Tecnologia
Prodotti
Risorse
Azienda
Italiano
Tecnologia
Prodotti
Blog
Risorse
Azienda

Come l’AI ha rilevato un hacker che si nascondeva in una rete elettrica durante le ore di utilizzo

Max Heinemeyer, Director of Threat Hunting | venerdì 9 ottobre 2020

Un pirata informatico aveva già compiuto i primi passi di un’intrusione critica in un’organizzazione energetica europea quando l’azienda ha implementato l’AI per la cyber defense. Nonostante il pirata informatico fosse già in agguato nel sistema, Darktrace è stata in grado di riconoscere che l’attività deviava dal “pattern of life” appreso del resto dell’organizzazione.

L’hacker aveva compromesso un desktop e aveva stabilito un Command & Control (C2), scaricando file eseguibili camuffati da file PNG innocui. Ma Darktrace ha raggruppato autonomamente il desktop in un “peer group” di dispositivi simili, riconoscendo che il suo comportamento era anomalo rispetto al gruppo più ampio.

L’intrusione ha utilizzato molte tecniche di evasione comuni per aggirare gli strumenti tradizionali, tra cui tecniche “Living off the Land” e malware di mascheramento dietro i tipi di file comunemente usati. Al rilevamento di Darktrace, un’analisi successiva di questi file “innocui” suggerisce che potrebbero portare a un possibile accesso remoto del dispositivo compromesso, grazie all’uso del framework Metasploit.

Dettagli sull’attacco

Figura 1: Sequenza dell’attacco

Subito dopo l’installazione, Darktrace ha iniziato a monitorare il comportamento di circa 5.000 dispositivi, stabilendo il loro “pattern of life”, nonché quello dei loro “peer group” e dell’organizzazione più ampia. A sole due ore dall’inizio di questo processo di apprendimento, è stato osservato il desktop di un amministratore che effettuava connessioni sospette a più domini ospitati sull’IP 78.142.XX.XXX. La natura regolare di queste connessioni suggerisce che l’infezione era già stata stabilita sul dispositivo.

Il giorno successivo, è stato osservato che il desktop scaricava un file eseguibile sospetto denominato d.png e successivamente si sono verificati download simili.

I file eseguibili sono spesso mascherati come altri tipi di file per aiutare a bypassare le misure di sicurezza, tuttavia l’estensione del file non corrispondente era stata immediatamente rilevata da Darktrace e segnalata per ulteriori indagini.

La mancanza di OSINT per l’origine del download al momento di questa attività significava che altre misure di sicurezza potrebbero aver perso le connessioni HTTP sospette. Tuttavia, la rarità dell’IP sulla rete insieme al comportamento insolito rispetto ad altri dispositivi di rete ha portato Darktrace a rilevare rapidamente questo beaconing dannoso.

Panoramica sul dispositivo infetto

Dopo la prima violazione del modello, Darktrace ha continuato a monitorare il dispositivo infetto, rappresentando graficamente le connessioni regolari all’endpoint dannoso w.gemlab[.]top. Il dispositivo ha effettuato diverse connessioni a questo endpoint a intervalli precisi di 3 ore, suggerendo alcune attività automatizzate. Nessun altro dispositivo nel “peer group” mostrava questo tipo di comportamento.

Figura 2: Darktrace presenta le connessioni in un grafico, con le violazioni del modello rappresentate da punti arancioni

Darktrace ha rilevato la natura sospetta di queste connessioni HTTP, evidenziando chiaramente la violazione del modello affinché il team di sicurezza possa esaminarla e porvi rimedio.

Figura 3: Darktrace fa emergere i dettagli di alto livello della violazione del modello

Figura 4: Il registro degli eventi del dispositivo

Rilevare una minaccia già all’interno

Questo esempio di attacco sofisticato mostra un tentativo di “mimetizzarsi” tra il traffico regolare. Tuttavia, l’Enterprise Immune System di Darktrace era ancora in grado di identificare i segni della cattiva intenzione, data la sua capacità di rilevare automaticamente e raggruppare “peer group” di utenti e dispositivi, riconoscendo così ancora comportamenti anomali sul singolo dispositivo compromesso. Nonostante sia stata attiva solo per poche ore, Darktrace ha immediatamente segnalato l’attività per ulteriori indagini.

Senza i rilevamenti e gli avvisi real-time di Darktrace e senza una risposta rapida da parte del team di sicurezza per contenere la minaccia, le potenziali conseguenze di questa intrusione non possono essere sottovalutate. Con Command & Control efficaci e la concessione di privilegi sufficienti, è noto che i pirati informatici abbiamo interrotto intere reti energetiche, causando blackout di massa in Ucraina e in Estonia. In alternativa, gli hacker avrebbero potuto trattenere grandi volumi di file sensibili per il ransom, provocando enormi danni finanziari e reputazionali all’azienda in questione.

Questa non è la prima volta che Darktrace identifica infezioni esistenti negli ambienti dei clienti ed è probabile che non sia l’ultima. Un approccio self-learning alla cyber defence non si limita a identificare i cambiamenti nell’ambiente, ma è in grado di rilevare compromissioni esistenti e attacchi nuovi e avanzati che eludono le regole e le firme tradizionali.

Grazie all’analista di Darktrace Emma Foulger per le sue intuizioni sulla scoperta della minaccia di cui sopra.

IoC:

IoCCommento
cloud.apcdn[.]ruPiù download del file da questo endpoint
URI: /d.png
Hash: 82e1c9727ae04a19c8a155559e1855349e528244
w.gemlab[.]topLa prima connessione C2 osservata è stata vista con questo nome host
cloud.gemlab[.]top
img.gemlab[.]top
img.apcdn[.]ru
Altre comunicazioni C2 viste a questi nomi host

Rilevamenti del modello Darktrace:

  • Device / Suspicious Domain
  • Compromise / Agent Beacon (Long Period)
  • Anomalous File / EXE from Rare External Location
  • Anomalous File / Masqueraded File Transfer

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.