[Информационная безопасность] Чем нас «радовали» злоумышленники последние полгода
Автор
Сообщение
news_bot ®
Стаж: 6 лет 7 месяцев
Сообщений: 27286
Последние полгода были, мягко говоря, непростыми. Новая реальность – новые векторы кибератак, хотя и про старые, проверенные временем инструменты злоумышленники не забывали. Solar JSOC и JSOC CERT скучать не приходилось: атаки на RDP, новые оболочки известного ВПО и методы сокрытия Mimikatz… Подробности, как всегда, письмом ниже.
Общие тренды
Эксплуатация темы COVID-19
Во втором квартале 2020 года злоумышленники активно эксплуатировали тему пандемии в атаках с использованием социальной инженерии (неожиданно, правда?). Как правило, вредоносные письма имитировали официальную рассылку с информацией о коронавирусе, что в период всеобщей паники и напряженности существенно повысило эффективность таких атак. Причем хакеры задействовали не только массовые вирусы (шифровальщики, банковские трояны, RAT и т.д.), но также были случаи использования темы пандемии APT-группировками. Атаковали практически все отрасли и типы клиентов (от SMB до enterprise и госкорпораций).
Пример фишингового письма якобы от Центра по контролю и профилактике заболеваний США:
Шифровальщик Dharma и атаки на RDP
Во время пандемии многие компании организовывали удаленный режим работы в основном по RDP. Кто во что горазд как умел. Это спровоцировало рост успешных атак на организации по двум векторам: brute-force атаки по RDP и взлом систем сотрудников с последующим проникновением в инфраструктуру.
Кроме того, в конце марта 2020 года на теневых форумах появилось объявление о продаже исходников шифровальщика Dharma за 2000$. А уже в апреле и мае мы столкнулись с расследованиями инцидентов, в которых злоумышленник (и, судя по итогам расследования, это были несколько разных атакующих) проник в инфраструктуру жертвы, перебрав пароль от локальной учетной записи администратора по протоколу RDP. После этого он решил обойти антивирус простым, но эффективным способом: запустил несколько десятков копий шифровальщика в разных оболочках. Большинство файлов были обнаружены и удалены антивирусом, но для успешного шифрования хватило одного незадетектированного сэмпла. Попытки злоумышленника обойти защиту видны в журналах антивируса:
Данный факт позволяет предположить, что исходные коды Dharma кто-то все-таки купил и умело пользуется им, накрывая шифровальщик различными обертками.
Использование легитимных сервисов
Сохранился тренд на использование находящихся в публичном поле эксплойтов для компрометации необновленных веб-сервисов. Тот же ShellShock, например, до сих пор часто применяется при атаках на госсектор. Аналогичные векторы встречаются в атаках на энергетику и ТЭК. E-сommerce и банки, напротив, довольно неплохо выстраивают защиту собственных веб-приложений, поэтому с такими проблемами сталкиваются крайне редко.
В одном из расследований нам встретилось использование комбинации уязвимостей на JBoss Web Application Server. В результате их эксплуатации злоумышленник поместил на сервер шелл (jcmd.war), а для передачи команд этому шеллу воспользовался SSRF-уязвимостью в WebLogic-сервере:
Команды представляли собой powershell-скрипты, которые выполняли на системе различные действия и отправляли команды по DNS-туннелю на легитимный сайт ceye.io, созданный ИБ-специалистами для тестирования корпоративных систем:
На сайте в аккаунте злоумышленника появлялось нечто подобное:
В итоге он смог получить результат выполнения команды, собрав фрагменты ответа вручную или с помощью скрипта.
Базовые атаки и типовые злоумышленники
Ниже приведены векторы атак, которые применяли злоумышленники с низкой социальной ответственностью квалификацией. Как правило, они занимаются шифрованием серверов и рабочих станций, майнингом криптовалюты, созданием из полученных ресурсов бот-сетей для организации DDoS-атак или фишинговых рассылок, а также перепродажей полученных доступов более профессиональным хакерам.
Уязвимость в Citrix CVE-2019-19781
Уязвимость класса RCE, найденная в ПО Citrix NetScaler в конце 2019 года, стала одной из самых громких и легко эксплуатируемых за последнее время. После выхода новости и PoC в паблик сразу стал очевиден масштаб проблемы: десятки тысяч систем оказались уязвимы по всему миру.
