[Информационная безопасность] Расследование: как мы помогли атакованной шифровальщиком группировки APT27 компании вернуть доступ к файлам
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Экспертный центр безопасности Positive Technologies (PT Expert Security Center, PT ESC) расследовал кибератаку вируса-шифровальщика на инфраструктуру одного СМИ, вернул доступ к данным, выявил двухлетнюю деятельность известной АРТ-группировки (предположительно с азиатскими корнями) и пресек ее.Полная версия расследования представлена по ссылке, а в этой статье мы поделимся его главными фактами.ВведениеОтправной точкой для запуска расследования послужило массовое шифрование файлов в инфраструктуре клиентов с последующим требованием выкупа. Точная сумма выкупа осталась неизвестной, так как компания, ставшая жертвой атаки, не пошла на поводу у атакующих. Шифровальщики — одно из самых быстро развивающихся направлений киберпреступности и сегодня практически каждая четвертая атака совершается с применением этих вредоносных программ. Некоторые операторы шифровальщиков требуют отельные выкупы за расшифрование данных и за неразглашение украденной информации. Как правило, суммы требуемого выкупа исчисляются миллионами долларов, в зависимости от конкретной жертвы и характера украденных данных.Как развивалась атакаСпособ запуска шифровальщика можно назвать классическим, характерным признаком азиатских кибегруппировок. На компьютер жертвы передаются три файла:
- GDFInstall.exe (MD5: 13435101240f78367123ef01a938c560) – легитимный компонент компьютерных игр, подписанный компанией Ubisoft
- GameuxInstallHelper.dll (MD5: 1fd8402275d42e7389f0d28b9537db0f) – вспомогательная DLL библиотека на платформе .NET (скомпилирована 29 апреля 2020 года), которая импортируется при запуске GDFInstall.exe.
На самом деле, это не оригинальный компонент: при экспорте символа GameExplorerInstallW будет выполнен код злоумышленников. Эта часто используемая техника загрузки вредоносного кода в контексте легитимного приложения называетсяDLL hijacking.
Выполняется чтение файла c:\programdata\Sysurl.Hex (предварительно копируется из c:\windows\system32\Sysurl.Hex в случае отсутствия), затем данные расшифровываются линейным XOR с ключом ABCSCDFRWFFSDJJHGYUOIj. Результат декодируется с помощью Base64, а полученный PE файл загружается и выполняется в памяти средствами .NET среды.Также отметим, что перед завершением работы полезная нагрузка и промежуточная библиотека удаляются. Удаление происходит стандартным, ненадежным способом, что позволяет восстановить данные, если работа с диском была оперативно остановлена и информация не перезатерлась.
- Sysurl.Hex – зашифрованный шифровальщик Polar
Описанная последовательность вызова полезной нагрузки (легитимное приложение загружает вредоносную библиотеку, которая в свою очередь расшифровывает третий компонент и передает на него управление) очень часто используется для запуска бэкдораPlugX, который широко применяется различными азиатскими APT-группами: например, APT10, APT41, TA259, в том числе и Bronze Union.Одной и задач, которые ставились перед PT ESC, было как раз восстановление зашифрованных данных. Как удалось расшифровать файлыРетроспективный анализ, проведенный в ходе расследования, показал, что инфраструктура компании была скомпрометирована не менее двух лет назад. Изначально была заражена инфраструктура одного из филиалов компании в другой стране. Далее состоялось проникновение в головную организацию. По нашему мнению, наиболее вероятной точкой проникновения в сеть стал уязвимый сервер на внешнем сетевом периметре: в феврале 2018 года был получен первичный доступ с закреплением в системе с помощью веб-шеллов. Далее, почти полтора года, как оказалось, злоумышленники использовали захваченные мощности компании для майнинга криптовалюты (Monero). И лишь в 2020 году в дело вступил троян-шифровальщик: от имени учетной записи скомпрометированного доменного администратора был разослан и запущен вымогатель Polar. Однако, его создатели допустили ошибку в защите криптосистемы, которую нам удалось выявить, благодаря чему все зашифрованные файлы были восстановлены. Злоумышленники также предприняли попытку вернуть контроль над инфраструктурой, используя еще не устраненные веб-шеллы в сети головной организации и филиала, прямо во время расследования, но на этот раз их действия остались безуспешными.При чем здесь группировка APT27Техники, тактики и инструментарий, использовавшиеся злоумышленниками, имели почерк, характерный для ряда кибергруппировок азиатского происхождения. Однако детальный анализ использованных при взломе бэкдоров, в том числе SysUpdate и HyperBro, позволяет утверждать, что за атакой стоит группировка АРТ27 (она же BRONZE UNION, LuckyMouse, Emissary Panda, Iron Tiger). Эта группировка, предположительно, имеет азиатские корни, существует и активна по крайней мере с 2010 года. Ее деятельность до сих пор была сфокусирована на государственных учреждениях в сфере обороны и энергетики, аэрокосмических предприятиях, а также индустриальном комплексе.