Tecnologia
Prodotti
Risorse
Azienda
Italiano
Tecnologia
Prodotti
Blog
Risorse
Azienda

I primi segnali di un ransomware: un gioco d’assalto

Brianna Leddy, Director of Analysis | martedì 7 settembre 2021

L’installazione di un ransomware è la fase finale di un attacco informatico. Per arrivare a questa fase conclusiva, il pirata informatico deve prima aver portato a termine varie fasi, inclusi movimenti laterali ed escalation dei privilegi. La capacità di rilevare e reagire fin dalle prime fasi è quindi tanto importante quanto rilevare l’attività di crittografia stessa.

I pirati informatici sfruttano diverse strategie, come “Living off the Land” ed elaborazione accurata di attività Command & Control (C2), per integrarsi con il normale traffico di rete ed eludere le difese di sicurezza tradizionali. L’analisi seguente esamina tattiche, tecniche e procedure (TTP) utilizzate in molti attacchi ransomware descrivendo dettagliatamente una compromissione che si è verificata presso un fornitore della difesa in Canada.

Fasi di un attacco ransomware

Figura 1: sequenza dell’attacco.

Fase iniziale: accesso iniziale ad un account privilegiato

Il primo segnale di una compromissione è stato l’accesso a un server utilizzando credenziali insolite, seguito da attività di amministratore inconsuete. I pirati informatici possono acquisire nome utente e password in vari modi, dal credential stuffing all’acquisto sul Dark Web. Poiché il pirata informatico aveva acquisto un accesso privilegiato fin da subito, non era stato necessario eseguire l’escalation dei privilegi.

Movimenti laterali

Due giorni dopo, il pirata informatico ha iniziato a diffondersi dal server iniziale. Il server compromesso aveva iniziato ad inviare comandi Windows Management Instrumentation (WMI) insoliti.

Aveva quindi acquisito il controllo remoto di altri quattro dispositivi, eseguendo l’autenticazione semplicemente utilizzando una singola credenziale amministratore. Uno di questi dispositivi era un controller di dominio (DC), un altro era un server di backup.

Utilizzando un WMI, un comune strumento di amministrazione, per eseguire movimenti laterali, il pirata informatico ha optato per una tecnica “live off the land” anziché introdurre un nuovo strumento per il movimento laterale, con lo scopo di non essere rilevato dallo stack di sicurezza aziendale. Darktrace ha comunque rilevato l’insolito utilizzo dello strumento WMI e Cyber AI Analyst ha correlato l’inconsueta tempistica delle connessioni WMI.

Modelli:

  • New or Uncommon WMI Activity
  • AI Analyst / Extensive Chain of Administrative Connections

Creazione di C2

I quattro dispositivi si erano quindi connessi all’IP 185.250.151[.]172. Tre di questi, inclusi il DC e il server di backup, avevano iniziato ad inviare beacon SSL all’IP utilizzando il dominio DNS dinamico goog1e.ezua[.]com.

Gli endpoint C2 dispongono di un’intelligenza open-source (OSINT) estremamente limitata, ma sembra che uno script tipo Cobalt Strike avesse utilizzato l’endpoint in precedenza. Ciò suggeriva l’utilizzo di strumenti complessi, poiché il pirata informatico aveva utilizzato SSL dinamici Google falsificati per mascherare le proprie attività di beaconing.

Stranamente, durante l’intero attacco, solo questi tre dispositivo utilizzavano le connessioni SSL per il beaconing, mentre attività C2 laterali venivano eseguite su protocolli non crittografati. Sembrava quindi che questi tre fondamentali dispositivi venissero utilizzati in modo differente rispetto agli altri dispositivi di rete infettati.

Modelli:

  • compromissione immediata di Anomalous External Activity from Critical Network Device, quindi numerosi modelli di violazione che riguardavano beaconing e SSL su DNS dinamici. (Domain Controller DynDNS SSL o HTTP erano particolarmente specifici per questa attività.)

Fase intermedia: ricognizione interna e ulteriori movimenti laterali

La catena di attacco si è concretizzata quindi in due cicli di movimenti laterali, seguiti dall’avvio di attività C2 nelle nuove destinazioni controllate.

Figura 2: sequenza osservata di movimenti laterali e attività C2.

