VEILDrive desmascaratzen: mehatxu aktoreek Microsoft zerbitzuak ustiatzen dituzte Komando eta Kontrolerako

Hunters eskutik Team Axonen TL;DR Hunters' Team AXONek etengabeko mehatxu kanpaina bat identifikatu eta jarraitzen ari da, " " izenekoa. VEILDrive Hasiera batean konpromiso baten barruan identifikatu zen kanpaina, gure bezeroen azpiegituraren batean identifikatutako jarduera gaizto bati aurre egiteko. AXON Ikerketaren baitan, erasotzaileak arriskuan jarri eta erabilitako biktimen erakunde osagarrien Microsoft azpiegitura osagai desberdinak identifikatu ditugu. Erasotzaileak Microsoft SaaS zerbitzu eta aplikazio desberdinak aprobetxatu zituen kanpainaren barruan, besteak beste, Microsoft Teams, SharePoint, Quick Assist eta OneDrive. Erasotzaileak OneDrive-n oinarritutako Command & Control (C&C) metodo bakarra erabili zuen biktimaren azpiegituran aurkitutako malwarearen zati gisa. Gure ikerketaren ondorioetan oinarrituta, probabilitate handia dago kanpaina hau Errusiatik etortzeko AXON taldeak bere aurkikuntzak Microsoft-i jakinarazi zizkion aktorearen azpiegitura ixten laguntzeko Taldeak gure ikerketan zehar identifikatutako kaltetutako biktima anitzekin ere harremanetan jarri zen Laburpen Exekutiboa Hunters' Team AXONek "VEILDrive" izeneko etengabeko mehatxu-kanpaina bat aurkitu du eta aktiboki kontrolatzen ari da. Hasieran bezero baten azpiegiturako jarduera asmo txarreko ikerketan aurkitutakoan, VEILDrive-k Microsoft-en SaaS suite aprobetxatzen du (batez ere Teams, SharePoint, Quick Assist eta OneDrive). exekutatu bere taktikak Bereziki, mehatxu aktoreak OneDrive-n oinarritutako Komando eta Kontrol bat erabiltzen du Ingurugiro arriskutsuetan inplementatzen den malware pertsonalizatuan txertatutako (C&C) metodoa Gure analisiak kanpaina honen jatorri errusiarra izan daitekeela adierazten du, eta AXON taldeak Microsoft-i eta eraginpeko erakundeei abisatu die ustiapen gehiago arintzeko. Gure ikerketa 2024ko irailean hasi zen Estatu Batuetako azpiegitura kritikoko entitate baten aurkako eraso bati erantzun ostean. VEILDrive-ren eraso-teknikak mehatxu-jokabide arruntetatik bereizten dira. Microsoft-en SaaS azpiegituran oinarritzen dira spear-phishing kanpainak banatzeko eta maltzurren softwarea gordetzeko. SaaS-en menpeko estrategia honek denbora errealeko detekzioa zailtzen du eta ohiko defentsak saihesten ditu. VEILDrive-ri lotutako malwarea Javan oinarritutako .jar fitxategia da, eta nabarmen ez du lausotzerik, eta ezohiko irakurgarria eta ongi egituratua da. Sinplea izan arren, malwareak maila goreneko Endpoint Detection and Response (EDR) tresna batek eta VirusTotal-eko segurtasun-motor guztiek detektatu zuen. Horrek arrisku kritiko bat nabarmentzen du: kode sinple eta lausotu gabekoak ere detekzio-mekanismo modernoak saihestu ditzake, arrisku handiko inguruneetan detekzio-estrategiak berrikusteko beharra zabalagoa dela iradokitzen duena. Txosten honek VEILDrive-ren metodologiei eta egungo detekzio-planteamenduen mugei buruzko ikuspegiak eskaintzen ditu zibersegurtasun komunitatea eboluzio mehatxuen aurrean hobeto hornitzeko. Aurrekariak 2024ko irailean, AXON taldeak Estatu Batuetako azpiegitura kritikoen enpresa bati zuzendutako gertakari bati erantzun zion. Ikerketa honek mehatxu-kanpaina berezi bat agerian utzi zuen, "VEILDrive", antzeko istiluetan ikusi ohi direnetatik nabarmen desbideratzen diren