Како Brute Force напад откри мрежа на ransomware инфраструктура

За повеќето одбранбени тимови, уште едно предупредување за brute-force напад на изложен RDP е само позадинска бучава — рутинска активност што се проверува и брзо се затвора. Но за Huntress Tactical Response Team, едно такво „рутинско“ предупредување се претвори во нешто сосема поинакво.

Додека го анализиравме едно единствено успешно најавување, откривме необично однесување насочено кон пронаоѓање на креденцијали (кориснички податоци), мрежа од географски распределена инфраструктура и сомнителна VPN услуга — сè што укажуваше на ransomware-as-a-service екосистем и на таканаречените брокери за почетен пристап.

Во оваа објава објаснуваме како една бучна brute-force кампања стана наш влез во таа операција.

Наратив на нападот

Во овој случај, една мрежа имаше изложен Remote Desktop (RDP) сервер директно кон интернет. Веќе сме зборувале за опасностите од ова во различни вебинари, блогови и објави на социјални мрежи, но често компаниите немаат друг избор освен да го изложат RDP поради различни причини.

Во овој конкретен случај, нашиот SOC (Security Operations Center) доби предупредување за enumeration на домен (пронаоѓање и набројување на доменски ресурси) и веднаш започна со анализа.

Brute Force напад

Иако упадите често се опишуваат на линеарен начин и уредно се мапираат на рамки како ATT&CK, реалноста е дека аналитичарите најчесто добиваат сигнали за напад што се наоѓаат во „средината“ на kill chain процесот на напаѓачот.

Тоа значи дека кога ќе добиеме сигнал, мораме да истражуваме и назад и напред во времето за да го пронајдеме и изворот на упадот и потенцијалните понатамошни патеки на нападот.

Во овој случај, при анализата на Windows event logs на погодените системи, откривме дека RDP сервисот бил мета на brute-force напад.

Иако brute forcing се смета за „основна“ и многу честа техника на напад, истражувањето на ваквите напади — особено во мрежи со стандардни конфигурации на логирање — може да биде комплицирано. Често огромниот број на обиди за најава ги преполнува лог каналите, па важната безбедносна телеметрија се презапишува или се губи.

Дополнително, ситуацијата се усложнува од различни service accounts што ги користат алатки за инвентар или скенирање на ранливости, кои често создаваат неуспешни обиди за најава кон различни сервиси.

Во овој случај, сепак, релевантната телеметрија за среќа беше достапна и беше откриено успешно brute-force пробивање.

Иако многу кориснички сметки биле цел на нападот, само една сметка била успешно компромитирана.

Користејќи ја оваа компромитирана сметка како почетна точка за анализа, откривме дека сметката била користена за најава од повеќе IP адреси. Ова е барем делумно нетипично за повеќето упади.

По понатамошна анализа на временските ознаки на успешните најавувања, доказите покажаа дека компромитирањето не било дело на повеќе напаѓачи, туку на еден напаѓач кој користел инфраструктура што овозможува пристап преку различни сервери.

Успешното brute-force пробивање на изложениот RDP сервер значеше дека напаѓачот сега има пристап до мрежата на жртвата. Откако овој пристап беше воспоставен, напаѓачот продолжи со enumeration на доменот, вклучувајќи различни групи во доменот и конфигурации на доменот.

Кога овие сигнали за enumeration беа анализирани од SOC, и беше утврдено дека се злонамерни, беше издадена изолација на целата мрежа за да се спречи понатамошно латерално движење во мрежата.

На прв поглед, ова може да изгледа како едноставен инцидент: успешен brute-force напад, напаѓачот влегува во мрежата, ја анализира мрежата (enumeration) пред да биде откриен и блокиран од SOC.

Но овојпат, по дополнителна анализа на други телеметриски податоци по изолацијата на мрежата, откривме нешто особено интересно што отстапува од вообичаените модели на однесување на напаѓачите што ги гледаме.

Нешто не изгледа како што треба

Кога напаѓачите ќе влезат во една мрежа — било преку RDP упад, како во овој случај, или преку други методи како компромитирање на VPN — тие обично:

• ја анализираат мрежата (enumeration),
• собираат креденцијали,
• и се движат латерално кон други системи.

