0
0
Guardicore Labs expõe novos detalhes de uma campanha de ataque massivo apelidada Indexsinas (também conhecida como “NSABuffMiner”) que viola redes através de servidores SMB e faz uso agressivo do movimento lateral para se propagar. A campanha de ataque tem como alvo servidores Windows vulneráveis ao EternalBlue (MS17-010) e ainda infecta máquinas em todo o mundo.
A propagação é alcançada através da combinação de um scanner de porta de código aberto e três explorações do Equation Group – EternalBlue, DoublePulsar e EternalRomance. Essas façanhas são usadas para violar novas máquinas vítimas, obter acesso privilegiado e instalar backdoors. Essas façanhas ainda parecem ser altamente bem-sucedidas, apesar de terem sido tornadas públicas há quatro anos após sua primeira ocorrência nos ataques cibernéticos WannaCry e NotPetya. Indexsinas prova que as redes hoje são vulneráveis até mesmo a campanhas de ataque oportunistas e não direcionadas.
Escopo de Ataque
A campanha Indexsinas começou a atacar a Guardicore Global Sensors Network (GGSN) no início de 2019 e ainda está ativa hoje. Os sensores da Guardicore registraram mais de 2.000 ataques desde que começamos a rastrear a campanha.
Os ataques se originaram de mais de 1.300 fontes diferentes, com cada máquina responsável por apenas alguns incidentes de ataque. Os IPs de origem – que provavelmente serão vítimas dos próprios ataques – estão localizados principalmente nos EUA, Vietnã e Índia. A análise desses PIs demonstra que vários setores foram infectados pelo Indexsinas, incluindo hotéis, universidades, centros médicos, agências governamentais e empresas de telecomunicações.
Os atacantes Indexsinas são cuidadosos e calculados. A campanha vem em execução há anos com o mesmo domínio de comando e controle, hospedado na Coreia do Sul. O servidor C2 é altamente protegido, corrigido e não expõe portas redundantes à Internet. Os atacantes usam um pool de mineração privado para suas operações de criptografia, o que impede que qualquer pessoa acesse as estatísticas de suas carteiras.
Fluxo de Ataque
O fluxo de ataque consiste em muitos scripts em lote, cargas úteis executáveis, downloaders, serviços e tarefas agendadas. Uma característica proeminente da campanha é sua competitividade; ela encerra processos relacionados a outras campanhas de ataque, exclui seus resíduos do sistema de arquivos e interrompe os serviços criados por outros grupos de ataque. Ele também tenta evitar a detecção matando programas relacionados ao monitoramento e análise de processos. Além disso, ele se certifica de excluir seus próprios arquivos imediatamente após a execução.https://whimsical.com/embed/JB41vmcC4ixUuR5dsrXKpe
Violação e o Downloader do 1o Estágio
O ataque começa quando uma máquina é violada através de servidores RPC ou SMB, usando as ferramentas de exploração da NSA. Essas explorações executam código no kernel da vítima e são capazes de injetar cargas úteis em processos no modo de usuário usando chamadas de procedimento assíncrono (APCs). Indexsinas usa os exploits para injetar código no explorer.exe ou no lsass.exe. As cargas úteis injetadas – EternalBlue.dll para 32 bits e DoublePulsar.dll para 64 bits – baixam três arquivos executáveis do servidor C2 principal, conforme detalhado na tabela abaixo.
| Arquivos baixados no estágio #1 | |
| 32 bits | 64 bits |
| c64.exe | |
| iexplore.exe | services.exe |
| 86.exe | 64.exe |
Relatórios de Persistência, Acesso Remoto e C2 [86.exe, 64.exe]
Os arquivos 86.exe e 64.exe contêm uma DLL inteira e invertida, um arquivo portátil executável virado de cabeça para baixo, com “ZM” no final (em vez de “MZ” no início). Esta DLL é uma ferramenta de acesso remoto (RAT), uma versão do Gh0stCringe. Ele é descartado para um caminho aleatório e carregado na memória. Então, duas de suas funções exportadas são chamadas – Instalar e MainThread. O primeiro instala o RAT criando um serviço sob svchost, ou seja, cria uma chave de registro para o novo serviço com svchost.exe como executável e usa o caminho para a DLL como parâmetro ServiceDLL. A segunda função executa a funcionalidade principal. Ele aguarda comandos do C2 e reporta informações da máquina a ele – nome do computador, ID do grupo de malware, data de instalação e especificações técnicas da CPU. A ferramenta tem vários recursos; ela pode baixar e executar módulos adicionais, instalá-los como serviços e interagir com o usuário abrindo caixas de mensagem e apresentando URLs no Internet Explorer.