Со своей стороны мы также фиксируем массовые атаки на организации кредитно-финансовой сферы, ТЭК, энергетики и промышленности. В частности, в одном из собственных расследований мы столкнулись с тем, что данная уязвимость стала точкой входа злоумышленника в инфраструктуру. Установив web shell на систему Citrix NetScaler, он смог сохранять доступ в течение семи месяцев.
Следы эксплуатации уязвимости CVE-2019-19781 выглядят так:
Новая оболочка RTM
Злоумышленники стали рассылать известный банковский троян RTM в новой оболочке, которая имеет довольно простую структуру и работает в три этапа. Ниже приведен первый слой обертки, который расшифровывает шелл-код и передает ему управление.
Далее шелл-код, имеющий примерно такую же простую структуру, расшифровывает и запускает исполняемый файл, который далее распаковывает RTM с помощью функции RtlDecompressBuffer и запускает его:
Как известно, последние годы RTM лидирует в российском пространстве по количеству фишинговых рассылок. Атаки направлены на максимальный захват инфраструктуры и закрепление в ней с последующей попыткой монетизации через вывод денежных средств.
Возобновление активности Emotet
Загрузчик Emotet, которого практически не использовали в России весь прошлый год, вновь активировался в июле 2020 года и в этот раз распространял банковский троян QBot. Мы фиксируем его у наших заказчиков из разных отраслей: энергетика, госсектор, кредитно-финансовая сфера. При этом один из модулей Qbot позволяет красть почтовые письма, которые операторы, распространяющие Emotet, дальше используют для фишинговых рассылок. Это значительно повышает уровень доверия получателей и увеличивает шанс заражения.
Распространялся вредонос в оболочке, которая маскировалась под приложение MFC.
В одном из защитных слоев используется control-flow обфускация.
Рассылки стилера MassLogger
Недавно мы зафиксировали у одного из зарубежных заказчиков новый стилер MassLogger. И пусть его рассылают пока нечасто, он уже попал на радары специалистов по информационной безопасности. К слову, в рассылках на российские компании он еще не был замечен.
Вирус является исполняемым файлом .NET, защищен оболочкой с множеством проверок виртуального окружения и обфусцирован. Используется три основных способа обфускации: control-flow обфускация, шифрование строк и динамическая инициализация делегатов.
Пример control-flow обфускации приведен ниже:
В начале исполнения расшифровывается один из ресурсов, который содержит в себе специальный словарь. Ключом является токен поля одного из классов, а значением – токен функции, делегатом которой нужно инициализировать это поле. Далее многие функции вызываются через эти динамически инициализированные поля.
Ниже приведен фрагмент кода, где происходит заполнение словаря и инициализация полей делегатами:
Семейство MassLogger способно отправлять собранные с компьютера жертвы данные тремя способами: на панель управления (http), на FTP-сервер или на почтовый ящик. В конфигурации вируса указаны необходимые учетные данные для FTP и почтового сервера (в зависимости от используемого метода отправки). В этом аспекте MassLogger имеет сходство с некоторыми другими стилерами .net: Hawkeye, Agent Tesla. Ниже приведен фрагмент кода с заполнением конфигурации:
Рассылки NetWire в Visual Basic оболочке
В самых разных отраслях фиксировались массовые рассылки RAT NetWire в оболочке, написанной на Visual Basic. Нам встречались как вариации с native-кодом, так и с p-code. Задача оболочки – проверка на виртуальное окружение, отладка и загрузка NetWire с определенных вшитых адресов. В прошлом году мы наблюдали множество различных семейств стилеров в похожей оболочке, но данный образец включает в себя больше методов обфускации и обнаружения виртуального окружения.
Характерный фрагмент кода этого VB-пакера указан ниже:
Пример обнаружения нежелательных сервисов по вычисляемому хешу имени сервиса (например, «VMware Tools» или «VMware Snapshot Provider»):
Рассылки Zloader с использованием Excel 4.0 макросов
У некоторых наших заказчиков из кредитно-финансовой сферы фиксировались рассылки ВПО Zloader. Пользователи получали документ Excel, при открытии которого запускались определенные формулы в ячейках, выполняющие необходимые действия, включая антианализ и загрузку ВПО. Сами формулы были разбросаны по огромному листу, чтобы их было труднее заметить и проанализировать. Стоит отметить, что технология макросов 4.0 считается устаревшей и сейчас почти не используется.
