Паринакота и кибер-устойчивость

(Ди Карло Мазели)
14/04/20

В коллективном воображении вулканы часто ассоциируются с образом силы и разрушения. В римской мифологии, например, Вулканы - это божество, символизирующее непреодолимую силу природы, а в Остии, например, жрец Вулкана играл фундаментальную роль в жизни города.
Даже сегодня вулкан завораживает, но в то же время внушает страх. Иногда он может стать символом нации, как в случае горы Фудзи, безошибочного символа Японии. Однако в других случаях он становится частью романов или фильмов, как это происходит в Книге вулканов Исландии.1 или в фильме «Тайные мечты» Уолтера Митти2 Центральное значение имеет извержение горы с труднопроизносимым названием Эйяфьятлайёкюдль.

Вы можете быть удивлены, что вулканы связаны с кибербезопасностью. Как получилось это введение? Если вы хотите узнать, решитесь на чтение этой статьи.

Так называемые атаки с использованием программ-вымогателей3«Представляют собой значительную и растущую угрозу для компаний и одну из самых серьезных тенденций в кибератаках сегодня. В этих целевых атаках, которые отличаются от самораспространяющихся программ-вымогателей, таких как WannaCry4 o NotPetya5противники используют методы кражи учетных данных и бокового перемещения в качестве критерия атаки.

Известно, что эти атаки используют слабые места в конфигурации сети, а также любые уязвимости служб или операционных систем для распределения полезных нагрузок.6 вредоносный вымогатель. И хотя вымогательство является видимым действием, существуют и другие элементы, такие как злонамеренные полезные данные, кража учетных данных и несанкционированный доступ, которые работают бесшумно и крадут данные из сетей, и в этот момент они подвергаются риску.
Что касается вулканов, новости очень ориентированы на то, чтобы рассказать о последствиях извержения, и, наоборот, они очень мало рассказывают о том, что делается для их предотвращения, поэтому информация о атаках вымогателей слишком часто фокусируется на времени простоя. которые провоцируют, при выплатах выкупов и о деталях, связанных со злонамеренными полезными нагрузками, не принимая во внимание, однако, постоянство этого типа кампании, или, наоборот, знание, чувствительность и способность их предотвращать.

Работа в контакте с командой Microsoft Threat Intelligence7Основываясь на наших исследованиях, эти кампании показали, что они могут работать даже при наличии каких-либо ограничений и сетевых защит. Фактически, компромиссы имеют место, начиная с кражи учетных данных, относящихся к пользователям с минимальными привилегиями, и затем собирая учетные данные пользователей с более высокими привилегиями, благодаря использованию методов сброса учетных данных, с помощью которых у вас есть доступ к сетевой инфраструктуре, чтобы оставаться там как можно дольше.

Атаки программ-вымогателей, управляемые человеком, часто начинаются с вредоносных программ, таких как банковские трояны, или простых векторов атак, которые обычно вызывают срабатывания сигналов тревоги, которые, к сожалению, обычно рассматриваются как не относящиеся к делу и поэтому не подвергаются тщательному изучению и исправлению. которые на более позднем этапе связаны с вредоносными полезными нагрузками, которые также блокируют антивирусные системы и системы вымогателей, такие как Revil8, Самас9, Bitpaymer10 и Рюк11.

Борьба и предотвращение атак такого рода требуют изменения мышления, которое фокусируется на полной защите цепочки атак, что необходимо для замедления и остановки атакующих, прежде чем они смогут добиться успеха.

И вот, наконец, мы подошли к вулканам. Одним из участников, который в подавляющем большинстве случаев оказался ответственным за эти кампании атак, является активная, хорошо адаптирующаяся группа, которая часто использует вымогателей Wadhrama.12. Как и Microsoft, мы называем группы в соответствии с определенным соглашением об именах, и в данном случае используемое относится к названиям вулканов. Поэтому конкретно рассматриваемая группа получила название PARINACOTA.

