- Joined
- Jan 19, 2011
- Messages
- 7,653
- Contests
- 0
- Reaction score
- 112
Отличный обзор реального кейса атаки с использованием ransomware сделали DFIR: 3 часа 44 минуты понадобилось операторам Quantum с момента первоначального доступа и до тотального шифрования по всему домену.
Первоначальным вектором доступа в этом случае была полезная нагрузка IcedID, доставленная в образе ISO по электронной почте (как это делали XingLocker, Conti и REvil).
ISO содержал файл DLL (вредоносное ПО IcedID) и ярлык LNK для его выполнения. После нажатия на ISO отображался только один файл «document», который являлся ярлыком LNK для скрытой библиотеки DLL, упакованной в ISO. После щелчка на файл LNK, выполнялась IcedID DLL.
Вредоносная программа IcedID выполняла ряд задач по обнаружению с использованием встроенных утилит Windows, таких как ipconfig, systeminfo, nltest, net и chcp, а также создавала запланированную задачу для сохранения на хосте. Процесс cmd.exe, инициированный IcedID, также выполнял дополнительные запросы на обнаружение.
Примерно через 2 часа после первоначального заражения разворачивался Cobalt Strike, актор приступал к ручным операциям с помощью Cobalt Strike и RDP.
Актор использовал AdFind через пакетный сценарий для анализа Active Directory в части сбора информации о пользователях, хостах и подсетях в домене. Применяли дополнительный пакетный скрипт ns.bat, который собирал все имена хостов в домене с nslookup указанием IP-адресов.
Перед первым боковым перемещением с занимаемого узла злоумышленник проверял учетные данные и собирал информацию со своего целевого удаленного сервера с помощью WMI. В течение следующего часа злоумышленник применял RDP для горизонтального перемещения к важным узлам.
Как только субъект получил представление о структуре домена, он подготовился к развертыванию ransomware, скопировав программу-вымогатель (с именем ttsel.exe) на каждый хост через общую папку.
Далее злоумышленник использовал комбинацию PsExec и WMI для удаленного запуска программы-вымогателя. При этом злоумышленник использовал параметр «-r» в PsExec для определения пользовательского имени (mstdc) удаленной службы, созданной на целевом хосте (по умолчанию это PSEXESVC). Актор также использовал WMIC, чтобы убедиться, что все удаленные хосты успешно выполнили окончательную полезную нагрузку.
Развертывание ransomware завершилось сбросом записки с требованием выкупа: README_TO_DECRYPT.html менее чем через четыре часа после первоначального запуска IcedID. После чего на портале Quantum появилась вкладка для создания чата переговоров и установления пароля к нему.
Исследователи отметили, что в записке о выкупе указывалось, что злоумышленник украл данные, однако признаков эксфильтрации обнаружено не было. Однако не исключается, что злоумышленники использовали IcedID или Cobalt Strike для передачи конфиденциальных данных.
Обязательно рекомендуем ознакомиться с полной версией обзора , который наглядно отражает как все происходит в моменте.
Первоначальным вектором доступа в этом случае была полезная нагрузка IcedID, доставленная в образе ISO по электронной почте (как это делали XingLocker, Conti и REvil).
ISO содержал файл DLL (вредоносное ПО IcedID) и ярлык LNK для его выполнения. После нажатия на ISO отображался только один файл «document», который являлся ярлыком LNK для скрытой библиотеки DLL, упакованной в ISO. После щелчка на файл LNK, выполнялась IcedID DLL.
Вредоносная программа IcedID выполняла ряд задач по обнаружению с использованием встроенных утилит Windows, таких как ipconfig, systeminfo, nltest, net и chcp, а также создавала запланированную задачу для сохранения на хосте. Процесс cmd.exe, инициированный IcedID, также выполнял дополнительные запросы на обнаружение.
Примерно через 2 часа после первоначального заражения разворачивался Cobalt Strike, актор приступал к ручным операциям с помощью Cobalt Strike и RDP.
Актор использовал AdFind через пакетный сценарий для анализа Active Directory в части сбора информации о пользователях, хостах и подсетях в домене. Применяли дополнительный пакетный скрипт ns.bat, который собирал все имена хостов в домене с nslookup указанием IP-адресов.
Перед первым боковым перемещением с занимаемого узла злоумышленник проверял учетные данные и собирал информацию со своего целевого удаленного сервера с помощью WMI. В течение следующего часа злоумышленник применял RDP для горизонтального перемещения к важным узлам.
Как только субъект получил представление о структуре домена, он подготовился к развертыванию ransomware, скопировав программу-вымогатель (с именем ttsel.exe) на каждый хост через общую папку.
Далее злоумышленник использовал комбинацию PsExec и WMI для удаленного запуска программы-вымогателя. При этом злоумышленник использовал параметр «-r» в PsExec для определения пользовательского имени (mstdc) удаленной службы, созданной на целевом хосте (по умолчанию это PSEXESVC). Актор также использовал WMIC, чтобы убедиться, что все удаленные хосты успешно выполнили окончательную полезную нагрузку.
Развертывание ransomware завершилось сбросом записки с требованием выкупа: README_TO_DECRYPT.html менее чем через четыре часа после первоначального запуска IcedID. После чего на портале Quantum появилась вкладка для создания чата переговоров и установления пароля к нему.
Исследователи отметили, что в записке о выкупе указывалось, что злоумышленник украл данные, однако признаков эксфильтрации обнаружено не было. Однако не исключается, что злоумышленники использовали IcedID или Cobalt Strike для передачи конфиденциальных данных.
Обязательно рекомендуем ознакомиться с полной версией обзора , который наглядно отражает как все происходит в моменте.