| Funções Exportadas da Ferramenta de Acesso Remoto (DLL) | |
| Nome da Exportação | Descrição |
| Instalar | Instala um serviço cuja imagem é a própria DLL. O serviço é executado sob svchost. |
| MainThread | Executa a comunicação C2; envia informações da máquina e recebe comandos C2. |
| Serviço Principal | Ganhe privilégios elevados obtendo o token do usuário SYSTEM. |
| Desinstalar | Remova o malware do sistema completamente. |
| DllUpdate | Atualiza a DLL para uma versão mais recente. |
Cryptominer [iexplore.exe, services.exe]
Os arquivos iexplore.exe e services.exe instalam dois serviços usando uma ferramenta mascarada como svchost.exe. O primeiro serviço – MicrosotMaims – é responsável por soltar um cryptominer através de um arquivo adicional chamado conhost.exe.
O segundo – MicrosotMaim – simplesmente executa o módulo cryptominer. O processo mineiro é chamadod1lhots.exe; ele é compilado a partir do XMRig, minera o Monero e é executado através da linha de comando abaixo.
| d1lhots -o stratum+tcp://a.ccmd.website:1188 -u Bing1 -k –max-cpu-usage=50 –donate-level=1 -r3 –asm=AUTO –print-time=3 –nicehash |
iexplore.exe elimina dois scripts adicionais. O primeiro – chosts.bat – é um script em lote que modifica as regras de firewall local usando ipsec e bloqueia qualquer tráfego de entrada para portas SMB e RPC (135, 137, 138, 139 e 445). O segundo script – tem.vbs – é usado para excluir o iexplore.exe e ele mesmo.
Propagação [c64.exe]
Outra carga útil que é baixada como parte do 1o estágio é o c64.exe, que por sua vez elimina dois arquivos. O primeiro é xfsxdel~.exe e é usado apenas para excluir c64.exe do disco. O segundo é ctfmon.exe – a ferramenta de propagação.
ctfmon.exe é responsável por encontrar vítimas em potencial e explorá-las usando as ferramentas do Equation Group – e faz isso de forma extremamente completa. Ele usa exploits para máquinas de 32 bits e 64 bits e verifica portas RPC (TCP 139) e SMB (TCP 445). Além disso, ele tenta se mover lateralmente dentro da rede organizacional, bem como se espalhar pela internet.
ctfmon.exe executa um script em lote same.bat. Este script inicia dois fluxos: um para movimento lateral dentro da rede e outro para se espalhar na internet. Os dois fluxos são semelhantes em sua sequência: Uma tarefa agendada diariamente executa um script em lote, que instala um serviço. O serviço executa outro script em lote que executa a varredura e exploração da porta. Os scripts em lote nesses fluxos também desinstalam os serviços dos concorrentes, encerram seus processos e excluem seus arquivos. Além disso, eles limpam traços antigos do Indexsinas.
- Movimento Lateral. A tarefa agendada At2 é executada diariamente. Ele executa um script em lote – wai.bat – que instala um serviço chamado MicrosoftMssql. O serviço executa bat.bat, que verifica intervalos de IP privados conhecidos.
- Verme da Internet. A tarefa agendada At1 é executada diariamente. Ele executa um script em lote – nei.bat – que instala um serviço chamado MicrosoftMysql. O serviço executa cmd.bat, que verifica a sub-rede de classe C do endereço IP público da vítima.
Indexsinas faz uso de um scanner de portas de código aberto chamado s que é compilado em um arquivo executável intitulado taskhost.exe. O scanner exibe uma lista de servidores cujas portas SMB estão abertas em um arquivo chamadoResults.txt. Então, cada IP nessa lista é atacado usando os exploits do Equation Group.
