Tecnología
Productos
Recursos
Empresa
Español
Tecnología
Productos
Blog
Recursos
Empresa

Ciberataques inspirados en Hafnium neutralizados por la IA

Max Heinemeyer, Director of Threat Hunting | jueves 18 de marzo de 2021

El 11 y 12 de marzo de 2021, Darktrace detectó múltiples intentos de una amplia campaña para atacar servidores vulnerables en entornos de clientes. La campaña se centró en servidores Microsoft Exchange conectados a Internet, aprovechando la vulnerabilidad ProxyLogon (CVE-2021-26855) descubierta recientemente.

Si bien esta vulnerabilidad se atribuyó inicialmente a un grupo conocido como Hafnium, Microsoft anunció que la vulnerabilidad también estaba siendo rápidamente utilizada por otros actores de amenazas. Estas nuevas campañas no atribuidas y nunca antes vistas, fueron detenidas por Cyber ​​AI en tiempo real.

Imitadores de Hafnium

Es habitual que tan pronto como una vulnerabilidad se hace pública haya una afluencia de ataques a medida que los hackers aprovechan el caos e intentan atacar las redes vulnerables.

Los hackers modifican rápidamente los parches una vez publicados por el proveedor, lo que genera vulnerabilidades masivas de alto impacto. Al mismo tiempo, las herramientas ofensivas se difunden a través de los primeros en adoptarlas, como los actores de Estado-Nación, hasta las bandas de ransomware y otros atacantes oportunistas. Darktrace ha observado este mismo fenómeno como resultado de los ataques de Hafnium contra servidores de correo electrónico vulnerables de Microsoft Exchange este mes.

Servidores Exchange atacados: Análisis de IA

La Cyber ​​AI ha observado a los actores de amenazas que intentan descargar e instalar malware utilizando ProxyLogon como vector de ataque inicial. Para los clientes con Autonomous Response, la carga útil maliciosa fue interceptada en este punto, deteniendo el ataque antes de que se desarrolle.

En otros entornos de clientes de Darktrace, Darktrace Immune System identificó y alertó en cada etapa del ataque. En general, se ha observado que el malware actúa como una puerta trasera genérica, sin mucha actividad de seguimiento. Se detectaron varias formas de canales de mando y control (C2), incluyendo Telegra[.]ph. En algunas intrusiones, los atacantes instalaron mineros de criptomonedas.

Una vez que se ha establecido un punto de apoyo en el entorno digital, es probable que los actores comiencen un ataque manual mediante el teclado, exfiltrando datos, moviéndose lateralmente o implementando ransomware.

Figura 1: Línea de tiempo de una vulnerabilidad típica ProxyLogon

Tras aprovechar la vulnerabilidad de ProxyLogon, los servidores de Exchange fueron dirigidos al dominio malicioso microsoftsoftwaredownload[.]com utilizando un agente de usuario de PowerShell. Darktrace marcó este comportamiento anómalo ya que el servidor de Exchange nunca había utilizado el agente de usuario en particular, y mucho menos para acceder a un dominio malicioso que nunca se había observado en la red.

Figura 2: Darktrace revela una conexión anómala PowerShell

El malware ejecutable se hizo pasar por un archivo ZIP, intentando ocultar aún más el ataque. Darktrace identificó esta descarga de archivo altamente anómala y el archivo enmascarado.

Figura 3: Darktrace revela información clave sobre la descarga del archivo anómalo

En algunos casos, Darktrace AI también observó la minería de criptomonedas segundos o minutos después de la descarga inicial del malware.

Figura 4: Se infringe el modelo de minería de criptomonedas de Darktrace

En términos de tráfico C2, Darktrace observó varios canales potenciales. Aproximadamente en el momento de la descarga del malware, algunos de los servidores de Exchange comenzaron a enviar señales a varios destinos externos utilizando conexiones inusuales encriptadas SSL o TLS.

  • Telegra[.]ph — aplicación popular de mensajería
  • dev.opendrive[.]com — servicio de almacenamiento en la nube
  • od[.]lk — servicio de almacenamiento en la nube

En este caso, Darktrace reconoció que ninguno de estos tres dominios externos había sido contactado antes por nadie en la organización, y mucho menos en forma de beaconing. El hecho de que estas comunicaciones comenzaron casi al mismo tiempo que las descargas de malware sugiere una fuerte correlación. El Cyber AI Analyst de Darktrace comenzó automáticamente una investigación sobre el incidente, uniendo estos eventos en una narrativa lógica.

Investigación con IA

Cyber AI Analyst creó automáticamente un informe resumido de incidentes sobre la actividad, que cubría la descarga de malware, así como los diversos canales C2 observados.

