روش ها و تکنیک های مشاهده شده در عملیات پس از نشت اطلاعات
در فوریه 2022 یک حساب توئیتر که از دسته ContiLeaks استفاده می کند، شروع به انتشار عمومی اطلاعات برای عملیات جرائم سایبری پشت گروه باج افزار Conti کرد. داده های فاش شده که شامل مکالمات خصوصی بین اعضا بود. علاوه بر این مشخص شد که مهاجمان Conti بخشی از این گروه هستند که تحت اکوسیستم The Trick فعالیت می کنند. با توجه به مشاهدات اخیر به نظر می رسد که اپراتورهای Conti مانند گذشته به تجارت خود برای به خطر انداختن شبکه ها، استخراج داده و در نهایت استقرار باج افزار خود ادامه می دهند. در این مقاله سعی شده است روش ها و تکنیک هایی که پس از افشای اطلاعات Conti رخ داده است را توضیح دهیم.
چندین بردار دسترسی اولیه که مشاهده شده است عبارتند از :
- استفاده کاربر از حساب محصول آنتی ویروس قربانی برای استقرار باج افزار
- پس از دسترسی، آنتی ویروس نصب شده را از طریق اسکریپت هایی حذف می کند.
بعد از آن مهاجم سعی می کند تا در سیستم قربانی به پایداری و ثبات برسد پس برای این کار از تکنیک های متعددی استفاده می کند که عبارتند از:
- ایجاد یک سرویس برای اجرای Cobalt Strike
- استقرار چندین نرم افزار دسترسی از راه دور مانند Splashtop – Asnydesk – Atera
- ایجاد حساب Local مدیریتی Crackenn
- و قبل از شروع فعالیت باج افزار ، اپراتورها داده ها را با نرم افزار rclone از شبکه استخراج می کنند.
Initial Access
اخیرا چندین بردار دسترسی مشاهده شده است که شامل ایمیل های فیشینگ و استخراج از سرورهای Microsoft Exchange می باشد. نحوه کار ایمیل های فیشینگ به این صورت است که بعد از رسیدن ایمیل و باز شدن آن، QakBot نصب می گردد.
همچنین در Microsoft Exchange شاهد سو استفاده از آسیب پذیری های ProxyShell و ProxyLogon بودیم.
دیگر بردارهای دسترسی مورد استفاده توسط کاربرهای Conti عبارتند از :
- Credential Brute Force
- استفاده از اکسپلویت های در دسترس عموم شامل : Fortigate VPN – Log4Shell
- ایمیل فیشینگی که توسط یک حساب در معرض خطر ارسال می شود.
Lateral Movement
در یک نمونه از حملات رخ داده مشاهده شده که مهاجم بعد از دسترسی به اولین میزبان در معرض خطر فرایند های زیر را انجام می دهد:
- 1.bat 2.bat 111.bat
باج افزار
- Removesophos .bat , uninstallsophos.bat
- حذف انتی ویروس Sophos
- Aspx.bat
Persistence
مهاجم با استفاده از امکانات ویندوز توانست پایداری بیشتری برای Cobalt Strike Beacon فراهم آورد. از جمله سرویس هایی که برای پایداری ابزارهای دسترسی از راه دور نصب می شوند عبارتند از :
Any desk , Splashtop , Atera
Privilege Escalation
مهاجمان Conti توانستند با به خطر انداختن و استفاده از حساب های مختلف موجود در میزبان، امتیازات و دسترسی های خود را افزایش دهند، این اعتبار کسب شده با ابزارهایی مانند mimikatz بدست آورده شده است.
همچنین در برخی از موارد مشاهده شده است که این فعالیت با استفاده از Zerologon صورت پذیرفته است.
Exfiltration and Encryption
به مانند بسیاری از عوامل تهدید دیگر، مهاجمان Conti با استفاده از نرم افزار rclone حجم زیادی از داده ها را از شبکه در معرض خطر استخراج می کنند. بلافاصله بعد از استخراج داده ها، عوامل تهدید رمزگذاری داده ها را آغاز می کنند. می توان تخمین زد که میانگین زمانی بین Lateral Movement و رمزگذاری حدود 5 روز می باشد.
راه هایی برای کاهش این خطر پذیری
- نظارت بر فایروال ها برای مشاهده جهش های غیرعادی در داده هایی که از شبکه خارج می شوند.
- نظارت بر نرم افزارهای نصب شده برای ابزارهای دسترسی از راه دور
- ایجاد محدودیت برای دسترسی RDP و SMB بین هاست ها
- استفاده از رمز عبورهای قوی
- آموزش منظم مسائل امنیتی برای کاربران جهت آگاهی بخشی
روش های تشخیص این حمله
با استفاده از آنتی ویروس ، اجزای تهدید به عنوان بدافزار شناخته می شوند.
با استفاده از آنتی ویروس هایی که قابلیت آنتی ویروس نسل بعدی از جمله یادگیری ماشینی و تشخیص رفتار را در خود جای داده اند.
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- مشاهده Removesophos .bat , uninstallsophos.bat
- مشاهده Aspx.bat مشکوک
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
|
Initial Access |
Persistence |
Privilege Escalation |
Lateral Movement |
Exfiltration |
|
|
Drive-by Compromise |
Account Manipulation |
Abuse Elevation Control Mechanism |
Exploitation of Remote Services |
Automated Exfiltration |
|
|
Exploit Public-Facing Application |
BITS Jobs |
Access Token Manipulation |
Internal Spearphishing |
Data Transfer Size Limits |
|
|
External Remote Services |
Boot or Logon Autostart Execution |
Boot or Logon Autostart Execution |
Lateral Tool Transfer |
Exfiltration Over Alternative Protocol |
|
|
Hardware Additions |
Boot or Logon Initialization Scripts |
Boot or Logon Initialization Scripts |
Remote Service Session Hijacking |
Exfiltration Over C2 Channel |
|
|
Phishing |
Browser Extensions |
Create or Modify System Process |
Remote Services |
Exfiltration Over Other Network Medium |
|
|
Replication Through Removable Media |
Compromise Client Software Binary |
Domain Policy Modification |
Replication Through Removable Media |
Exfiltration Over Physical Medium |
|
|
Supply Chain Compromise |
Create Account |
Escape to Host |
Software Deployment Tools |
Exfiltration Over Web Service |
|
|
Trusted Relationship |
Create or Modify System Process |
Event Triggered Execution |
Taint Shared Content |
Scheduled Transfer |
|
|
Valid Accounts |
Event Triggered Execution |
Exploitation for Privilege Escalation |
Use Alternate Authentication Material |
Transfer Data to Cloud Account |
|
|
External Remote Services |
Hijack Execution Flow |
||||
|
Hijack Execution Flow |
Process Injection |
||||
|
Implant Internal Image |
Scheduled Task/Job |
||||
|
Modify Authentication Process |
Valid Accounts |
||||
|
Office Application Startup |
|||||
|
Pre-OS Boot |
|||||
|
Scheduled Task/Job |
|||||
|
Server Software Component |
|||||
|
Traffic Signaling |
|||||
|
Valid Accounts |
|||||