Tecnología
Productos
Recursos
Empresa
Español
Tecnología
Productos
Blog
Recursos
Empresa

Los primeras señales del ransomware: un ataque sorpresa

Brianna Leddy, Director of Analysis | martes 7 de septiembre de 2021

La implementación de ransomware es la etapa final de un ciberataque. Un atacante debe haber realizado varios pasos previos, incluyendo movimientos laterales y una expansión de privilegios, para alcanzar esta posición final. La capacidad de detectar y contrarrestar los primeros pasos es, por lo tanto, tan importante como detectar el propio cifrado.

Los atacantes están utilizando diversas estrategias como “Living off the Land” y elaborando cuidadosamente su mando y control (C2) para mezclarse con el tráfico normal de la red y así evadir las defensas de seguridad tradicionales. El siguiente análisis examina las tácticas, técnicas y procedimientos (TTP) utilizadas por muchos atacantes de ransomware analizando en detalle un ataque que ocurrió a un contratista de defensa en Canadá.

Fases de un ataque de ransomware

Figura 1: cronología del ataque

La apertura: acceso inicial a la cuenta privilegiada

El primer indicador de ataque fue un inicio de sesión en un servidor con una credencial inusual, seguido de una actividad de administración inusual. Es posible que el atacante haya obtenido acceso al nombre de usuario y la contraseña de varias maneras, desde mediante un ataque de relleno de credenciales hasta haberlas comprado en la Dark Web. Como el atacante tenía acceso con privilegios desde el inicio, no era necesario escalar privilegios.

Movimiento lateral

Dos días después, el atacante comenzó a propagarse desde el servidor inicial. El servidor comprometido comenzó a enviar comandos inusuales de Instrumentación de Administración de Windows (WMI).

Comenzó a controlar de forma remota otros cuatro dispositivos, autenticándose en ellos con una sola credencial de administrador. Uno de los destinos era un controlador de dominio, otro era un servidor para la realización de copias de seguridad.

Al utilizar WMI, una herramienta de administración común, para el movimiento lateral, el atacante optó por la estrategia “Living off the Land” en lugar de introducir una nueva herramienta de movimiento lateral, con el objetivo de permanecer inadvertido ante los sistemas de seguridad de la empresa. El Cyber AI Analyst de Darktrace detectó el uso inusual de WMI y lo vinculó con los tiempos en los que se estaban produciendo las conexiones inusuales WMI.

Modelos:

  • New or Uncommon WMI Activity
  • AI Analyst / Extensive Chain of Administrative Connections

Establecer C2

Luego, los cuatro dispositivos se conectaron a la IP 185.250.151[.]172. Tres de ellos, incluyendo el controlador de dominio y el servidor de copia de seguridad, establecieron beacons SSL a la IP utilizando el dominio DNS dinámico goog1e.ezua[.]com.

Los endpoint C2 tenían muy poca inteligencia de código abierto (OSINT) disponible, pero parece que un script estilo Cobalt Strike había utilizado el endpoint en el pasado. Esto sugiere herramientas complejas, ya que el atacante utilizó un SSL dinámico y ataque de suplantación de identidad de Google para ocultar su beaconing.

Curiosamente, a través de la totalidad del ataque, solo estos tres dispositivos utilizaron conexiones SSL para la conexión por beacons, mientras que más tarde C2 se produjo sobre protocolos no cifrados. Parece que estos tres dispositivos críticos se trataron de forma diferente a los otros dispositivos infectados de la red.

Modelos:

  • Incumplimiento inmediato de Anomalous Activity from Critical Network Device, después varias infracciones de modelos que implican beacons y SSL a DNS dinámico. (Domain Controller DynDNS SSL o HTTP fue particularmente específico a esta actividad).

El desarrollo del juego: reconocimiento interno y mayor movimiento lateral

La cadena de ataque tomó la forma de dos ciclos de movimiento lateral, seguidos por el establecimiento de C2 en los nuevos destinos controlados.

Figura 2: cadena observada de movimiento lateral y C2

Por lo tanto, después de establecer C2, el controlador de dominio realizó solicitudes WMI a 20 IP más durante un período prolongado. También exploró 234 IP a través de pings ICMP, probablemente en un intento de encontrar a más hosts.

