در اواخر دسامبر ۲۰۲۲، عاملان تهدیدی را مشاهده کردیم که یک RDP که بر روی سطح اینترنت قابلدسترس بوده را اکسپلویت کردند که به استخراج اطلاعات و پیادهسازی باجافزار Trigona منتهی شد.
این عملیات نفوذ در زمان عید کریسمس انجام شده و دسترسی اولیه فقط طی ۳ ساعت بهدستآمده و مهاجم باجافزار را در تمام سطح شبکه اجرا کرده است (به این معنی که تمام اطلاعات موجود در سطح شبکه از این طریق رمزنگاری شده است). عامل تهدید برای استخراج دادهها از یک اسکریپت batch استفاده کرده که در ادامه چندین فایل اینچنینی را پیادهسازی کرده که وظیفه آنها غیرفعالکردن تنظیمات امنیتی، ایجاد حساب کاربری، دسترسی به فایروال برای فعالسازی RDP و خودکارسازی سایر موارد مربوط به نفوذ بوده است.
لازم به ذکر است که هاست RDP از تنظیمات و Default Credential استفاده میکرده، و اثری از حمله بروت فورس مشاهده نشده است. لاگهای سیستم قربانی نشاندهنده چندین دسترسی از راه دور طی هفتههای گذشته بوده است. یکی از احتمالات میتواند این باشد که این دسترسی توسط یک دلال (Access Broker) کشف، استفاده و در نهایت فروخته شده است.
مهاجم بعد از گرفتن دسترسی یک Toolkit بر رویهاست قربانی پیادهسازی کرد که شامل مجموعهای از اسکریپتهای batch، فایلهای اجرایی و ابزار SoftPerfect Netscan بوده است. سپس از طریق ابزار مذکور اقدام به اسکن شبکه کردند و با استفاده از آن یک کانفیگ شخصیسازیشده ایجاد کردند تا تسکهای معمولی شناسایی شبکه به شکل خودکار انجام شود. با انجام اسکن، مهاجم بخش Network Shares را شناسایی کرد و از طریق مرورگر وب به اسناد و فایلهای مختلف دسترسی گرفت.
حدود ۲۰ دقیقه بعد از دسترسی اولیه، مهاجم با گرفتن دسترسی RDP به یکی از سرورهای فایل، اقدام به Lateral Movement کرده است. سپس مهاجم Toolkit را بر روی سرور فایل نیز کپی کرد. سپس بعد از غیرفعالسازی تنظیمات امنیتی، با استفاده از Rclone اقدام به استخراج اطلاعات به mega.io کرده است. در ادامه یک دسترسی RDP دیگر به فایل سرور دوم ایجاد کردند و چنین پروسهای را مجدداً اعمال کردند.
در ادامه، بعد از دسترسی به هر دو فایل سرور، مهاجم به سرور بکآپ نیز دسترسی پیدا کرده و در ادامه دستوراتی مربوط به غیرفعالسازی موارد امنیتی از جمله Windows Defender را مانند هاستهای قبلی مجدداً انجام داده است. سپس از طریق RDP بر روی هر یک از هاستها، فایل باینری باجافزار Trigona را آپلود و سپس اجرا کرده است. اجرای فایل باجافزار حدود ۲ ساعت و ۴۹ دقیقه بعد از دسترسی اولیه انجامگرفته است. از موارد قابلذکر در مورد Trigona این است که این باجافزار توانایی دسترسی و رمزنگاری تمام سیستمها و هاستهای متصل به سیستم آلوده را نیز از طریق SMB آلوده میکند.
در نهایت شبکه قربانی به دو طریق گرفتن دسترسی در شبکه و استخراج اطلاعات و دوم با حمله باج افزار. آسیب دیده است.
راه هایی برای کاهش این خطر پذیری
- عدم استفاده از نام کاربری و پسورد پیشفرض، تغییر این مشخصات در اولین فرصت
- ایجاد Vlan و جداسازی بخشهای مختلف شبکه از یکدیگر
- اعمال Hardening Best Practices و غیرفعالسازی سرویسهای بلااستفاده
- انجام تست نفوذ و شناسایی و رفع آسیبپذیریهای شبکه
روش های تشخیص این حمله
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- شناسایی اتصال برقرار شده از طریق RDP
- شناسایی رفتار مشکوک
- جلوگیری از استخراج اطلاعات
- جلوگیری از غیرفعالسازی تنظیمات امنیتی
- جلوگیری از آپلود Toolkit و باینری بدافزار و اجرای آنها
- جلوگیری از Lateral Movement
- جلوگیری از آلودهشدن سایر سیستمها توسط باجافزار
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
| Initial Access | Execution | Persistence | Defense Evasion | Discovery | Lateral Movement | Command and control | Exfiltration | Impact |
| Drive-by Compromise | AppleScript | .bash_profile and .bashrc | Access Token Manipulation | Account Discovery | Remote desktop protocol | Ingress tool transfer | Automated Exfiltration | Account Access Removal |
| Exploit Public-Facing Applic | CMSTP | Accessibility Features | Binary Padding | Application Window Discovery | Lateral tool transfer | Data Compressed | Data Destruction | |
| External Remote Services | Command-Line Interface | Account Manipulation | BITS Jobs | Browser Bookmark Discovery | Data Encrypted | Data Encrypted for Impact | ||
| Hardware Additions | Compiled HTML File | AppCert DLLs | Bypass User Account Contr | Domain Trust Discovery | Data Transfer Size Limits | Defacement | ||
| Replication Through Remo | Component Object Model | AppInit DLLs | Clear Command History | File and Directory Discovery | Exfiltration Over Alternative Protocol | Disk Content Wipe | ||
| Spearphishing Attachment | Control Panel Items | Application Shimming | CMSTP | Network Service Scanning | Exfiltration Over Command and Control Channel | Disk Structure Wipe | ||
| Spearphishing Link | Dynamic Data Exchange | Authentication Package | Code Signing | Network Share Discovery | Exfiltration Over Other Network Medium | Endpoint Denial of Service | ||