taktika, teknika eta prozedura ezohikoak (TTP) erakusten zituena. Gure aurkikuntzetan oinarrituta, VEILDrive kanpaina 2024ko abuztuaren hasieran hasi zela kalkulatzen dugu eta txosten honetatik aurrera aktibo jarraitzen duela. Microsoft SaaS zerbitzuak aprobetxatuz, Teams, SharePoint, Quick Assist eta OneDrive barne, erasotzaileak aurrez arriskuan zeuden erakundeen azpiegitura fidagarriak ustiatu zituen spear-phishing erasoak banatzeko eta malwarea gordetzeko. Hodeian zentratutako estrategia horri esker, mehatxu-aktoreak ohiko monitorizazio-sistemen bidez detektatzea saihestu zuen. Nabarmentzekoa, VEILDrive-k OneDrive-n oinarritutako Command & Control (C&C) metodo berri bat aurkeztu zuen Javan oinarritutako malwarean txertatutako gailu arriskutsuetan. Malwareak berak, .jar fitxategiak, bi ezaugarri deigarri ditu: zero lausotasunarekin eta ondo egituratuta dagoen kodearekin, malware honek ihesean ardaztutako diseinuaren ohiko joerari aurre egiten dio, ezohiko irakurgarri eta sinple bihurtuz. Kodearen gardentasuna: sinplea izan arren, malware hau biktimen ingurunean inplementatutako goi mailako Endpoint Detection and Response (EDR) irtenbideak eta VirusTotal-en segurtasun-motor guztiek detektatu gabe geratu zen (ikus beheko 1. irudia): Ezkutuko eraginkortasuna: Ezaugarri hauek azpimarratzen dute ihes-teknika sofistikaturik gabe ere, arretaz landutako eta ez-ohitu gabeko malware-ek defentsa modernoak saihestu ditzakeela. Ikerketa honek egungo detekzio-estrategien hutsunea azpimarratzen du eta eraso-ikuspegi ez hain konbentzionalen aurrean adi egon beharra azpimarratzen du. AXON taldeak bere aurkikuntzak Microsoft-ekin eta eraginpeko erakundeekin partekatu ditu, etengabeko mehatxu hau arintzeko adimen ekingarria eskainiz. VEILDrive Erasoaren bidea 2024ko irailaren hasieran, Hunters-en bezeroetako batek, behean "Org C" deitzen dena, AXON taldeari intzidentzia aktibo bat kudeatzeko laguntza eskatu zion. Kasua ingeniaritza sozialaren bidez arriskuan jarri zen Org C-ko gailu zehatz batean zentratu zen. Org C langile baten gailuan susmagarria den programatutako zeregin batek alerta bat piztu zuen, ikerketa gehiago bultzatuz. Erregistroak erlazionatuz eta kaltetutako erabiltzailearekin komunikatuz, taldeak hasierako sarbidearen metodoa argitu zuen. Jarraian, eraso-fluxuaren goi-mailako ikuspegi orokorra eskaintzen duen Eraso Diagrama dago: Gertaeren sekuentzia honela garatu zen: 1. urratsa Aktore gaiztoak Microsoft Teams aprobetxatu zuen Org C-ko hautatutako lau langileri mezuak emateko, zeinek, beren roletan oinarritutako teknikoak ez izateaz gain, itxurazko beste loturarik ez zutenak. Erasotzaileak IT taldeko kide baten identitatea hartu zuen eta langile bakoitzaren gailurako sarbidea eskatu zuen urruneko tresnaren bidez. Quick Assist Pertsonalizazioa egiteko sortu berri den kontu bat erabili beharrean, erasotzaileak arriskuan jarritako erabiltzaile-kontu bat erabili zuen aurreko biktima potentzial batena, hemen "Org A" izenarekin. Microsoft Teams spear-phishing-a identifikatzeko erabili ziren. M365 Auditoria Erregistroak " " eta " " gertaera anitz identifikatu ziren, guztiak mehatxu aktorearen jabetzako -ren aurretik arriskuan jarritako erabiltzailearen jatorria. MessageSent ChatCreated Org A 4 langile bideratu ziren arren, " " gertaera bakarra identifikatu zen -ko erabiltzaile arriskutsuari zuzenduta. MemberAdded Org A " " gertaera