Netsupport Manager یکی از ابزارهای قدیمی ارتباط از راه دور میباشد که در سال 2016 برای اولین بار مورد حمله و نفوذ قرار گرفت. در ژانویه 2023 بود که از ابزار Netsupport RAT برای نفوذ به یک شبکه استفاده شد. برای دسترسی اولیه در این حمله از ارسال ایمیل به قربانی استفاده شده است به نحوی که ابتدا یک ایمیل حاوی فایل فشرده شده برای قربانی ارسال می شود و بعد از اینکه قربانی ایمیل را باز می کند، محتوای آن اجرا می شود. در فایل ارسالی کدهای مخرب جاوا اسکریپت قرارداده شده است. این کدهای مخرب برای استقرار Netsupport از ابزار PowerShell استفاده می کنند. همچنین این کدهای مخرب با استفاده از ریجستری ها نیز بررسی می کنند. این فرایند در محیط Sandbox اجرا نشده باشد. بعد از گذشت 5 روز از استقرار، مهاجم با استفاده از Whoami ،Systeminfo و net اقدام به شناسایی و جمع آوری اطلاعات می کند و برای اینکه دسترسی خود را پایدارکند از openssh برای اتصال امن به سرور خارجی خود استفاده کرده است. با استفاده از تانل SSH با Domain Controller ارتباط برقرار کرده و به وسیله impacketsatexec.py اقدام به شناسایی گروه ها و سیستم ها متصل به دامنه می کند. مهاجم برای اینکه بتواند حرکت جانبی داشته باشد بعد از اعمال تغییرات در فایروال از ابزار wmiexec.py Impacket استفاده کرده است و سپس با استفاده از smb اقدام به انتقال فایل های cab. می کند و با استفاده از دستور wmiexec.py آنها را اجرا می کند. این فایل ها شامل Netsupport Malware بودند که بعد از اجرا این امکان را به مهاجم می دهد جهت پایداری یک Sckultast ایجاد کند.
روز بعد از این اقدامات مهاجم اقدام به نصب Netsupport بر روی DC کرده و با این کار اقدام به دامپ کردن محتوای دیتابیس NTDS.dit کرده و این اطلاعات را با استفاده از ابزار 7-zip فشرده سازی می کند. سپس کمتر از یک ساعت از این اقدام بر روی DC دیگر نیز مجدد NTDS.dit را دامپ کرده و ابزار Pingcastle که مربوط به مدیریت اکتیودایرکتوری می باشد را اجرا و رها می کند. در حین اجرای این برنامه با استفاده از Netsupport به سرور Backup متصل شده و اقدام به ایجاد کاربر جدید و اضافه کردن آن به گروه Administrative و RDP می کند و از این اکانت و پیاده سازی Proxy برای اتصال RDP استفاده کرده است. مهاجم بعد از ورود به سیستم Netscan و یک Keygent را رها می کند و وضعیت Windows Defender را غیرفعال می کند. بعد از غیرفعال شدن وضعیت دفاعی یک فایل اجرایی ProcDump تغییر نام داده شده را اجرا و LSASS را بر روی هر دو سرور DC و پشتیبان دامپ می کند. سپس با استفاده از PowerShell اقدام به جمع آوری EVENT ID 4624 مربوط به ورود به سیستم کرده و آن ها را با بعد از فشرده سازی با 7-ZIP اقدام به خروج آن ها و ارسال به سمت سرور خارجی خود کرده است. در انتها برای از بین بردن رد پای خود با استفاده از Netsupport به DC متصل شده و با استفاده از ابزار WMI اقدام به پاک کردن رد پای خود همچون تانل SSH می کند همچین با قراردان 2 تا فایل باینری NIM بر روی DC به عنوان Backdoor استفاده کرده است.