| Spearphishing via Service | Execution through API | BITS Jobs | Compile After Delivery | Network Sniffing | Exfiltration Over Physical Medium | Firmware Corruption | ||
| Supply Chain Compromise | Execution through Module | Bootkit | Compiled HTML File | Password Policy Discovery | Exfiltration to cloud storage | Inhibit System Recovery | ||
| Trusted Relationship | Exploitation for Client Exec | Browser Extensions | Component Firmware | Peripheral Device Discovery | Scheduled Transfer | Network Denial of Service | ||
| Valid Accounts | Graphical User Interface | Change Default File Association | Component Object Model | Permission Groups Discovery | Resource Hijacking | |||
| InstallUtil | Component Firmware | Connection Proxy | Process Discovery | Runtime Data Manipulation | ||||
| Launchctl | Component Object Model Hijackin | Control Panel Items | Query Registry | Service Stop | ||||
| Local Job Scheduling | Create Account | DCShadow | Remote System Discovery | Stored Data Manipulation | ||||
| LSASS Driver | DLL Search Order Hijacking | Deobfuscate/Decode Files | Security Software Discovery | System Shutdown/Reboot | ||||
| Mshta | Dylib Hijacking | Disabling Security Tools | Software Discovery | Transmitted Data Manipulation | ||||
| PowerShell | Emond | DLL Search Order Hijacking | System Information Discovery | |||||
| Regsvcs/Regasm | External Remote Services | DLL Side-Loading | System Network Configuration Discovery | |||||
| Regsvr32 | File System Permissions Weakness | Execution Guardrails | System Network Connections Discovery | |||||
| Rundll32 | Hidden Files and Directories | Exploitation for Defense Ev | System Owner/User Discovery | |||||
| Scheduled Task | Hooking | Extra Window Memory Inj | System Service Discovery | |||||
| Scripting | Hypervisor | File and Directory Permissi | System Time Discovery | |||||
| Service Execution | Image File Execution Options Injection | File Deletion | Virtualization/Sandbox Evasion | |||||
| Signed Binary Proxy Executi | Kernel Modules and Extensions | File System Logical Offsets | ||||||
| Signed Script Proxy Executi | Launch Agent | Gatekeeper Bypass | ||||||
| Source | Launch Daemon | Group Policy Modification | ||||||
| Space after Filename | Launchctl | Hidden Files and Directories | ||||||
| Third-party Software | LC_LOAD_DYLIB Addition | Hidden Users | ||||||
| Trap | Local Job Scheduling | Hidden Window | ||||||
| Trusted Developer Utilities | Login Item | HISTCONTROL | ||||||
| User Execution | Logon Scripts | Image File Execution Options Injection | ||||||
| Windows command shell | LSASS Driver | impair defenses | ||||||
| Windows Management Ins | Modify Existing Service | Indicator Blocking | ||||||
| Windows Remote Manage | Netsh Helper DLL | Indicator Removal from Tools | ||||||
| XSL Script Processing | New Service | Indicator Removal on Host | ||||||
| Office Application Startup | Indirect Command Execution | |||||||
| Path Interception | Install Root Certificate | |||||||
| Plist Modification | InstallUtil | |||||||
| Port Knocking | Launchctl | |||||||
| Port Monitors | LC_MAIN Hijacking | |||||||
| PowerShell Profile | Masquerading | |||||||
| Rc.common | Modify Registry | |||||||
| Re-opened Applications | Mshta | |||||||
| Redundant Access | Network Share Connection Removal | |||||||
| Registry Run Keys / Startup Folder | NTFS File Attributes | |||||||
| Scheduled Task | Obfuscated Files or Information | |||||||
| Screensaver | Parent PID Spoofing | |||||||
| Security Support Provider | Plist Modification | |||||||
| Server Software Component | Port Knocking | |||||||
| Service Registry Permissions Weakness | Process Doppelgänging | |||||||
| Setuid and Setgid | Process Hollowing | |||||||
| Shortcut Modification | Process Injection | |||||||
| SIP and Trust Provider Hijacking | Redundant Access | |||||||
| Startup Items | Regsvcs/Regasm | |||||||
| System Firmware | Regsvr32 | |||||||
| Systemd Service | Rootkit | |||||||
| Time Providers | Rundll32 | |||||||
| Trap | Scripting | |||||||
| Valid Accounts | Signed Binary Proxy Execution | |||||||
| Web Shell | Signed Script Proxy Execution | |||||||
| Windows Management Instrumen | SIP and Trust Provider Hijacking | |||||||
| Winlogon Helper DLL | Software Packing | |||||||
| Space after Filename | ||||||||
| Template Injection | ||||||||
| Timestomp | ||||||||
| Trusted Developer Utilities | ||||||||
| Valid Accounts | ||||||||
| Virtualization/Sandbox Evasion | ||||||||
| Web Service | ||||||||
| XSL Script Processing | ||||||||