Обично, пристапот до креденцијали во вакви ситуации се прави преку:

• извлекување креденцијали од Windows LSASS процесот со алатки како Procdump или Mimikatz,
• или извлекување од registry со алатки како Secretsdump.

Во некои случаи, сме забележале и напади насочени кон cookies од интернет прелистувачи.

Меѓутоа, ретко гледаме напаѓачи да пребаруваат низ фајл системи или file shares за да најдат креденцијали во фајлови.

Но во овој напад, токму тоа се случи.

Без директни докази, можеме само да дадеме образована претпоставка зошто се случува ваква ситуација. Нашата хипотеза е дека повеќето напаѓачи следат стандардна „playbook“ процедура.

Извлекувањето лозинки од registry или од LSASS може да се изведе речиси автоматски, со истите команди и алатки, без големи разлики од една средина до друга.

Ова не важи за лозинки зачувани во фајлови, бидејќи тие можат да се наоѓаат на многу различни места низ мрежата.

Дополнително, кога креденцијалите се извлечени од registry или LSASS, речиси сигурно се користат во мрежата, па затоа се многу вредни за напаѓачите.

За разлика од тоа, креденцијалите најдени во фајлови може да бидат:

• стари,
• историски,
• или веќе невалидни,

и мора рачно да се тестираат за да се види дали навистина овозможуваат пристап до некој ресурс.

Во овој конкретен случај, напаѓачот избрал рачен пристап, користејќи Notepad за отворање на текстуални фајлови кои очигледно содржеле креденцијали.

Кога ги анализиравме jumplist артефактите од погодениот систем, забележавме уште повеќе активности од напаѓачот поврзани со креденцијали зачувани во фајлови.

Овој невообичаен начин на работа на напаѓачот нè поттикна да направиме втора, подетална анализа на IP адресите поврзани со brute-force нападот.

Разоткривање на инфраструктурата

Првичната проверка на сомнителните IP адреси даде неколку резултати преку алатката Maltrail, што укажуваше дека една од IP адресите е поврзана со Hive ransomware.

Други извештаи, вклучително и од CISA, исто така ја поврзуваат оваа конкретна IP адреса со BlackSuite.

Со овие информации, одлучивме да направиме pivot анализа врз основа на овие податоци и да провериме дали постојат интересни домен имиња поврзани со нив.

При анализа на TLS сертификатите поврзани со IP адресата што го извршувала brute-force нападот, откривме интересно домен име: specialsseason[.]com.

Откако добивме домен име поврзано со сомнителната IP адреса, направивме дополнителна анализа преку fingerprint на TLS сертификатот за да провериме дали можеме да идентификуваме дополнителна злонамерна инфраструктура — било тоа IP адреси или домени.

Ова даде изненадувачки резултати, при што откривме повеќе поврзани IP адреси и домени.

Кога ги анализиравме IP адресите и домените поврзани со нив, се појави јасен образец. Секоја од IP адресите се поврзуваше со истата шема на именување:

NL-<countrycode>.specialsseason[.]com

Подолу е целосната листа на сите кодови на држави што беа пронајдени поврзани со TLS сертификатот на IP адресата користена во првичниот brute-force напад.

NL-SE, NL-SP, NL-TR, NL-SG, NL-RS, NL-AU, NL-RU4, NL-CY, NL-US, NL-LU, NL-NL, NL-FR, NL-AT, NL-CA, NL-LV, NL-DE, NL-BE, NL-US2, NL-US3, 33, NL-HK, NL-IM, NL-IT, NL-FI, NL-RU2, NL-UA, NL-PL, NL-RU, NL-CH, NL-RU3, NL-GB, NL-MD, NL-PA, NL-RO.

Гист линк: https://gist.github.com/AntonHuntress/482dbb9312c19a9f97a9e8f3f86bc5ee

Можеме да забележиме прилично робусна мрежа која е географски распределена — исто така е интересно да се напомене присуството на повеќе „Ru“ кодови (поврзани со Russia), како и повеќе кодови за United States of America.