Продвинутые группировки и сложный инструментарий
Для продвинутых кибергруппировок ключевой задачей является не просто проникновение в инфраструктуру, а максимально долгое и незаметное нахождение внутри нее, длительный контроль и доступ к конфиденциальным данным (кибершпионаж). В отчетный период они действовали следующим образом.
Еще один метод скрытия Mimikatz
В одном из наших расследований злоумышленники достаточно высокого технического уровня использовали для обхода антивируса и запуска Mimikatz интересную технику. Mimikatz в зашифрованном виде был помещен в оболочку, которая принимала из командной строки два параметра: ключ и вектор инициализации. Далее с помощью библиотеки CryptoPP Mimikatz расшифровывался, и управление передавалось ему. Ниже указан фрагмент кода с установкой ключа и вектора, а также с подготовкой буфера для расшифрования данных:
В итоге средство антивирусной защиты промолчало при запуске утилиты Mimikatz и злоумышленнику удалось получить учетные данные.
Новая хакерская группировка TinyScouts
Летом 2020 года мы выявили новую киберпреступную группировку, которая атаковала банки и энергетические компании. TinyScouts отличает высокий уровень технических навыков и вариабельность сценария атаки. Подробнее о TinyScouts мы писали вот здесь.
На этом всё. Ушли на фронт новые расследования.
Игорь Залевский, руководитель отдела расследования киберинцидентов JSOC CERT
Аскер Джамирзе, эксперт по техническому расследованию отдела JSOC CERT
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Разработка под Android, Разработка под Windows, Системы обмена сообщениями] Хакеры из Ирана годами воровали личные данные и прослушивали пользователей Telegram
- [Информационная безопасность] Минцифра предлагает запретить шифрование доменных имён и TLS v.1.3
- [Информационная безопасность] Security Week 39: две уязвимости в протоколе Bluetooth
- [IT-компании, IT-стандарты, Информационная безопасность, Программирование] Тонкости авторизации: обзор технологии OAuth 2.0
- [IT-инфраструктура, Информационная безопасность, Системное администрирование, Софт] Sysmon теперь может записывать содержимое буфера обмена
- [Информационная безопасность, IT-инфраструктура, Исследования и прогнозы в IT, IT-компании] Зона доступа: 30 способов, которые позволят разблокировать любой смартфон. Часть 1
- [WordPress, Веб-дизайн, Разработка веб-сайтов] SamsPcbLab, часть 2: WP, CSS, PHP и печатные платы
- [Информационная безопасность, Мозг] Ошибки памяти. Какие когнитивные искажения учитывать, чтобы верно распознавать ложь
- [Информационная безопасность, Сетевые технологии] Защитить удаленку (и не только) с помощью Netflow
- [Информационная безопасность, Хранение данных] Пограничный патруль США планирует 75 лет хранить данные из гаджетов путешественников
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_cert, #_tinyscouts, #_mimikatz, #_zloader, #_rat_netwire, #_obfuskatsija (обфускация), #_masslogger, #_emotet, #_rtm, #_citrix_netscaler, #_rdp, #_dharma, #_vpo (впо), #_vredonosy (вредоносы), #_blog_kompanii_rostelekomsolar (
Блог компании Ростелеком-Солар
), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 06-Окт 20:34
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 7 месяцев |
|
|
Последние полгода были, мягко говоря, непростыми. Новая реальность – новые векторы кибератак, хотя и про старые, проверенные временем инструменты злоумышленники не забывали. Solar JSOC и JSOC CERT скучать не приходилось: атаки на RDP, новые оболочки известного ВПО и методы сокрытия Mimikatz… Подробности, как всегда, письмом ниже.  Общие тренды Эксплуатация темы COVID-19 Во втором квартале 2020 года злоумышленники активно эксплуатировали тему пандемии в атаках с использованием социальной инженерии (неожиданно, правда?). Как правило, вредоносные письма имитировали официальную рассылку с информацией о коронавирусе, что в период всеобщей паники и напряженности существенно повысило эффективность таких атак. Причем хакеры задействовали не только массовые вирусы (шифровальщики, банковские трояны, RAT и т.