راه هایی برای کاهش این خطر پذیری
- نظارت بر پروسسهای اجرا شده
- عدم بازکردن ایمیل های مشکوک
- مانیتورکردن ترافیک شبکه به خصوص به سمت خارج از شبکه
- مانیتور کردنEvent ID های مهم سیستم عامل
روش های تشخیص این حمله
در صورت استفاده از راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR)، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- مشاهده پروسسهای مشکوک در حال اجرا
- مشاهده و نظارت بر نرمافزارها و بدافزارها
- مشاهده و بررسی پورت های باز سیستم
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
| Initial Access | Execution | Persistence | Defense Evasion | Credential Access<= /td> | Discovery | Lateral Movement | Collection | Command and Contro= l | |
| Drive-by Comprom= ise | Command and Scripting Interpreter | Account Manipulation | Abuse Elevation Control Mechanism | Adversary-in-the-Middle | Account Discovery | Exploitation of Remote Services | Adversary-in-the-Middle | Application Layer Protocol | |
| Exploit Public-F= acing Application | service execution | BITS Jobs | Access Token Manipulation | Brute Force | Application Window Discovery | Internal Spearphishing | Archive Collected Data | Communication Through Removable Media | |
| External Remote = Services | Deploy Container | Boot or Logon Autostart Execution | BITS Jobs | Credentials from Password Stores | Browser Bookmark Discovery | Lateral Tool Transfer | Audio Capture | Data Encoding | |
| Hardware Additio= ns | Exploitation for Client Execution | Boot or Logon Initialization Scripts | Build Image on Host | Exploitation for Credential Access | Cloud Infrastructure Discovery | Remote Service Session Hijacking | Automated Collection | Data Obfuscation | |
| Phishing | Inter-Process Communication | Browser Extensions | Debugger Evasion | Forced Authentication | Cloud Service Dashboard | Remote Services | Browser Session Hijacking | Dynamic Resolution | |
| Replication Thro= ugh Removable Media | Native API | Compromise Client Software Binary | Deobfuscate/Decode Files or Informatio | Forge Web Credentials | Cloud Service Discovery | Replication Through Removable Media | Clipboard Data | Encrypted Channel | |
| Supply Chain Com= promise | Scheduled Task/Job | Create Account | Deploy Container | Input Capture | Cloud Storage Object Discovery | Software Deployment Tools | Data from Cloud Storage Object | Fallback Channels | |
| Trusted Relation= ship | Shared Modules | Create or Modify System Process | Direct Volume Access | Modify Authentication Process | Container and Resource Discovery | Taint Shared Content | Data from Configuration Repository | Ingress Tool Transfer | |
| Valid Accounts | Software Deployment Tools | Event Triggered Execution | Domain Policy Modification | Multi-Factor Authentication Interception | Debugger Evasion | Use Alternate Authentication Material | Data from Information Repositories | Multi-Stage Channels | |
| System Services | External Remote Services | Execution Guardrails | Multi-Factor Authentication Request Gen | Domain Trust Discovery | smb/windows admin shares | Data from Local System | Non-Application Layer Protocol | ||
| User Execution | Hijack Execution Flow | Exploitation for Defense Evasion | Network Sniffing | File and Directory Discovery | Data from Network Shared Drive | Non-Standard Port | |||
| Windows Management Instrumentation | Implant Internal Image | File and Directory Permissions Modificati | OS Credential Dumping | Group Policy Discovery | Data from Removable Media | standard encoding | |||
| powershell | Modify Authentication Process | Hide Artifacts | Steal Application Access Token | Network Service Discovery | Data Staged | Proxy | |||
| Office Application Startup | Hijack Execution Flow | Steal or Forge Kerberos Tickets | Network Share Discovery | Email Collection | Remote Access Software | ||||
| Pre-OS Boot | Impair Defenses | Steal Web Session Cookie | Network Sniffing | Input Capture | Traffic Signaling | ||||
| Scheduled Task/Job | Indicator Removal on Host | Unsecured Credentials | Password Policy Discovery | Screen Capture | Web Service | ||||
| Server Software Component | Indirect Command Execution | Peripheral Device Discovery | Video Capture | web protocls | |||||
| Traffic Signaling | Masquerading | Permission Groups Discovery | |||||||
| Valid Accounts | Modify Authentication Process | Process Discovery | |||||||
| Modify Cloud Compute Infrastructure | Query Registry | ||||||||
| Modify Registry | Remote System Discovery | ||||||||
| Modify System Image | Software Discovery | ||||||||
| Network Boundary Bridging | System Information Discovery | ||||||||
| Obfuscated Files or Information | System Location Discovery | ||||||||
| Plist File Modification | System Network Configuration Discovery | ||||||||
| Pre-OS Boot | System Network Connections Discovery | ||||||||
| Process Injection | System Owner/User Discovery | ||||||||
| Reflective Code Loading | System Service Discovery | ||||||||
| Rogue Domain Controller | System Time Discovery | ||||||||
| Rootkit | Virtualization/Sandbox Evasion | ||||||||
| Subvert Trust Controls | |||||||||
| System Binary Proxy Execution | |||||||||
| System Script Proxy Execution | |||||||||
| Template Injection | |||||||||
| Traffic Signaling | |||||||||
| Trusted Developer Utilities Proxy Execut= ion | |||||||||
| Unused/Unsupported Cloud Regions | |||||||||
| Use Alternate Authentication Material | |||||||||
| Valid Accounts | |||||||||
| Virtualization/Sandbox Evasion | |||||||||
| Weaken Encryption | |||||||||
| XSL Script Processing |