CrowdStrike – Desvendando a Teia da Aranha: Timelining ATT & CK – Artefatos Usados ​​pelo GRIM SPIDER

CrowdStrike – Desvendando a Teia da Aranha: Timelining ATT & CK – Artefatos Usados ​​pelo GRIM SPIDER

A tática de destacar grandes organizações para pagamentos de alto resgate sinalizou uma mudança no ecossistema de eCrime, com foco em atividades criminosas direcionadas, de baixo volume e alto retorno. É um tipo de operação de cibercrime a que nos referimos como “caça aos grandes” . A CrowdStrike ®Services observou que o tempo desde o acesso inicial no ambiente da vítima até o lançamento do ransomware pode variar de dias a meses. Durante esse período, há várias oportunidades de detectar um adversário no processo de aprendizado da sua rede – e possivelmente interromper o ataque antes que ele ocorra. Este blog usa o framework MITER ATT & CK ™ para mapear as táticas, técnicas e procedimentos (TTPs) do GRIM SPIDER, ilustrando como um ataque se desenvolve e os diferentes estágios envolvidos.

Observado o aumento de atividade

Um aumento na atividade da GRIM SPIDER , um subgrupo da empresa criminosa. A CrowdStrike Intelligence rastreou como WIZARD SPIDER e levou à identificação de ações consistentes empregadas para realizar seus ataques. Como parte de seu comprometimento inicial – geralmente como um download de um e-mail de phishing / spam – eles ganham uma posição com seu malware modular TrickBot, que foi desenvolvido e é operado principalmente pela WIZARD SPIDER. Depois que o TrickBot é executado, novos módulos de enumeração são baixados na máquina comprometida para facilitar a propagação do GRIM SPIDER em busca de credenciais de domínio. Assim que tiverem acesso a um controlador de domínio, eles o usarão para implantar o ransomware em toda a rede. Estas observações vêm de dados de log do sistema, CrowdStrike Falcon® telemetria do sensor e a saída do Falcon Forensic Collector (uma versão personalizada da ferramenta de comunidade distribuída livremente do CrowdStrike , CrowdResponse ).

Acesso inicial e execução

Embora o uso de anexos maliciosos em e-mails de spear phishing seja o vetor de acesso inicial mais comum – determinado em múltiplas investigações CrowdStrike – os dados disponíveis de várias investigações foram removidos ou “envelheceram” os sistemas (ou seja, dispersos devido a a passagem do tempo) antes que o CrowdStrike Services confirmasse a fonte. Nos casos em que os anexos de spear phishing puderam ser verificados – depois que um usuário abriu o anexo e habilitou a funcionalidade de macro – um script do PowerShell faz o download e instala o TrickBot. Poucas horas após a execução do TrickBot, módulos adicionais do TrickBot são instalados para reconhecimento de rede e roubo de credenciais.

Persistência

O Trickbot é instalado como uma tarefa agendada, usando nomes como “WinDotNet”, “GoogleTask” ou “Sysnetsf” para se passar por processos de aparência legítima. Estes apontam para várias cópias do TrickBot instaladas no sistema, geralmente dentro do perfil do usuário em %USER_DIR%\AppData\Roaming\um subdiretório. Os subdiretórios também usam nomes enganosos semelhantes, como “WinDefrag” ou “NetSocket”, para parecerem inócuos. O TrickBot também pode ser instalado como um serviço com nomes como “ControlServiceA”, que aponta para uma cópia na raiz da unidade do sistema.

O GRIM SPIDER estabeleceu persistência em alguns sistemas usando o módulo NewBCtestnDll64. Ele cria um serviço do Windows chamado “Updater“, que executa a estrutura de pós-exploração do PowerShell Empire de software livre . Esses serviços iniciam um script PowerShell codificado em Base64 que buscará o código completo do PowerShell Empire de um IP remoto. Cada instância do serviço Atualizador se conecta a um único endereço IP e várias versões podem ser adicionadas ao mesmo tempo, apontando para diferentes IPs e solicitando um .phprecurso.