Muchos de estos se encontraron eventualmente con notas de rescate, en particular cuando los dispositivos objetivo eran hipervisores. El ransomware probablemente se implementó con comandos remotos a través de WMI.

Modelos:

  • AI Analyst / Suspicious Chain of Administrative Connections (desde el servidor inicial hasta el controlador de dominio y el hipervisor)
  • AI Analyst / Extensive Suspicious WMI Activity (desde el controlador de dominio)
  • Device / ICMP Address Scan, Scanning of Multiple Devices Incidente de AI Analyst (desde el controlador de dominio)

C2 adicional

Cuando se detuvo la segunda etapa del movimiento lateral, se observó una segunda etapa de C2 sin cifrar desde cinco dispositivos nuevos. Cada uno comenzó con solicitudes GET a la IP vista en el SSL C2 (185.250.151[.]172), que utilizaba el nombre de host con ataque de suplantación de identidad google[.]com.

La actividad se inició en cada dispositivo con solicitudes HTTP para un URI que finalizaba en .png, antes de establecer una beacon más consistente para el URI /books/ coherente. Eventualmente, los dispositivos realizaron solicitudes POST al URI /ebooks/?k= (un identificador único para cada dispositivo). Todo esto parece ser una manera de ocultar una beacon de C2 en lo que parece tráfico creíble a Google.

De esta manera, al cifrar unas conexiones C2 con SSL a un dominio DNS dinámico mientras se creaban otras conexiones HTTP sin cifrar para parecerse al tráfico de google[.]com, el atacante logró operar sin ser detectado por las herramientas antivirus de la empresa.

Darktrace identificó esta actividad anómala y generó un gran número de infracciones del modelo de conectividad externa.

Modelos:

  • Ocho infracciones de Compromise / HTTP Beaconing to New Endpoint desde los dispositivos afectados

Cumplir la misión: jaque mate

Por último, el atacante implementó el ransomware. En la nota de rescate, afirmaron que habían robado información delicada y que se filtraría si la empresa no pagaba.

Sin embargo, esto era mentira. Darktrace confirmó que no se habían filtrado datos, ya que las comunicaciones de C2 habían enviado muy pocos datos. Mentir acerca de la filtración de datos para extorsionar un pago es una táctica común entre los atacantes, por lo cual tener visibilidad es crucial para determinar si un actor de amenaza está mintiendo.

Además, Antigena, la tecnología de Respuesta Autónoma de Darktrace, bloqueó una descarga interna de uno de los servidores atacados en la primera ronda de movimiento lateral, porque se trataba de un volumen de datos entrante inusual para el dispositivo cliente. Es muy probable que el atacante haya intentado transferir datos al prepararse para el objetivo final, por lo que el bloqueo puede haber evitado que estos datos se trasladaran para su exfiltración.

Figura 3: infracción del modelo de Antigena

Figura 4: se bloquean las comunicaciones SMB del dispositivo con el servidor comprometido tres segundos después

Modelos:

  • Unusual Incoming Data Volume
  • High Volume Server Data transfer

Desafortunadamente, Antigena no estaba activo en la mayoría de los dispositivos involucrados en el incidente. Si se hubiera encontrado en modo activo, Antigena habría detenido las primeras etapas de esta actividad, incluyendo los inusuales inicios de sesión administrativos y la generación de beacons. El cliente ahora está trabajando para configurar Antigena completamente, y así poder beneficiarse siempre de la Respuesta Autónoma.

El Cyber AI Analyst investiga

La IA de Autoaprendizaje de Darktrace detectó e informó sobre la generación de beacons desde varios dispositivos, incluyendo el controlador de dominio, el cual era el dispositivo con mayor puntuación por comportamiento inusual en el momento de la actividad. Abrevió esta información en tres incidentes: “posible comando y control SSL”, “extensa actividad remota WMI sospechosa” y ”análisis de dispositivos remotos”.

Lo más importante es que el Cyber AI Analyst no solo resumió la actividad administrativa del controlador de dominio, sino que también la vinculó al primer dispositivo a través de una cadena inusual de conexiones administrativas.

