Tecnologia
Prodotti
Settori
Notizie
Eventi
Risorse
Azienda
Italiano
Tecnologia
Prodotti
Settori
Notizie
Blog
Eventi
Risorse
Azienda

Attacchi informatici ispirati a Hafnium neutralizzati dall’AI

Max Heinemeyer, Director of Threat Hunting | giovedì 18 marzo 2021

L’11 e il 12 marzo 2021, Darktrace ha rilevato numerosi tentativi di attacco relativi ad una campagna estesa che prendeva di mira server vulnerabili negli ambienti dei propri clienti. Questa campagna aveva come obiettivo server Microsoft Exchange collegati a Internet, sfruttando la vulnerabilità ProxyLogon (CVE-2021-26855) scoperta da poco.

Anche se inizialmente questo tentativo era stato attribuito ad un gruppo conosciuto come Hafnium, Microsoft aveva in seguito annunciato che la vulnerabilità era stata rapidamente sfruttata anche da altri pirati informatici. Queste campagne, nuove e non ancora attribuite e mai rilevate in precedenza, sono state interrotte dalla Cyber AI in tempo reale.

Hafnium copycat

Non appena una vulnerabilità viene resa pubblica è consueto che da qual momento si registri un flusso di attacchi, poiché i pirati informatici sfruttano il caos e tentano di compromettere le reti vulnerabili.

Gli hacker effettuano rapidamente il reverse-engineering delle patch, una volta che vengono pubblicate dai fornitori, creando un gran numero di tentativi ad impatto elevato. Contemporaneamente, lo strumento di attacco inizia ad avere un effetto favorevole grazie ai primi nuovi utilizzatori, come pirati informatici nation-state, gruppi che sviluppano ransomware e altri pirati informatici opportunisti. Darktrace ha osservato il verificarsi proprio di questo fenomeno come risultato degli attacchi Hafnium ai danni di server di posta elettronica Microsoft Exchange vulnerabili nel corso di questo mese.

Server Exchange attaccati: analisi dell’AI

La Cyber AI ha rilevato il tentativo da parte dei pirati informatici di scaricare e installare malware utilizzando ProxyLogon come vettore d’attacco iniziale. Presso i clienti dotati di tecnologia di Autonomous Response, il payload pericoloso è stato rilevato in quel momento, bloccando così l’attacco prima di qualsiasi sviluppo.

In altri ambienti relativi a clienti Darktrace, il Darktrace Immune System ha identificato e segnalato ogni fase dell’attacco. In generale, è stato osservato che il malware agiva come una backdoor generica, senza molta attività di follow-up. Sono state rilevate varie forme di canali command & control (C2), fra cui Telegra[.]ph. In alcune intrusioni, i pirati informatici hanno installato miner di criptovaluta.

Una volta stabilito un punto di accesso nell’ambiente digitale, è probabile che i pirati informatici avviino un attacco "hands-on-keyboard", esfiltrando dati, muovendosi lateralmente o installando ransomware.

Figura 1: cronologia di un tipico exploit ProxyLogon

Dopo aver sfruttato la vulnerabilità ProxyLogon, i server Exchange sono stati raggiunti da un dominio pericoloso microsoftsoftwaredownload[.]com, utilizzando un agente utente PowerShell. Darktrace ha segnalato questo comportamento come anomalo, perché questo particolare agente utente non era mai stato utilizzato in precedenza dal server Exchange, tanto meno per accedere ad un dominio pericoloso che non era mai stato osservato prima nella rete.

Figura 2: Darktrace rileva una connessione PowerShell anomala

Il malware eseguibile era mascherato come file ZIP, per cercare di confondere ancora di più l’attacco. Darktrace ha identificato il download estremamente anomalo di questo file e il file nascosto.

Figura 3: Darktrace segnala importanti informazioni relative al download del file anomalo

In alcuni casi, l’AI di Darktrace ha osservato anche attività di mining di criptovalute pochi secondi o minuti dopo il download iniziale del malware.

Figura 4: violazione del modello Crypto Currency Mining (Mining di criptovaluta) di Darktrace

In termini di traffico C2, Darktrace ha individuato numerosi potenziali canali. Più o meno nel momento del download del malware, alcuni server Exchange hanno iniziato a inviare beacon verso numerose destinazioni esterne, utilizzando insolite connessioni SSL o TLS crittografate.

  • Telegra[.]ph — applicazione di messaggistica diffusa
  • dev.opendrive[.]com — servizio di archiviazione Cloud
  • od[.]lk — servizio di archiviazione Cloud

In questo caso, Darktrace ha riconosciuto che nessuno di questi tre domini esterni era mai stato contattato in precedenza da nessuno all’interno dell’organizzazione, tanto meno in modalità di beaconing. Il fatto che queste comunicazioni fossero state avviate più o meno nello stesso momento in cui era stato scaricato il malware indicava chiaramente una correlazione. Cyber AI Analyst di Darktrace ha avviato automaticamente un’indagine relativa all’incidente, raggruppando insieme questi eventi in un resoconto coerente.

Indagine utilizzando l’AI

Cyber AI Analyst ha quindi creato automaticamente un report di riepilogo dell’incidente relativo all’attività, che riguardava sia il download del malware che i vari canali C2 rilevati.