Acesso Credencial

O módulo TrickBot usado para coleta de credenciais é pwgrab64. Como em todos os módulos lançados pelo núcleo do TrickBot, ele pwgrab64é instalado em uma subpasta, geralmente denominada “módulos” ou “dados”, e modifica o seguinte valor do registro:

Registry Key: 
HKLM\System\CurrentControlSet\Control\SecurityProviders\WDigest
Value: UseLogonCredential
Data: 1

A definição do valor “UseLogonCredential” como “1” configura o sistema operacional Windows para armazenar credenciais como texto não criptografado na memória, onde elas podem ser recuperadas por meio do uso de ferramentas de despejo de credenciais. Versões mais antigas do módulo pwgrab têm um escopo limitado que segmenta clientes de e-mail, navegadores da Web, FileZilla e WinSCP. Versões mais recentes também despejam senhas para aplicativos como PuTTY, VNC e RDP.

Nas investigações revisadas pela CrowdStrike Services, o UseLogonCredentialvalor do registro foi observado tendo sido definido como “1” nos sistemas em toda a infraestrutura, geralmente em conjunto com a primeira implantação do TrickBot no host.

Descoberta

Os módulos do TrickBot usados ​​para a descoberta incluem networkdllpsfin. O TrickBot faz o download de módulos para coletar informações do sistema local e explorar a rede, principalmente parte do networkdllmódulo. Este módulo tem uma bateria de linha de comando, consultas WMI e LDAP para coletar informações e, em seguida, exfiltrar os dados para o GRIM SPIDER para revisão. O psfinmódulo tem uma finalidade semelhante, mas procura especificamente por indicadores financeiros e de ponto de vendas.

Movimento Lateral

Após o acesso inicial, o GRIM SPIDER se concentra na coleta de credenciais dos hosts comprometidos, na tentativa de obter uma conta de administrador de domínio e acesso ao Controlador de Domínio do Windows. Esse processo pode levar várias iterações de credenciais de coleta, conectando-se a novos sistemas e estabelecendo persistência. Para os incidentes observados, esse estágio do ataque pode durar de alguns dias a alguns meses.

GRIM SPIDER também foi observado selecionando um servidor para ser o principal ponto de parada. Posteriormente, o adversário copia o arquivo do Microsoft SysInternals PSTools para esse sistema e executa o PsExec.exe, um utilitário que permite que eles se movam lateralmente e executem comandos em outros sistemas Windows dentro da infraestrutura. Usando essa ferramenta comum de administrador, o GRIM SPIDER pode atravessar a rede, instalando remotamente o TrickBot e adicionando persistência a novos alvos. O TrickBot também possui o shareDllmódulo para propagar para outros hosts usando as credenciais atuais e ativas do usuário.

Implantando o Ransomware

Depois que o GRIM SPIDER tiver acesso às credenciais e a um Controlador de Domínio ou outro servidor de gerenciamento de host, eles farão o ransomware Ryuk nesse sistema e implantarão nos destinos via PsExec. Sendo a parte “mais ruidosa” da operação, ela geralmente é realizada o mais rápido possível para minimizar as chances de detecção, pois todos os trabalhos preliminares necessários já foram concluídos. Nos casos observados, a implantação e execução de Ryuk ocorreu em uma sessão, geralmente com duração de 3 a 8 horas.

Resumo

Colocar as peças dá uma visão da metodologia do GRIM SPIDER, mas também fornece alguns pontos de detecção úteis que podem fornecer aos defensores uma notificação avançada, configurando monitoramento e configurações para frustrar os objetivos do GRIM SPIDER. Com esse conhecimento, pretendemos equipá-lo para parar os agentes de ameaças GRIM SPIDER bem antes que eles tenham a oportunidade de criptografar seus dados ou causar sérios danos ao seu negócio.

 

Fonte: https://www.crowdstrike.com/blog/whats-in-your-wallet-resource-draining-cryptojacking-attacks-are-on-the-rise-2/