Figura 5: Incidente del Cyber AI Analyst que muestra una cadena sospechosa de conexiones administrativas enlazando el primer dispositivo de la cadena de conexiones con un hipervisor en el que se encontró una nota de rescate a través del controlador de dominio comprometido, lo que ahorró tiempo valioso en la investigación. También destaca la credencial común a todas las conexiones de movimiento lateral.

Encontrar manualmente las cadenas de movimiento lateral es un proceso laborioso mejor adecuado para la IA. En este caso, permitió al equipo de seguridad rastrear rápidamente el dispositivo que era la fuente probable del ataque y encontrar la credencial común en las conexiones.

Jugando como máquina

Para tener un panorama completo del ataque de ransomware, es importante mirar más allá del cifrado final y entender las fases previas de la cadena de ataque. En el ataque anterior, el cifrado en sí no generó tráfico de red, por lo que la detección de la intrusión en sus primeras etapas era vital.

A pesar de que el atacante escogió la estrategia “Living off the Land”, usó WMI con una credencial de administrador comprometida, falsificó el nombre de host común google[.]com para C2, y aplicó DNS dinámico para conexiones SSL, Darktrace fue capaz de identificar todas las etapas del ataque e inmediatamente unirlas en una narrativa de seguridad coherente. Esto habría sido casi imposible de lograr para un analista humano sin una comprobación ardua de los tiempos de las conexiones individuales.

La IA se ha vuelto una parte esencial de cualquier solución de seguridad debido a las infecciones de ransomware volviéndose cada vez más rápidas y frecuentes, la amenaza de la IA ofensiva que se aproxima, el mercado Dark Web prosperando y los equipos de seguridad ahogándose bajo falsos positivos. El tablero de juego está listo, el tiempo está corriendo y las apuestas son más altas que nunca. Es su turno.

Gracias al analista de Darktrace, Daniel Gentle, por compartir su conocimiento acerca del hallazgo de amenaza discutido.

Obtén información acerca de cómo Darktrace detecta cada etapa de una intrusión de ransomware

IoCs:

IoCComentario
185.250.151[.]172Dirección IP utilizada para HTTP y SSL C2
goog1e.ezua[.]comNombre de host DNS dinámico utilizado para SSL C2

Detecciones del modelo de Darktrace:

  • Modelos de AI Analyst:
    • Extensive Suspicious WMI Activity
    • Suspicious Chain of Administrative Connections
    • Scanning of Multiple Devices
    • Possible SSL Command and Control
  • Metamodelo:
    • Device / Large Number of model breaches
  • Modelos de conectividad externa:
    • Anonymous Server Activity / Domain Controller DynDNS SSL or HTTP
    • Compromise / Suspicious TLS Beaconing to Rare External
    • Compromise / Beaconing Activity To External Rare
    • Compromise / SSL to DynDNS
    • Anomalous Server Activity / External Activity from Critical Network Device
    • Compromise / Sustained SSL or HTTP Increase
    • Compromise / Suspicious Beaconing Behaviour
    • Compromise / HTTP Beaconing to New Endpoint
  • Modelos de actividad interna:
    • Device / New or Uncommon WMI Activity
    • User / New Admin Credentials on Client
    • Device / ICMP Address Scan
    • Anomalous Connection / Unusual Incoming Data Volume
    • Unusual Activity / High Volume Server Data Transfer

Técnicas MITRE ATT&CK observadas:

Initial AccessT1178 — Valid Accounts
ExecutionT047 — Windows Management Instrumentation
DiscoveryT1046 — Network Service Scanning
Command and ControlT1071.001 — Web Protocols

Brianna Leddy

Based in San Francisco, Brianna is Director of Analysis at Darktrace. She joined the analyst team in 2016 and has since advised a wide range of enterprise customers on advanced threat hunting and leveraging Self-Learning AI for detection and response. Brianna works closely with the Darktrace SOC team to proactively alert customers to emerging threats and investigate unusual behavior in enterprise environments. Brianna holds a bachelor’s degree in Chemical Engineering from Carnegie Mellon University.