آخرین حملات

HIVE Ransomware

HIVE Ransomware sindadsec
۰۸ مهر

از ScreenConnect تا نصب HIVE Ransomware

در اکتبر سال 2022 یک عامل تهدید با استفاده از ابزار Remote Monitoring and management(RMM) توانست دسترسی اولیه بگیرد و پس از چند ساعت HIVE Ransomware را روی سرورها و شبکه قرار بدهد. در این حمله عامل تهدید یک ایمیل حاوی یک لینک را تحویل قربانی می دهد. با کلیک کردن قربانی بر روی لینک نرم افزار ScreenConnect بر روی سیستم نصب می شود. درحین نصب این نرم افزار عامل تهدید دسترسی خود را از کاربر معمولی به Local Administrator تغییر داده بود زیرا برای نصب مستلزم این بود که دسترسی بالا داشته باشد. پس از نصب نرم افزار عامل تهدید از طریق ScreenConnect با استفاده از ابزارهای استاندارد سیستمی مانند ipconfig، systeminfo و net شروع به Discovery می کند تا اطلاعات لازم را جمع آوری کند، سپس از طریق BITS Transfer شروع به دانلود Cobalt Strike Beacon می کند. سپس عامل تهدید با استفاده از Screen Connect یک Trojanized ApacheBench که از طریق یک ShellCode به متاسپلویت وصل می شود را دانلود می کند و از طریق این ShellCode شروع به Lateral Movement بین سیستم ها می کند و با استفاده از PowerShell و MSI برنامه های کنترل از راه دور Atera و  Splashtop را روی سرور دانلود و نصب می کند.

Hive Ransomware

مهاجم با استفاده از Mimikatz شروع به سرقت اطلاعات حساس می کند.

پس از 24 ساعت مهاجم با استفاده از یک Batch File شروع به استخراج داده از اکتیو دایرکتوری می کند سپس با استفاده از Rclone یک ارتباط بر روی SFTP ایجاد می کند و از طریق این تانل ارتباطی دیتا را استخراج می کند.

Hive Ransomware

این استخراج دیتا را حین مانیتورینگ شبکه می توان شناسایی کرد زیرا ترافیک زیادی تولید می کند.

در مرحله آخر عامل تهدید، HIVE Ransomware را روی سرور بارگزاری می کند. سپس با تغییر دادن پسورد Administrator این باج افزار روی کل شبکه و سرور ها بارگزاری می کند سپس با استفاده از Scheduled Task هر دامنه ای که به سرور اضافه می شد را به HIVE Ransomware آلوده می کند.

HIVE Ransomware Attcak Process

راه هایی برای کاهش این خطر پذیری

  1. عدم کلیک بر روی لینک های موجود در ایمیل های ناشناس
  2. نظارت بر ابزارهای دسترسی از را دور بر روی سیستم یا شبکه
  3. مانیتورینگ ترافیک شبکه
  4. پیاده سازی کنترل های امنیتی برای مدیریت و اجرا شدن برنامه ها

روش های تشخیص این حمله

در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) می‌باشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:

  • مشاهده فعالیت های باج افزارها
  • مشاهده فعالیت های  HIVE Ransomware
  • مشاهده فعالیت های نرم افزارهای کنترل از راه دور
  • مشاهده فعالیت های ابزارهای سیستمی

این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.

شرکت مهندسی امن ارتباط سینداد کلیه IOA و IOC های مرتبط با تشخیص این حمله را به سامانه های خود افزوده است.