д.), но также были случаи использования темы пандемии APT-группировками. Атаковали практически все отрасли и типы клиентов (от SMB до enterprise и госкорпораций). Пример фишингового письма якобы от Центра по контролю и профилактике заболеваний США:  Шифровальщик Dharma и атаки на RDP Во время пандемии многие компании организовывали удаленный режим работы в основном по RDP. Кто во что горазд как умел. Это спровоцировало рост успешных атак на организации по двум векторам: brute-force атаки по RDP и взлом систем сотрудников с последующим проникновением в инфраструктуру. Кроме того, в конце марта 2020 года на теневых форумах появилось объявление о продаже исходников шифровальщика Dharma за 2000$. А уже в апреле и мае мы столкнулись с расследованиями инцидентов, в которых злоумышленник (и, судя по итогам расследования, это были несколько разных атакующих) проник в инфраструктуру жертвы, перебрав пароль от локальной учетной записи администратора по протоколу RDP. После этого он решил обойти антивирус простым, но эффективным способом: запустил несколько десятков копий шифровальщика в разных оболочках. Большинство файлов были обнаружены и удалены антивирусом, но для успешного шифрования хватило одного незадетектированного сэмпла. Попытки злоумышленника обойти защиту видны в журналах антивируса:  Данный факт позволяет предположить, что исходные коды Dharma кто-то все-таки купил и умело пользуется им, накрывая шифровальщик различными обертками. Использование легитимных сервисов Сохранился тренд на использование находящихся в публичном поле эксплойтов для компрометации необновленных веб-сервисов. Тот же ShellShock, например, до сих пор часто применяется при атаках на госсектор. Аналогичные векторы встречаются в атаках на энергетику и ТЭК. E-сommerce и банки, напротив, довольно неплохо выстраивают защиту собственных веб-приложений, поэтому с такими проблемами сталкиваются крайне редко. В одном из расследований нам встретилось использование комбинации уязвимостей на JBoss Web Application Server. В результате их эксплуатации злоумышленник поместил на сервер шелл (jcmd.war), а для передачи команд этому шеллу воспользовался SSRF-уязвимостью в WebLogic-сервере:  Команды представляли собой powershell-скрипты, которые выполняли на системе различные действия и отправляли команды по DNS-туннелю на легитимный сайт ceye.io, созданный ИБ-специалистами для тестирования корпоративных систем:  На сайте в аккаунте злоумышленника появлялось нечто подобное:  В итоге он смог получить результат выполнения команды, собрав фрагменты ответа вручную или с помощью скрипта. Базовые атаки и типовые злоумышленники Ниже приведены векторы атак, которые применяли злоумышленники с низкой социальной ответственностью квалификацией. Как правило, они занимаются шифрованием серверов и рабочих станций, майнингом криптовалюты, созданием из полученных ресурсов бот-сетей для организации DDoS-атак или фишинговых рассылок, а также перепродажей полученных доступов более профессиональным хакерам. Уязвимость в Citrix CVE-2019-19781 Уязвимость класса RCE, найденная в ПО Citrix NetScaler в конце 2019 года, стала одной из самых громких и легко эксплуатируемых за последнее время. После выхода новости и PoC в паблик сразу стал очевиден масштаб проблемы: десятки тысяч систем оказались уязвимы по всему миру. Со своей стороны мы также фиксируем массовые атаки на организации кредитно-финансовой сферы, ТЭК, энергетики и промышленности. В частности, в одном из собственных расследований мы столкнулись с тем, что данная уязвимость стала точкой входа злоумышленника в инфраструктуру. Установив web shell на систему Citrix NetScaler, он смог сохранять доступ в течение семи месяцев. Следы эксплуатации уязвимости CVE-2019-19781 выглядят так:  Новая оболочка RTM Злоумышленники стали рассылать известный банковский троян RTM в новой оболочке, которая имеет довольно простую структуру и работает в три этапа. Ниже приведен первый слой обертки, который расшифровывает шелл-код и передает ему управление.  Далее шелл-код, имеющий примерно такую же простую структуру, расшифровывает и запускает исполняемый файл, который далее распаковывает RTM с помощью функции RtlDecompressBuffer и запускает его:  Как известно, последние годы RTM лидирует в российском пространстве по количеству фишинговых рассылок. Атаки направлены на максимальный захват инфраструктуры и закрепление в ней с последующей попыткой монетизации через вывод денежных средств. Возобновление активности Emotet Загрузчик Emotet, которого практически не использовали в России весь прошлый год, вновь активировался в июле 2020 года и в этот раз распространял банковский троян QBot. Мы фиксируем его у наших заказчиков из разных отраслей: энергетика, госсектор, кредитно-финансовая сфера. При этом один из модулей Qbot позволяет красть почтовые письма, которые операторы, распространяющие Emotet, дальше используют для фишинговых рассылок. Это значительно повышает уровень доверия получателей и увеличивает шанс заражения. Распространялся вредонос в оболочке, которая маскировалась под приложение MFC.  