Figura 5: Cyber AI Analyst genera automaticamente un riepilogo di livello avanzato sull’incidente

Osservando un server Exchange ([REDACTED].local) da una prospettiva più ampia si può vedere che Darktrace ha generato vari allarmi non appena l’attacco è iniziato. Ogni puntino colorato presente nel grafico seguente rappresenta un’anomalia principale rilevata da Darktrace.

Figura 6: Darktrace rivela il numero anomalo di connessioni e i successivi modelli di violazione

Questa attività è stata prioritizzata come incidente più urgente in Cyber AI Analyst, insieme ad un’intera settimana di dati. In questa particolare organizzazione, Cyber AI Analyst ha rilevato solo quattro incidenti in totale nel corso di quella settimana. Questa segnalazione chiara e precisa consente ai team della sicurezza di comprendere immediatamente le principali minacce che riguardano i loro ambienti digitali, senza essere sovraccaricati da allarmi non necessari e falsi positivi.

Risposta alla velocità delle macchine

Per i clienti che utilizzano Antigena di Darktrace, questo strumento agisce autonomamente per bloccare tutto il traffico in uscita verso pericolosi endpoint esterni sulle porte più rilevanti. Questo comportamento è stato mantenuto per diverse ore, al fine di interrompere il tentativo del pirata informatico di diffondere e ampliare il proprio attacco, garantendo ai team della sicurezza il tempo necessario per reagire e risolvere la minaccia.

Antigena ha risposto in pochissimi secondi dall’inizio dell’attacco, contenendo efficacemente l’attacco già nelle sue prime fasi, senza interrompere la normale attività aziendale (era sempre possibile inviare e ricevere e-mail), nonostante si trattasse di una campagna zero-day.

Figura 7: Darktrace Antigena risponde autonomamente

Rilevamento di un exploit zero-day

Questa non è la prima volta in cui Darktrace ha bloccato un attacco che sfruttava una vulnerabilità zero-day o una vulnerabilità n-day appena rilasciata. A marzo 2020, Darktrace aveva rilevato il tentativo da parte del pirata informatico APT41 di sfruttare la vulnerabilità Zoho ManageEngine due settimane prima dell’attribuzione pubblica.

È molto probabile che altri pirati informatici sfrutteranno ProxyLogon sulla scia di Hafnium. E mentre le recenti vulnerabilità dei server Exchange sono una minaccia odierna, la prossima volta le supply chain potranno essere colpite da un attacco software o hardware, o da uno zero-day differente. Ogni settimana emergono nuove minacce. Nella realtà di oggi, in cui le "incognite sconosciute", che sono difficili o impossibili da pre-definire, sono la nuova normalità, dobbiamo essere più che mai flessibili e proattivi.

Non appena un pirata informatico inizia a manifestare attività insolite, l’AI di Darktrace le rileverà, anche se non c’è alcuna informazione sulla minaccia associata all’attacco. Questo è il punto di forza di Darktrace, perché è in grado di rilevare, indagare e rispondere in maniera autonoma e in tempo reale a minacce evolute e mai rilevate prima.

Scopri maggiori informazioni sul Darktrace Immune System

IoC:

IoCCommenti
Microsoftsoftwaredownload[.]com:8080/c103w-a.zipMalware
Microsoftsoftwaredownload[.]com:8080/dnl.zipMalware
Mozilla/5.0 (Windows NT; Windows NT 10.0; en-GB) WindowsPowerShell/5.1.14393.2608L’agente utente esegue il callout iniziale
198.98.61[.]152Hosting del malware e ricezione degli hash di crypto-mining
Od[.]lkProbabile destinazione delle attività di C2 o esfiltrazione di dati
dev.opendrive[.]comProbabile destinazione delle attività di C2 o esfiltrazione di dati
cdn.chatcdn[.]net/p?hig210305Hosting del malware e C2
f31d06f55c00c7111e545304d58c7317a4f1b1848ba1396a5454d7367d70da06Malware ospitato su chatcdn[.]net

Esempi di rilevamenti modello di Darktrace:

  • Antigena / Network / Compliance / Antigena Crypto Currency Mining Block
  • Compliance / Crypto Currency Mining Activity
  • Antigena / Network / Significant Anomaly / Antigena Breaches Over Time Block
  • Anomalous Connection / Suspicious Expired SSL
  • Antigena / Network / Significant Anomaly / Antigena Significant Anomaly from Client Block
  • Antigena / Network / Significant Anomaly / Antigena Enhanced Monitoring from Client Block
  • Device / Initial Breach Chain Compromise
  • Antigena / Network / Significant Anomaly / Antigena Breaches Over Time Block
  • Anomalous File / Masqueraded File Transfer
  • Anomalous File / EXE from Rare External Location
  • Antigena / Network / External Threat / Antigena Suspicious File Block
  • Antigena / Network / External Threat / Antigena File then New Outbound Block
  • Antigena / Network / Significant Anomaly / Antigena Controlled and Model Breach
  • Anomalous File / Internet Facing System File Download
  • Device / New PowerShell User Agent
  • Anomalous File / Multiple EXE from Rare External Locations
  • Anomalous Connection / Powershell to Rare External

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.