باج افزار Hive با اینکه حدود یک سال قدمت دارد و اولین بار در ژوئن 2021 مشاهده شد اما به مرور به یکی از رایج ترین باج افزارهای مورد استفاده تبدیل شد. Hive در آخرین نسخه خود چندین ارتقا مهم را به همراه داشته است که همین امر سبب شده تا یکی از سریعترین خانواده های باج افزار نام گیرد.
یکی از مهم ترین اصلاحات اساسی که در این نسخه از Hive صورت پذیرفته است، استفاده از یک زبان برنامه نویسی دیگر می باشد. در کنار این تغییر، استفاده از روش رمزگذاری پیچیده تر نیز بر کارایی این نسخه از Hive افزوده است. همانطور که در مقالات قبلی به آن اشاره شد، باج افزار Hive فایل کلید های رمزگذاری خود که برای رمزگشایی فایل های رمزگذاری شده است را حذف می نماید و از یک الگوی نامگذاری ثابت استفاده می کند. با تجزیه و تحلیل های صورت گرفته، نوع جدید Hive و همچنین نسخه های متعدد آن که پارامترهایی با تفاوت اندک در نسخه قبلی را در خط فرمان و فرآیندهای اجرا شده نشان می دهد.
راه هایی برای کاهش این خطر پذیری
- استفاده از فایروال برای جلوگیری از ارتباط RPC و SMB بین نقاط پایانی
- غیرفعال سازی RPC و SMB در صورت امکان
- استفاده از گذرواژه های قوی و در صورت لزوم استفاده از ابزارهایی مانند LAPS
- آموزش کاربران برای حفاظت بیشتر از اطلاعات شخصی
- مسدود سازی سرقت اعتبار LSASS.EXE
- مسدود سازی فرایندهای مرتبط با دستورات PsExec و WMI
روش هایی برای تشخیص این حمله
استفاده از آنتی ویروس هایی که قابلیت های آنتی ویروس نسل بعدی از جمله یادگیری ماشینی و تشخیص رفتار را در خود جای داده اند.
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- شناسایی باج افزار WIN64/HIVE
- شناسایی باج افزار WIN32/HIVE
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
| Initial Access | Execution | Privilege Escalation | Defense Evasion | Credential Access | Discovery | Command and Control | Impact |
| Drive-by Compromise | Command and Scripting Interpreter | Abuse Elevation Control Mechanism | Abuse Elevation Control Mechanism | Adversary-in-the-Middle | Account Discovery | Application Layer Protocol | Account Access Removal |
| Exploit Public-Facing Application | Container Administration Command | Access Token Manipulation | Access Token Manipulation | Brute Force | Application Window Discovery | Communication Through Removable Media | Data Destruction |
| External Remote Services | Deploy Container | Boot or Logon Autostart Execution | BITS Jobs | Credentials from Password Stores | Browser Bookmark Discovery | Data Encoding | Data Encrypted for Impact |
| Hardware Additions | Exploitation for Client Execution | Boot or Logon Initialization Scripts | Build Image on Host | Exploitation for Credential Access | Cloud Infrastructure Discovery | Data Obfuscation | Data Manipulation |
| Phishing | Inter-Process Communication | Create or Modify System Process | Debugger Evasion | Forced Authentication | Cloud Service Dashboard | Dynamic Resolution | Defacement |
| Replication Through Removable Media | Native API | Domain Policy Modification | Deobfuscate/Decode Files or Information | Forge Web Credentials | Cloud Service Discovery | Encrypted Channel | Disk Wipe |
| Supply Chain Compromise | Scheduled Task/Job | Escape to Host | Deploy Container | Input Capture | Cloud Storage Object Discovery | Fallback Channels | Endpoint Denial of Service |
| Trusted Relationship | Shared Modules | Event Triggered Execution | Direct Volume Access | Modify Authentication Process | Container and Resource Discovery | Ingress Tool Transfer | Firmware Corruption |
| Valid Accounts | Software Deployment Tools | Exploitation for Privilege Escalation | Domain Policy Modification | Multi-Factor Authentication Interception | Debugger Evasion | Multi-Stage Channels | Inhibit System Recovery |
| System Services | Hijack Execution Flow | Execution Guardrails | Multi-Factor Authentication Request Generation | Domain Trust Discovery | Non-Application Layer Protocol | Network Denial of Service | |
| User Execution | Process Injection | Exploitation for Defense Evasion | Network Sniffing | File and Directory Discovery | Non-Standard Port | Resource Hijacking | |
| Windows Management Instrumentation | Scheduled Task/Job | File and Directory Permissions Modification | OS Credential Dumping | Group Policy Discovery | Protocol Tunneling | Service Stop | |
| Valid Accounts | Hide Artifacts | Steal Application Access Token | Network Service Discovery | Proxy | System Shutdown/Reboot | ||
| Hijack Execution Flow | Steal or Forge Kerberos Tickets | Network Share Discovery | Remote Access Software | ||||
| Impair Defenses | Steal Web Session Cookie | Network Sniffing | Traffic Signaling | ||||
| Indicator Removal on Host | Unsecured Credentials | Password Policy Discovery | Web Service | ||||
| Indirect Command Execution | Peripheral Device Discovery | ||||||
| Masquerading | Permission Groups Discovery | ||||||
| Modify Authentication Process | Process Discovery | ||||||
| Modify Cloud Compute Infrastructure | Query Registry | ||||||
| Modify Registry | Remote System Discovery | ||||||
| Modify System Image | Software Discovery | ||||||
| Network Boundary Bridging | System Information Discovery | ||||||
| Obfuscated Files or Information | System Location Discovery | ||||||
| Plist File Modification | System Network Configuration Discovery | ||||||
| Pre-OS Boot | System Network Connections Discovery | ||||||
| Process Injection | System Owner/User Discovery | ||||||
| Reflective Code Loading | System Service Discovery | ||||||
| Rogue Domain Controller | System Time Discovery | ||||||
| Rootkit | Virtualization/Sandbox Evasion | ||||||
| Subvert Trust Controls | |||||||
| System Binary Proxy Execution | |||||||
| System Script Proxy Execution | |||||||
| Template Injection | |||||||
| Traffic Signaling | |||||||
| Trusted Developer Utilities Proxy Execution | |||||||
| Unused/Unsupported Cloud Regions | |||||||
| Use Alternate Authentication Material | |||||||
| Valid Accounts | |||||||
| Virtualization/Sandbox Evasion | |||||||
| Weaken Encryption | |||||||
| XSL Script Processing |