Как уже упоминалось, PARINACOTA - особенно активная группа, которая действует с частотой три или четыре атаки в неделю на различные организации. В течение 18 месяцев наблюдалось изменение тактики компрометации для различных целей, включая добычу криптовалюты, рассылку спам-писем или проксирование других атак. Цели и использование полезных нагрузок менялись со временем под влиянием типа инфраструктуры, которая должна быть взломана, хотя в последние месяцы они сосредоточились на распространении вымогателя Wadhrama.

Группа все чаще использует метод, который называется "smash-and-grab". С помощью этого метода группа пытается проникнуть в машину, а затем приступить к боковому движению, чтобы завладеть наибольшим количеством машин, чьи диски зашифрованы, и попросить выкуп; все менее чем за час.

Атаки PARINACOTA, как правило, относятся к типу грубой силы.13 и попытаться использовать дороги, которые в конечном итоге открываются на серверах, которые используют службу протокола удаленного рабочего стола (RDP), предоставляемую в Интернете, всегда, как уже упоминалось, с целью бокового перемещения в сети или выполнения дальнейших действий действия вне самой сети благодаря рассматриваемому протоколу, если они не закрыты исправлениями.

Атаки в большинстве случаев направлены на взлом учетных записей, связанных с локальными администраторами серверов или клиентов. В других случаях, однако, атаки направлены на учетные записи Active Directory (AD), которые используют простые пароли, срок действия которых никогда не истекает, например учетные записи служб, или они больше не используются, но все еще активны.
Более подробно, чтобы найти цели, группа анализирует Интернет в поисках машин, прослушивающих порт RDP 3389, благодаря таким инструментам, как Msscan.exe.14 возможность найти уязвимые машины через Интернет менее чем за шесть минут.

Как только уязвимая цель обнаружена, группа приступает к атаке методом перебора с использованием таких инструментов, как NLbrute.exe.15 или ForcerX16, начиная с общих имен пользователей, таких как «admin», «administrator», «guest» или «test». После успешного получения доступа к сети команда анализирует взломанный компьютер, чтобы проверить его подключение к Интернету и возможности обработки. Затем он проверяет, соответствует ли машина определенным требованиям, прежде чем использовать ее для проведения последующих атак RDP против других целей. Эта тактика, которая не наблюдалась в аналогичных группах, дает им доступ к дополнительной инфраструктуре, которая с меньшей вероятностью заблокирует их, поэтому они могут хорошо играть, оставляя свои инструменты работать на скомпрометированных машинах на несколько месяцев подряд, установив каналы управления и контроля.17 (C2C), чтобы проверить инфраструктуру.

После отключения решений безопасности команда загружает zip-архив, который содержит десятки хорошо известных инструментов атаки и командных файлов для кражи учетных данных, сохранения и разведки. С помощью этих инструментов и пакетных файлов команда очищает журналы событий с помощью wevutil.exe и проводит обширную разведку машин и сети в поисках новых способов движения в сторону с помощью обычных инструментов сетевого сканирования. При необходимости группа повышает права локального администратора до SYSTEM, используя специальные возможности в сочетании с пакетным файлом или загруженными эксплойтами файлами, названными в соответствии со спецификацией Common Vulnerabilities and Exposure.18 (CVE) найдено.

Группа сбрасывает учетные данные процесса LSASS, используя такие инструменты, как Mimikatz19 и ProcDump20, чтобы получить доступ к паролям локального администратора или учетным записям служб с повышенными привилегиями, которые можно использовать для запуска задач как в интерактивном режиме, так и по расписанию. Затем PARINACOTA использует тот же сеанс удаленного рабочего стола для эксфильтрации полученных учетных данных. Группа также пытается получить учетные данные для определенных банковских или финансовых сайтов с помощью findstr.exe.21 проверить файлы cookie, связанные с этими сайтами.

В свете всего этого осознание не может не расти, так как лучше держаться подальше от склонов вулкана и избегать строительства домов, которые могут быть легко разрушены, таким же образом, в связанном мире, в информационном сценарии. Технология и эксплуатация Технология, глубоко изменившаяся, на этот раз новая модель безопасности должна основываться на метафоре иммунной системы, учитывая также опыт, который мы испытывали в последние месяцы благодаря Covid-19, а не опыт Траншея, исходя из предположения «предполагает уже компромисс».