Quindi, dopo aver stabilito attività C2, il DC aveva inviato richieste WMI ad ulteriori 20 IP per un periodo di tempo prolungato. Aveva inoltre eseguito la scansione di 234 IP tramite ping ICMP, presumibilmente nel tentativo di trovare altri host.

Molti di questi probabilmente contenevano richieste di riscatto, in particolare quando i dispositivi presi di mira erano degli hypervisor. Il ransomware era stato probabilmente distribuito con comandi remoti tramite WMI.

Modelli:

  • AI Analyst / Suspicious Chain of Administrative Connections (dal server iniziale al DC, all’hypervisor)
  • AI Analyst / Extensive Suspicious WMI Activity (dal DC)
  • Device / ICMP Address Scan, Scanning of Multiple Devices Incidente AI Analyst (dal DC)

Ulteriori attività C2

Non appena si è interrotta la seconda fase dei movimenti laterali, è stata rilevata una seconda fase di attività C2 non crittografate da cinque nuovi dispositivi. Ognuno di questi iniziava con richieste GET all’IP individuato nel SSL C2 (185.250.151[.]172), che utilizzava l’hostname falsificato google[.]com.

L’attività iniziava su ogni dispositivo con richieste HTTP per un URI che terminava in .png, prima di un’attività di beaconing più consistente verso l’URI /books/. Alla fine, i dispositivi eseguivano richieste POST all’URI /ebooks/?k= (un identificatore univoco per ogni dispositivo). Tutto ciò sembrava un modo per camuffare un beacon C2 in qualcosa che assomigliasse al traffico Google plausibile.

In questo modo, crittografando alcune connessioni C2 con SSL per un dominio DNS dinamico, mentre creava altri HTTP non crittografati per assomigliare al traffico di google[.]com, il pirata informatico operava senza essere rilevato dagli strumenti antivirus aziendali.

Darktrace ha identificato questa attività anomala e ha generato un gran numero di modelli di violazione relativi a connessioni esterne.

Modelli:

  • otto violazioni di Compromise / HTTP Beaconing to New Endpoint dai dispositivi coinvolti

Completamento della missione: scacco matto

Alla fine il pirata informatico aveva installato il ransomware. Il messaggio di riscatto dichiarava che erano state esfiltrate informazioni sensibili, che sarebbero state divulgate nel caso in cui l’azienda non avesse pagato.

In realtà ciò non era vero. Darktrace ha confermato che non era stato esfiltrato alcun dato, poiché le comunicazioni C2 avevano in realtà inviato troppo pochi dati. Mentire riguardo all’esfiltrazione di dati al fine di estorcere un riscatto è una tattica comune usata dai pirati informatici e la visibilità è fondamentale per determinare se si tratta o meno di un bluff.

Inoltre, Antigena, la tecnologia di Autonomous Response di Darktrace, aveva bloccato i download interni da uno dei server compromessi fin dalla prima fase dei movimenti laterali, poiché aveva classificato il volume di dati in arrivo come insolito per il dispositivo del cliente. Molto probabilmente il pirata informatico tentava di trasferire i dati in preparazione dell’obiettivo finale, quindi il blocco aveva evitato che questi dati fossero spostati per eseguire poi l’esfiltrazione.

Figura 3: modello di violazione di Antigena.

Figura 4: comunicazioni SMB bloccate tra il dispositivo e il server compromesso tre secondi dopo.

Modelli:

  • Unusual Incoming Data Volume
  • High Volume Server Data transfer

sfortunatamente Antigena non era attivo sulla maggior parte dei dispositivi coinvolti nell’incidente. In modalità attiva, Antigena avrebbe interrotto le fasi iniziali di questa attività, inclusi gli insoliti accessi come amministratore e le attività di beaconing. Il cliente ora sta lavorando per attivare completamente Antigena, in modo da disporre dell’Autonomous Response 24 ore su 24, 7 giorni su 7.

Indagine di Cyber AI Analyst

L’AI di Darktrace ha rilevato e segnalato le attività di beaconing da parte di numerosi dispositivi, incluso il DC, che era il dispositivo con il punteggio più alto di comportamento insolito quando l’attività era in corso. Ha riepilogato poi queste informazioni in tre incidenti: “Possibile Command and Control SSL”, “Significativa attività WMI remota sospetta” e “Scansione di dispositivi remoti”.

Cosa fondamentale, Cyber AI Analyst non ha solo riepilogato l’attività di amministratore eseguita dal DC, ma l’ha anche correlata al primo dispositivo attraverso un’insolita catena di connessioni amministrative.

