoke-TmpDavFS.psm]
Solução
Indicadores de Compromisso
Os analistas da CISA identificaram vários endereços IP envolvidos nos múltiplos estágios do ataque descrito.
185.86.151[.]223– Comando e Controle (C2)91.219.236[.]166– C2207.220.1[.]3– C278.27.70[.]237– Exfiltração de Dados185.193.127[.]18– Persistência
Monitore o tráfego da rede para atividades incomuns
O CISA recomenda que as organizações monitorem o tráfego de rede para a seguinte atividade incomum.
- Portas abertas incomuns (por exemplo, porta 8100)
- Grandes arquivos de saída
- Protocolos inesperados e não aprovados, especialmente de saída para a internet (por exemplo, SSH, SMB, RDP)
Se os defensores da rede notarem qualquer uma das atividades acima, eles devem investigar.
Prevenção
A CISA recomenda que as organizações implementem as seguintes recomendações para proteger contra atividades identificadas neste relatório.
Implantar um Firewall Corporativo
As organizações devem implantar um firewall corporativo para controlar o que é permitido dentro e fora de sua rede.
Se a organização optar por não implantar um firewall corporativo, eles devem trabalhar com seu provedor de serviços de internet para garantir que o firewall seja configurado corretamente.
Bloquear portos nãousados
As organizações devem realizar um levantamento do tráfego dentro e fora de sua empresa para determinar os portos necessários para as funções organizacionais. Em seguida, eles devem configurar seu firewall para bloquear portas desnecessárias. A organização deve desenvolver um processo de controle de mudanças para fazer mudanças de controle nessas regras. De nota especial, as portas SMB, SSH e FTP nãousuculadas devem ser bloqueadas.
Recomendações adicionais
A CISA recomenda que as organizações implementem as seguintes práticas recomendadas.
- Implementar autenticação multifatorial, especialmente para contas privilegiadas.
- Use contas administrativas separadas em estações de trabalho de administração separadas.
- Implementar o princípio do menor privilégio no acesso aos dados.
- RdP seguro e outras soluções de acesso remoto usando autenticação multifatorial e “caixas de salto” para acesso.
- Implantar e manter ferramentas de defesa de ponto final em todos os pontos finais.
- Mantenha o software atualizado.
Referências
[1] Pulse Secure Security Advisory SA44101 Out-of-Cycle Advisory: Multiple vuln… (link
[2] Alerta CISA AA20-010A: Exploração Contínua do Pulso Seguro VPN Vulnerabil…
[3] Repositório gitHub para Invocação-SocksProxy
[4] Repositório do GitHub para Invoke-TmpDavFS
Revisões
24 de setembro de 2020: Versão Inicial
FONTE: CISA