Figura 5: Cyber AI Analyst genera automáticamente un resumen de incidentes de alto nivel

Observando un servidor Exchange infectado ([REDACTED].local) desde una perspectiva general se nota que Darktrace creó varias alertas cuando se inició el ataque. Cada uno de los puntos de colores en el siguiente gráfico representa una anomalía importante detectada por Darktrace.

Figura 6: Darktrace revela el número anómalo de conexiones y las subsiguientes violaciones del modelo

Esta actividad se priorizó como el incidente de mayor prioridad en Cyber AI Analyst de una semana completa de datos. En esta organización en particular, solo hubo cuatro incidentes para esa semana en total en Cyber AI Analyst. Una alerta tan precisa y clara permite a los equipos de seguridad comprender de inmediato las principales amenazas a las que se enfrenta su entorno digital, sin verse abrumados por alertas innecesarias y falsos positivos.

Respuesta a velocidad de máquina

Para los clientes con Darktrace Antigena, Antigena actuó de forma autónoma para bloquear todo el tráfico saliente a endpoints externos maliciosos en los puertos relevantes. Este comportamiento se mantiene durante varias horas para evitar que el actor de la amenaza intensifique el ataque y da tiempo a los equipos de seguridad para reaccionar y remediar.

Antigena respondió a los pocos segundos del inicio del ataque, conteniendo efectivamente el ataque en su etapa más temprana, sin interrumpir la actividad normal de la empresa (aún se podían enviar y recibir correos electrónicos), a pesar de que se trata de una campaña de día cero.

Figura 7: Darktrace Antigena responde de forma autónoma

Atrapando una vulnerabilidad de día cero

Esta no es la primera vez que Darktrace detiene un ataque que aprovecha una vulnerabilidad de día cero o una vulnerabilidad de día n recién lanzada. En marzo de 2020, Darktrace detectó que APT41 explotaba la vulnerabilidad de Zoho ManageEngine, dos semanas antes de la atribución pública.

Es muy probable que haya más ciberdelincuentes que exploten ProxyLogon a raíz de Hafnium. Y aunque las vulnerabilidades recientes del servidor Exchange eran la amenaza actual, la próxima vez podría ser un ataque a la cadena de suministro de software o hardware, o un día cero diferente. Todas las semanas surgen nuevas amenazas. En el ambiente actual, donde las "incógnitas conocidas" que son difíciles o imposibles de predefinir son la nueva norma, debemos ser más adaptables y proactivos que nunca.

Tan pronto como un atacante comience a exhibir una actividad inusual, Darktrace AI lo detectará, incluso si no hay información sobre la amenaza asociada con el ataque. Aquí es donde Darktrace funciona mejor, detectando, investigando y respondiendo de forma autónoma a amenazas avanzadas y nunca antes vistas en tiempo real.

Conozca más sobre Darktrace Immune System

IoCs:

IoCComentario
Microsoftsoftwaredownload[.]com:8080/c103w-a.zipMalware
Microsoftsoftwaredownload[.]com:8080/dnl.zipMalware
Mozilla/5.0 (Windows NT; Windows NT 10.0; en-GB) WindowsPowerShell/5.1.14393.2608Agente de usuario realizando la llamada inicial
198.98.61[.]152Alojamiento de malware y recepción de hashes de criptominería
Od[.]lkDestino probable de exfiltración de datos o C2
dev.opendrive[.]comDestino probable de exfiltración de datos o C2
cdn.chatcdn[.]net/p?hig210305Alojamiento de malware y C2
f31d06f55c00c7111e545304d58c7317a4f1b1848ba1396a5454d7367d70da06Software malicioso alojado en chatcdn[.]net

Ejemplo de detecciones del modelo de Darktrace:

  • Antigena / Network / Compliance / Antigena Crypto Currency Mining Block
  • Compliance / Crypto Currency Mining Activity
  • Antigena / Network / Significant Anomaly / Antigena Breaches Over Time Block
  • Anomalous Connection / Suspicious Expired SSL
  • Antigena / Network / Significant Anomaly / Antigena Significant Anomaly from Client Block
  • Antigena / Network / Significant Anomaly / Antigena Enhanced Monitoring from Client Block
  • Device / Initial Breach Chain Compromise
  • Antigena / Network / Significant Anomaly / Antigena Breaches Over Time Block
  • Anomalous File / Masqueraded File Transfer
  • Anomalous File / EXE from Rare External Location
  • Antigena / Network / External Threat / Antigena Suspicious File Block
  • Antigena / Network / External Threat / Antigena File then New Outbound Block
  • Antigena / Network / Significant Anomaly / Antigena Controlled and Model Breach
  • Anomalous File / Internet Facing System File Download
  • Device / New PowerShell User Agent
  • Anomalous File / Multiple EXE from Rare External Locations
  • Anomalous Connection / Powershell to Rare External

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.