Initial Access Execution Persistence Privilege Escalation Defense Evasion Credential Access Discovery Lateral Movement Collection Command And Control Exfiltration Impact
Drive-by Compromise AppleScript .bash_profile and .bashrc Access Token Manipulation Access Token Manipulation Account Manipulation Account Discovery AppleScript Audio Capture Commonly Used Port Automated Exfiltration Account Access Removal
Exploit Public-Facing Application CMSTP Accessibility Features Accessibility Features Binary Padding Bash History Application Window Discovery Application Deployment Software Automated Collection Communication Through Removable Media Data Compressed Data Destruction
External Remote Services Command-Line Interface Account Manipulation AppCert DLLs BITS Jobs Brute Force Domain Groups Component Object Model and Distributed COM Clipboard Data Connection Proxy Data Encrypted Data Encrypted for Impact
Hardware Additions Compiled HTML File AppCert DLLs AppInit DLLs Bypass User Account Control Credential Dumping Domain Account Exploitation of Remote Services Data from Information Repositories Custom Command and Control Protocol Data Transfer Size Limits Defacement
Replication Through Removable Media Component Object Model and Distributed COM AppInit DLLs Application Shimming Clear Command History Credentials from Web Browsers File and Directory Discovery Internal Spearphishing Data from Local System Custom Cryptographic Protocol Exfiltration Over Asymmetric Non-C2 Protocol Disk Content Wipe
Spearphishing Attachment Control Panel Items Application Shimming Bypass User Account Control CMSTP Credentials in Files Network Service Scanning SMB/Windows Admin Shares Data from Network Shared Drive Ingress Tool Transfer Exfiltration Over Command and Control Channel Disk Structure Wipe
Spearphishing Link Dynamic Data Exchange Authentication Package DLL Search Order Hijacking Command Obfuscation Credentials in Registry Network Share Discovery Pass the Hash Data from Removable Media Data Obfuscation Exfiltration Over Other Network Medium Endpoint Denial of Service
Spearphishing via Service Execution through API BITS Jobs Dylib Hijacking Compile After Delivery Exploitation for Credential Access Network Sniffing Pass the Ticket Data Staged Domain Fronting Exfiltration Over Physical Medium Firmware Corruption
Supply Chain Compromise Execution through Module Load Bootkit Elevated Execution with Prompt Compiled HTML File Forced Authentication Local Account Remote Desktop Protocol Email Collection Non-Standard Port Scheduled Transfer Inhibit System Recovery
Trusted Relationship Exploitation for Client Execution Browser Extensions Emond Component Firmware Hooking Peripheral Device Discovery Remote File Copy Input Capture Fallback Channels Network Denial of Service
Valid Accounts Graphical User Interface Change Default File Association Exploitation for Privilege Escalation Component Object Model Hijacking Input Capture Permission Groups Discovery Remote Services Man in the Browser Multi-hop Proxy Resource Hijacking
InstallUtil Component Firmware Extra Window Memory Injection Connection Proxy Input Prompt Process Discovery Lateral Tool Transfer Screen Capture Multi-Stage Channels Runtime Data Manipulation
Launchctl Component Object Model Hijacking File System Permissions Weakness Control Panel Items Kerberoasting Query Registry Shared Webroot Video Capture Multiband Communication Service Stop
Local Job Scheduling Create Account Hooking DCShadow Keychain Remote System Discovery SSH Hijacking Multilayer Encryption Stored Data Manipulation
Malicious File DLL Search Order Hijacking Image File Execution Options Injection Deobfuscate/Decode Files or Information LLMNR/NBT-NS Poisoning and Relay Network Share Discovery Taint Shared Content Port Impersonation System Shutdown/Reboot
Mshta Dylib Hijacking Launch Daemon Disabling Security Tools LSASS Memory Software Discovery Third-party Software Remote Access Software Transmitted Data Manipulation
PowerShell Emond New Service DLL Search Order Hijacking Password Filter DLL System Information Discovery Windows Admin Shares Remote File Copy
Regsvcs/Regasm External Remote Services Parent PID Spoofing DLL Side-Loading Private Keys System Network Configuration Discovery Windows Remote Management Standard Application Layer Protocol
Regsvr32 File System Permissions Weakness Path Interception Embedded Payloads Securityd Memory System Network Connections Discovery Standard Cryptographic Protocol
Rundll32 Hidden Files and Directories Plist Modification Exploitation for Defense Evasion Steal Web Session Cookie System Owner/User Discovery Standard Non-Application Layer Protocol
Scheduled Task Hooking Port Monitors Extra Window Memory Injection Two-Factor Authentication Interception System Service Discovery Uncommonly Used Port
Scripting Hypervisor PowerShell Profile File and Directory Permissions Modification System Time Discovery Web Protocols
Service Execution Image File Execution Options Injection Process Injection File Deletion Virtualization/Sandbox Evasion
Signed Binary Proxy Execution Kernel Modules and Extensions Scheduled Task File System Logical Offsets
Signed Script Proxy Execution Launch Agent Service Registry Permissions Weakness Gatekeeper Bypass
Source Launch Daemon Setuid and Setgid Group Policy Modification
Space after Filename Launchctl SID-History Injection Hidden Files and Directories
Third-party Software LC_LOAD_DYLIB Addition Startup Items Hidden Users
Trap Local Job Scheduling Sudo Hidden Window
Trusted Developer Utilities Login Item Sudo Caching HISTCONTROL
User Execution Logon Scripts Windows Service Group Policy Modification Image File Execution Options Injection
Windows Command Shell LSASS Driver Web Shell Indicator Blocking
Windows Management Instrumentation Modify Existing Service Indicator Removal from Tools
XSL Script Processing Netsh Helper DLL Indicator Removal on Host
New Service Indirect Command Execution
Office Application Startup Install Root Certificate
Path Interception InstallUtil
Plist Modification Launchctl
Port Knocking LC_MAIN Hijacking
Port Monitors Msiexec
PowerShell Profile Modify Registry
Rc.common Match Legitimate Name or Location
Re-opened Applications Network Share Connection Removal
Redundant Access NTFS File Attributes
Registry Run Keys / Startup Folder Obfuscated Files or Information
Scheduled Task Parent PID Spoofing
Screensaver Plist Modification
Security Support Provider Port Knocking
Server Software Component Process Doppelgänging
Service Registry Permissions Weakness Process Hollowing
Setuid and Setgid Process Injection
Shortcut Modification Redundant Access
SIP and Trust Provider Hijacking Regsvcs/Regasm
Startup Items Regsvr32
System Firmware Rootkit
Systemd Service Rundll32
Time Providers Scripting
Trap Signed Binary Proxy Execution
Valid Accounts Signed Script Proxy Execution
Windows Service SIP and Trust Provider Hijacking
Windows Management Instrumentation Event Subscription Software Packing
Winlogon Helper DLL Space after Filename
Template Injection
Timestomp
Trusted Developer Utilities
Valid Accounts
Virtualization/Sandbox Evasion
Web Service
XSL Script Processing

منابع

Threat Actors Actively Using Remote Management Tools to Deploy Ransomware -https://gbhackers.com/threat-actors-deploy-ransomware/ - September 2023
What Is Hive Ransomware & Who Is Behind It: A Detailed Analysis - https://heimdalsecurity.com/blog/what-is-hive-ransomware/- February 2023
FBI says it ‘hacked the hackers’ of a ransomware service, saving victims $130 million-https://www.theverge.com/ - Jan 2023

از آشنایی با شما خوشحالیم 👋

برای باخبر شدن از آخرین خبرهای دنیای امنیت، لطفا در خبرنامه سیندادسک عضو شوید.