Figura 5: l’incidente analizzato da Cyber AI Analyst mostra un catena sospetta di connessioni amministrative che correlava il primo dispositivo nella catena della connessioni a un hypervisor quando è stato rilevato un messaggio di riscatto tramite il DC compromesso, risparmiando tempo prezioso durante l’indagine. Ha inoltre evidenziato le credenziali comuni in tutte le connessioni durante i movimenti laterali.

Cercare manualmente i collegamenti dei movimenti laterali è un processo laborioso, gestito perfettamente dall’AI. In questo caso, ha consentito al team della sicurezza di risalire rapidamente al dispositivo che era stato probabilmente il punto iniziale dell’attacco e trovare le credenziali comuni nella connessioni.

Agire come una macchina

Per ottenere un quadro completo relativo ad un attacco ransomware, è importante andare oltre la crittografia finale e analizzare le fasi precedenti della kill chain. Nell’attacco descritto in precedenza, la crittografia stessa non aveva generato traffico di rete, quindi era fondamentale rilevare l’intrusione fin dalle fasi iniziali.

Nonostante il pirata informatico abbia usato una tecnica “Living off the Land” e WMI con una credenziale amministratore compromessa, nonché lo spoof dell’hostname comune google[.]com per C2 e avesse applicato un DNS dinamico alle connessioni SSL, Darktrace ha identificato tutte le fasi dell’attacco, correlandole immediatamente in un resoconto significativo relativo all’incidente. Ciò sarebbe stato praticamente impossibile per un analista umano senza eseguire un’impegnativa verifica nel momento delle singole connessioni.

Con attacchi ransomware sempre più rapidi e frequenti, la minaccia imminente rappresentata dall’AI offensiva e dallo sviluppo del mercato nel Dark Web, i team della sicurezza sommersi da falsi positivi e pochissimo tempo a disposizione, oggi l’AI è una componente essenziale di qualsiasi soluzione di sicurezza. La scacchiera è pronta, il tempo stringe e la posta in gioco è sempre più alta. Ora tocca a voi.

Grazie a Daniel Gentle, analista di Darktrace, per queste informazioni relative al rilevamento delle minacce.

Scopri come Darktrace rileva ogni singola fase di un attacco ransomware

IoC:

IoCCommenti
185.250.151[.]172Indirizzi IP usati sia per HTTP che SSL per attività di C2
goog1e.ezua[.]comHostname DNS dinamico usato per SSL per attività di C2

Rilevamento dei modelli Darktrace:

  • Modelli AI Analyst:
    • Extensive Suspicious WMI Activity
    • Suspicious Chain of Administrative Connections
    • Scanning of Multiple Devices
    • Possible SSL Command and Control
  • Modello meta:
    • Device / Large Number of model breaches
  • Modelli di connettività esterna:
    • Anonymous Server Activity / Domain Controller DynDNS SSL or HTTP
    • Compromise / Suspicious TLS Beaconing to Rare External
    • Compromise / Beaconing Activity To External Rare
    • Compromise / SSL to DynDNS
    • Anomalous Server Activity / External Activity from Critical Network Device
    • Compromise / Sustained SSL or HTTP Increase
    • Compromise / Suspicious Beaconing Behaviour
    • Compromise / HTTP Beaconing to New Endpoint
  • Modelli di attività interne:
    • Device / New or Uncommon WMI Activity
    • User / New Admin Credentials on Client
    • Device / ICMP Address Scan
    • Anomalous Connection / Unusual Incoming Data Volume
    • Unusual Activity / High Volume Server Data Transfer

Tecniche MITRE ATT&CK rilevate:

Initial AccessT1178 — Valid Accounts
ExecutionT047 — Windows Management Instrumentation
DiscoveryT1046 — Network Service Scanning
Command and ControlT1071.001 — Web Protocols

Brianna Leddy

Based in San Francisco, Brianna is Director of Analysis at Darktrace. She joined the analyst team in 2016 and has since advised a wide range of enterprise customers on advanced threat hunting and leveraging Self-Learning AI for detection and response. Brianna works closely with the Darktrace SOC team to proactively alert customers to emerging threats and investigate unusual behavior in enterprise environments. Brianna holds a Bachelor’s degree in Chemical Engineering from Carnegie Mellon University.