Поэтому мы говорим о разработке всех тех инициатив в области управления, анализа и управления рисками, обмена разведывательной информацией и управления инцидентами, которые могут способствовать значительному повышению киберустойчивости организаций или их способности функционировать, даже если они постоянно находятся в невыгодном положении. атака, будучи, зачастую, уже скомпрометирована задолго до явных признаков продолжающегося приступа возникает, таким же образом, что и система иммунитета делает, что не сохраняется в желании сохранить угрозы вне тела, но, имея, чтобы выжить в В сложной и чрезвычайно динамичной среде он выявляет их в режиме реального времени, классифицирует и удерживает их в страхе благодаря постоянному мониторингу, выделяя драгоценные ресурсы только на действительно опасные патогены и игнорируя все, что не имеет отношения к делу.

Как сделать такую ​​модель?

Прежде всего, прекратив "смотреть на пупок" и вместо этого иметь 360-градусный обзор, который не тонет в его журналах, загрязненных фоновым шумом его сетей и систем, но который анализирует поведение пользователей внутри и за пределами вашей сети путем внедрения анализа угроз и углубленного мониторинга.

Во-вторых, установить непрерывный процесс управления киберрисками, который оценивает все задействованные переменные 24 часа в сутки, включая те, которые находятся за пределами периметра, такие как социальные сети, теневые ИТ, IoT, и дает руководству указания для определения защитные стратегии, которые могут быстро меняться перед лицом постоянно меняющихся угроз. Это полностью отличается от продолжения беспрепятственного выполнения действий, которые сейчас устарели, таких как ежегодный аудит, который позволил бы нам эффективно распределять ресурсы.

Наконец, выделять необходимые ресурсы для этих мероприятий по обеспечению безопасности, потому что ни в одной области сегодня взаимосвязь между расходами на безопасность и стоимостью защищаемого актива не ниже, чем в области информационных технологий (ИКТ).

Кибер-устойчивость должна стать не только одним из столпов деятельности организации, но и тем элементом, который обеспечивает все остальные возможности и делает их возможными, учитывая, с одной стороны, растущую распространенность ИКТ в современном обществе, а с другой - соответствующую рост угрозы. Как сообщают нам последние новостные сообщения, эти ресурсы должны быть найдены и использованы как можно скорее, а смена бизнес-модели с крепости на иммунную систему должна быть осуществлена ​​в срочном порядке, или, неизбежно, злоумышленники получат превосходство, в результате чего сообщество все более дорогой ущерб.

1 https://iperborea.com/titolo/513/
2 https://it.wikipedia.org/wiki/I_sogni_segreti_di_Walter_Mitty
3 https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransom...
4 https://www.certnazionale.it/news/2017/05/15/come-funziona-il-ransomware...
5 https://www.certnazionale.it/tag/petya/
6 https://www.cybersecurityintelligence.com/payload-security-2648.html
7https://www.microsoft.com/en-us/itshowcase/microsoft-uses-threat-intelli...
8 https://www.secureworks.com/research/revil-sodinokibi-ransomware
9 https://www.securityweek.com/samas-ransomware-uses-active-directory-infe...
10https://www.coveware.com/bitpaymer-ransomware-payment
11https://www.certnazionale.it/news/2018/08/23/il-nuovo-ransomware-ryuk-di...
12https://www.zdnet.com/article/ransomware-these-sophisticated-attacks-are...
13https://www.certnazionale.it/glossario/brute-force-attack-attacco-a-forz...
14https://docs.microsoft.com/it-it/windows/security/threat-protection/inte...
15https://www.hybrid-analysis.com/sample/ffa28db79daca3b93a283ce2a6ff24791...
16https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rdp-security-explai...
17https://www.paloaltonetworks.com/cyberpedia/command-and-control-explained
18https://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures
19https://www.ilsoftware.it/articoli.asp?tag=Mimikatz-il-programma-per-rec...
20https://docs.microsoft.com/en-us/sysinternals/downloads/procdump
21https://en.wikipedia.org/wiki/Findstr