В одном из защитных слоев используется control-flow обфускация.  Рассылки стилера MassLogger Недавно мы зафиксировали у одного из зарубежных заказчиков новый стилер MassLogger. И пусть его рассылают пока нечасто, он уже попал на радары специалистов по информационной безопасности. К слову, в рассылках на российские компании он еще не был замечен. Вирус является исполняемым файлом .NET, защищен оболочкой с множеством проверок виртуального окружения и обфусцирован. Используется три основных способа обфускации: control-flow обфускация, шифрование строк и динамическая инициализация делегатов. Пример control-flow обфускации приведен ниже:  В начале исполнения расшифровывается один из ресурсов, который содержит в себе специальный словарь. Ключом является токен поля одного из классов, а значением – токен функции, делегатом которой нужно инициализировать это поле. Далее многие функции вызываются через эти динамически инициализированные поля. Ниже приведен фрагмент кода, где происходит заполнение словаря и инициализация полей делегатами:  Семейство MassLogger способно отправлять собранные с компьютера жертвы данные тремя способами: на панель управления (http), на FTP-сервер или на почтовый ящик. В конфигурации вируса указаны необходимые учетные данные для FTP и почтового сервера (в зависимости от используемого метода отправки). В этом аспекте MassLogger имеет сходство с некоторыми другими стилерами .net: Hawkeye, Agent Tesla. Ниже приведен фрагмент кода с заполнением конфигурации:  Рассылки NetWire в Visual Basic оболочке В самых разных отраслях фиксировались массовые рассылки RAT NetWire в оболочке, написанной на Visual Basic. Нам встречались как вариации с native-кодом, так и с p-code. Задача оболочки – проверка на виртуальное окружение, отладка и загрузка NetWire с определенных вшитых адресов. В прошлом году мы наблюдали множество различных семейств стилеров в похожей оболочке, но данный образец включает в себя больше методов обфускации и обнаружения виртуального окружения. Характерный фрагмент кода этого VB-пакера указан ниже:  Пример обнаружения нежелательных сервисов по вычисляемому хешу имени сервиса (например, «VMware Tools» или «VMware Snapshot Provider»):  Рассылки Zloader с использованием Excel 4.0 макросов У некоторых наших заказчиков из кредитно-финансовой сферы фиксировались рассылки ВПО Zloader. Пользователи получали документ Excel, при открытии которого запускались определенные формулы в ячейках, выполняющие необходимые действия, включая антианализ и загрузку ВПО. Сами формулы были разбросаны по огромному листу, чтобы их было труднее заметить и проанализировать. Стоит отметить, что технология макросов 4.0 считается устаревшей и сейчас почти не используется.  Продвинутые группировки и сложный инструментарий Для продвинутых кибергруппировок ключевой задачей является не просто проникновение в инфраструктуру, а максимально долгое и незаметное нахождение внутри нее, длительный контроль и доступ к конфиденциальным данным (кибершпионаж). В отчетный период они действовали следующим образом. Еще один метод скрытия Mimikatz В одном из наших расследований злоумышленники достаточно высокого технического уровня использовали для обхода антивируса и запуска Mimikatz интересную технику. Mimikatz в зашифрованном виде был помещен в оболочку, которая принимала из командной строки два параметра: ключ и вектор инициализации. Далее с помощью библиотеки CryptoPP Mimikatz расшифровывался, и управление передавалось ему. Ниже указан фрагмент кода с установкой ключа и вектора, а также с подготовкой буфера для расшифрования данных:  В итоге средство антивирусной защиты промолчало при запуске утилиты Mimikatz и злоумышленнику удалось получить учетные данные. Новая хакерская группировка TinyScouts Летом 2020 года мы выявили новую киберпреступную группировку, которая атаковала банки и энергетические компании. TinyScouts отличает высокий уровень технических навыков и вариабельность сценария атаки. Подробнее о TinyScouts мы писали вот здесь. На этом всё. Ушли на фронт новые расследования. Игорь Залевский, руководитель отдела расследования киберинцидентов JSOC CERT Аскер Джамирзе, эксперт по техническому расследованию отдела JSOC CERT =========== Источник: habr.com =========== Похожие новости:
Блог компании Ростелеком-Солар ), #_informatsionnaja_bezopasnost ( Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 06-Окт 20:34
Часовой пояс: UTC + 5