Многу од IP адресите поврзани со горенаведените кодови за држави исто така содржеа различни сервиси што слушаат на различни порти. Анализата на TLS сертификатите на овие IP адреси овозможи дополнителен pivot и откри уште едно злонамерно домен име: 1vpns[.]com.

Интересно е што ова домен име е многу слично на легитимната VPN страница, но без дополнителното „s“ по „1vpn“: https[:]//1vpn[.]org/

Некои домени не значат ништо и се случајни, но тука не веруваме дека е така. Терминот „special season“ (посебна сезона), исто така познат како „big game hunting“, е фраза што често се користи за опишување на финансиски мотивирани групи на напаѓачи — типично ransomware што таргетира организации со висока вредност или големо влијание.

Два јавни извештаи за закани ја поврзуваат употребата на оваа VPN услуга со две различни ransomware групи. Дополнително, беше рекламирана и услуга 1jabber[.]com со листа на „смешни“ домени.

Посебно ако се фокусираме на спомнувањето на nologs[.]club, каде што VPN услугата во FAQ исто така тврди дека не чува никакви логови (0 logs), што би ја направило идеална услуга за сајбер криминалци.

Често читаме за случаи на ransomware преку призма на техники, тактики и процедури и други апстрактни елементи. Често слушаме термини како „initial access brokers“, но ретко добиваме увид одвнатре во нивните операции, особено од инфраструктурен агол.

Во овој случај, можеме да видиме како овие злонамерни актери функционираат и да добиеме поглед во нивните мотиви, како и во видовите елементи што го сочинуваат нивниот екосистем. Јасно е дека постои мотивација за собирање што е можно повеќе материјал со креденцијали.

Овој случај исто така покажува дека понекогаш е потребно да се оди подалеку од традиционалниот incident response, каде што е потребно „одзумирање“ и гледање на пошироката слика. Во овој случај, „едноставен“ brute-force напад се претвори во откривање на цел екосистем и инфраструктура на ransomware оператори.

Повеќето упади не дозволуваат ваков вид анализа, било поради недостиг на телеметрија или други фактори. Овој упад е поинаков затоа што мала трага од докази доведе до откривање на цела „клопка“ на ransomware инфраструктура. Доказите исто така ни даваат увид во однесувањето и целите на овие заканувачки актери на начин што е тешко да се пренесе само преку статични IOC или TTP.

Заклучок

Ransomware продолжува да ги нарушува работата и безбедноста на бизнисите — и големи и мали. За многу безбедносни професионалци, brute-force нападот е „основна“ техника за која се пишувало со години. Многу аналитичари може да видат таков напад и да продолжат со работата.

Но во Huntress секогаш се стремиме да „SOC and Awe“ и постојано ги следиме и најмалите истражувачки траги до кои можеме да дојдеме.

Во овој случај, она што започна како едноставен brute-force напад се претвори во откривање на голем и сложен екосистем на ransomware-as-a-service, за кој постои сомнеж дека го користат initial access brokers — посредници кои овозможуваат почетен пристап за вакви нелегални операции.

Tradecraft Tuesday: Без производи. Без понуди. Само хакови.

Tradecraft Tuesday им овозможува на професионалците во сајбер безбедноста детална анализа на најновите заканувачки актери, векторите на напади и стратегиите за ублажување на ризиците. Секоја неделна сесија вклучува технички преглед на неодамнешни инциденти, сеопфатна анализа на трендовите на малициозен софтвер и ажурирани индикатори за компромитација (IOC).

Учесниците добиваат:

• Детални брифинзи за новите кампањи на закани и варијанти на ransomware
• Методологии за одбрана базирани на докази и техники за санација
• Директна интеракција со аналитичари од Huntress за увид во incident response
• Пристап до применливи информации за закани и насоки за детекција

Регистрирај се за Tradecraft Tuesday →

Зајакнете ја вашата одбранбена позиција со информации во реално време и техничко образование специјално дизајнирано за оние што се одговорни за заштита на инфраструктурата на нивните организации.

Индикатори на компромитација

Извори:

• Bleeping Computer – How a Brute Force Attack Unmasked a Ransomware Infrastructure Network Bleeping Computer