Após a exploração bem-sucedida, DoublePulsar.dll (para 64 bits) ou EternalBlue.dll (para 32 bits) são injetados no kernel da máquina vítima e o fluxo de ataque começa tudo de novo na máquina recém-infectada.
Detecção e Prevenção
Detecção
O Guardicore Labs publica uma ferramenta de detecção no PowerShell que identifica indicadores maliciosos de comprometimento em uma máquina Windows. Execute este script a partir de um prompt de linha de comando para ver se o sistema está infectado ou não. Instruções detalhadas podem ser encontradas no repositório Github da Guardicore Labs.
Prevenção com Visibilidade e Segmentação
Indexsinas e outras campanhas de ataque aproveitam servidores SMB vulneráveis para violar redes e se mover lateralmente dentro delas. Existem mais de 1 milhão de servidores SMB acessíveis a qualquer pessoa na internet, e muitos deles ainda vulneráveis ao MS-17010; é exatamente isso que torna o Indexsinas e campanhas de ataque semelhantes lucrativas.
As chaves para reconhecer pontos de entrada vulneráveis com sua organização e evitar que ataques se propaguem dentro da rede são visibilidade e segmentação.
É crucial que os administradores de rede, as equipes de TI e o pessoal de segurança possam identificar facilmente os ativos e os serviços que executam. Especificamente, deve ser fácil identificar servidores voltados para a Internet, incluindo PMEs.
Com a visibilidade em vigor, os administradores de rede gostariam de limitar o acesso de e para diferentes ativos e os serviços de rede que expõem.
A seguir estão exemplos de regras de políticas que podem proteger os servidores SMB da sua organização:
- O acesso da Internet por SMB não é permitido, exceto de certos endereços IP autorizados para um servidor de arquivos na DMZ
- O tráfego SMB dentro da rede está bloqueado, exceto para Controladores de Domínio e servidores de arquivos SMB
A ameaça do movimento lateral é tão preocupante quanto a ameaça do ransomware
Em 2 de junho, os EUA A Casa Branca enviou uma carta aberta a executivos corporativos e líderes empresariais do setor privado, instando-os a agir e defender suas organizações contra ransomware. Um parágrafo se destaca neste memorando, pois aborda a própria rede do data center, afirmando claramente a importância de segmentar redes corporativas. A segmentação da rede não apenas impede que um invasor se mova lateralmente e alcance ativos estratégicos e coroa jóias na rede; mas também ajuda a minimizar danos (reduzir o raio de explosão), criando limites entre servidores na rede e limitando o tráfego de rede entre eles.
| Segmente suas redes: Houve uma mudança recente nos ataques de ransomware – de roubar dados a interromper as operações. É extremamente importante que suas funções de negócios corporativos e operações de fabricação/produção sejam separadas e que você filtre e limite cuidadosamente o acesso à Internet às redes operacionais, identifique links entre essas redes e desenvolva soluções alternativas ou controles manuais para garantir que as redes ICS possam ser isoladas e continuar operando se sua rede corporativa estiver comprometida. Teste regularmente planos de contingência, como controles manuais, para que funções críticas de segurança possam ser mantidas durante um incidente cibernético. |
Mas não se deixe enganar pelo título mencionando apenas a “ameaça do ransomware”. O movimento lateral dentro de uma rede comprometida pode ser usado para eliminar qualquer tipo de carga útil – seja ransomware, ferramentas de acesso remoto, backdoors e cryptominers. O movimento lateral é a ameaça real, enquanto o ransomware é apenas um motivo para implementá-lo. No caso do Indexsinas, o movimento lateral é usado para infectar o maior número possível de máquinas com uma ferramenta de acesso remoto e um criptominer. A segmentação de rede é crucial para evitar que tais campanhas se espalhem e interrompam as operações comerciais.
Indicadores de Compromisso
Consulte as listas completas de COIs em nosso repositório Github.
Domínios
- 1.indexsinas.me
- 2.indexsinas.me
- site a.ccmd.web
Silenciar
- ipip.website
- dllhost.website
Nomes de Serviço
- MicrosotMaims
- MicrosotMaim
- MicrosoftMysql
- MicrosoftMssql
- Serviços
Tarefas Agendadas
- At1
- At2
FONTE: GUARDICORE