На этот раз атаке подверглось СМИ, что выходит за рамки традиционного портрета жертвы данной группировки. Однако киберпреступники применяли общедоступные и собственные инструменты, которые использовали и ранее. Таким образом, злоумышленники не изменили своим техникам и тактикам, но использовали нехарактерное ПО именно для монетизации атаки. Возможно, компрометация данной компании — случайность, и преступники постарались получить хоть какую-то выгоду.Как не стать жертвой шифровальщика и что делать после атакиЭксперты Positive Technologies напоминают, что не следует соглашаться с требованиями преступников: такого рода сделка не гарантирует, что данные компании или ее клиентов будут восстановлены, и тем более, что они не будут позже перепроданы в дарк-вебе. При этом пострадавшая организация должна будет восстанавливать инфраструктуру и затронутые информационные системы ― иначе нельзя быть уверенным в том, что злоумышленники не смогут в любой момент снова получить доступ к инфраструктуре. В случае атаки компании следует оперативно привлечь внешних специалистов, имеющих опыт реагирования на инциденты такого рода и их расследования: остановить кибератаку, убедиться в том, что преступники больше не имеют доступа к сети, понять, каков был изначальный вектор атаки, как им удалось развить столь масштабно. Также компании необходимо учесть существующие недочеты, которые привели к негативным последствиям, и выстроить более эффективную систему защиты и восстановления инфраструктуры.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Беспроводные технологии] NFC на банкомате: небольшой ликбез
- [Информационная безопасность, IT-компании] Security Training & Awareness в Тинькофф
- [Информационная безопасность] SIEM с автопилотом: какая связь между гастритом и системой выявления инцидентов
- [Информационная безопасность] К вопросу защиты цифровой информации
- [Информационная безопасность, Расширения для браузеров, Браузеры, Microsoft Edge] В Microsoft Store нашли вредоносные расширения для Edge
- [Информационная безопасность, Законодательство в IT, Социальные сети и сообщества] Соломоновы острова заблокируют Facebook во имя «национального единства»
- [Информационная безопасность, Разработка веб-сайтов, Habr, Тестирование веб-сервисов] 5 способов краулинга веб-сайта (перевод)
- [Информационная безопасность] Security Week 48: APT-перспективы на 2021 год
- [Информационная безопасность, Законодательство в IT] Минцифры передумало вводить систему ограничения интернет-трафика для детей
- [Информационная безопасность, Open source, Разработка под Linux, Процессоры] Новые патчи Linux защищают процессоры Intel от последних уязвимостей, так что Hyper-Threading можно не отключать
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_ransomware, #_rassledovanija_intsidentov (расследования инцидентов), #_kiberataki (кибератаки), #_hakery (хакеры), #_kiberprestupniki (киберпреступники), #_blog_kompanii_positive_technologies (
Блог компании Positive Technologies
), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 01:07
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Экспертный центр безопасности Positive Technologies (PT Expert Security Center, PT ESC) расследовал кибератаку вируса-шифровальщика на инфраструктуру одного СМИ, вернул доступ к данным, выявил двухлетнюю деятельность известной АРТ-группировки (предположительно с азиатскими корнями) и пресек ее.Полная версия расследования представлена по ссылке, а в этой статье мы поделимся его главными фактами.ВведениеОтправной точкой для запуска расследования послужило массовое шифрование файлов в инфраструктуре клиентов с последующим требованием выкупа. Точная сумма выкупа осталась неизвестной, так как компания, ставшая жертвой атаки, не пошла на поводу у атакующих. Шифровальщики — одно из самых быстро развивающихся направлений киберпреступности и сегодня практически каждая четвертая атака совершается с применением этих вредоносных программ. Некоторые операторы шифровальщиков требуют отельные выкупы за расшифрование данных и за неразглашение украденной информации. Как правило, суммы требуемого выкупа исчисляются миллионами долларов, в зависимости от конкретной жертвы и характера украденных данных.Как развивалась атакаСпособ запуска шифровальщика можно назвать классическим, характерным признаком азиатских кибегруппировок. На компьютер жертвы передаются три файла:
На самом деле, это не оригинальный компонент: при экспорте символа GameExplorerInstallW будет выполнен код злоумышленников. Эта часто используемая техника загрузки вредоносного кода в контексте легитимного приложения называетсяDLL hijacking. Выполняется чтение файла c:\programdata\Sysurl.Hex (предварительно копируется из c:\windows\system32\Sysurl.Hex в случае отсутствия), затем данные расшифровываются линейным XOR с ключом ABCSCDFRWFFSDJJHGYUOIj. Результат декодируется с помощью Base64, а полученный PE файл загружается и выполняется в памяти средствами .NET среды.Также отметим, что перед завершением работы полезная нагрузка и промежуточная библиотека удаляются. Удаление происходит стандартным, ненадежным способом, что позволяет восстановить данные, если работа с диском была оперативно остановлена и информация не перезатерлась.
=========== Источник: habr.com =========== Похожие новости:
Блог компании Positive Technologies ), #_informatsionnaja_bezopasnost ( Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 01:07
Часовой пояс: UTC + 5