hau mehatxu-aktoreen sarbide-eskaera onartu zuten zuzendutako 4 erabiltzaileen erabiltzaile-kontu bakarrak egin zuen, bakarkako txat bat sortuz. Horrek esan nahi du erabiltzaile hau sarrerako mezuarekin aktiboki elkarreragin zuen bakarra izan zela. MemberAdded Informazio hori erakundearen EDR telemetriako datuekin bat egin zuen, erabiltzaileak eskaera onartu eta mezua jaso ez ezik, erasotzaileari hasierako sarbidea lortzeko aukera eman ziola ingeniaritza sozial arrakastatsuaren ondorioz. Goiko ikuspegia intrigazkoa eta baliotsua izan zen, Microsoft Teams eta antzeko komunikazio tresnen bidez phishingaren prebalentzia gero eta handiagoa dela nabarmenduz. Ikerketetarako oso esanguratsua izan daiteke M365 auditoretza-erregistroak erabiliz phishing-saiakerak arrakastatsuak eta porrotak bereiztea, EDR erregistroekin korrelazioarekin batera. Org C-ko erabiltzaileek jasotako Microsoft Teams-en mezuak Microsoft Teams-en “ ” funtzionalitateak ahalbidetu zituen, zeinak lehenespenez Kanpoko edozein erakunderekin Bat-bateko komunikazioa ahalbidetzen duena. Kanpoko sarbidea 2. urratsa Erasotzaileak arrakastaz erakarri zuen Org C-ren biktima Microsoft-en Quick Assist tresna exekutatzeko eta Microsoft Teams-en bidez sarbide kodea eman zien. Horrek mehatxu aktoreak biktimaren ordenagailura sarbide interaktiboa ekarri zuen. 3. urratsa Ondoren, mehatxu aktoreak deskarga-esteka bat partekatu zuen beste erakunde bateko SharePoint-erako (biktima Microsoft Teams txataren bidez phishing egiteko erabiltzen den beste maizter batekoa zen, "Org B" izenez aipatuko duguna). Esteka honek Client_v8.16L.zip izeneko pasahitz bidez babestutako .zip fitxategi bat zuen, hainbat fitxategi biltzen zituena, besteak beste, RMM tresna osagarri bat. Fitxategia deskargatu zuen, ziurrenik bitarteko interaktiboen bidez, erasotzaileak —dagoeneko urruneko sarbideaz hornituta— explorer.exe testuinguruan funtzionatzen zuen, estekan klik egin eta beharrezko tresnak deskargatzeko aukera emanez. Aipatzekoa da ikerketan zehar, M365 auditoretza-erregistroak, Microsoft Teams-en mezuetan sarrerako URLei buruzko informazio zehatza ematen zutenak, biktimaren ostalariaren EDR telemetriarekin, erasotzailearen TTPak guztiz ulertzeko. 4. urratsa Saiakera anitz egin ziren eskuzko eragiketa gaiztoak urruneko sarbidearen bidez egiteko. Jarduera hauek iraunkortasun-ahaleginak izan zituzten batez ere, hala nola, erasotzaileek deskargatutako fitxategietako bat behin eta berriz exekutatzeko programatutako zereginak sortzea —LiteManager izeneko RMM tresna ("ROMServer.exe"). schtasks /Create /TN "Perfomance monitoring" /SC MINUTE /TR C:\ProgramData\500000003\ROMServer.exe 5. urratsa Goiko jarduerei jarraituz, aktoreak eskuz deskargatzen du Cliento.zip. Lehen bezala, esteka txatean partekatu zen biktimaren erabiltzailearen eta mehatxu-aktorearen artean. .zip fitxategi honek .JAR malware nagusia eta .JAR malwarea exekutatzeko Java Garapen Kit osoa barne hartzen zituen. 6. urratsa Mehatxu aktoreak .JAR malwarea exekutatu zuen honako hau erabiliz: C:\\ProgramData\\Cliento\\jdk-22_windows-x64_bin\\jdk-22.0.2\\bin\\javaw.exe -jar C:\\ProgramData\\Cliento\\Cliento.jar 7. urratsa Sareko jarduera eta komandoen exekuzio anitz identifikatu ziren .JAR fitxategi maltzurren testuinguruan, besteak beste: Irteerako hainbat DNS eskaera/sare-jarduera → safeshift390-my.sharepoint.com Irteerako hainbat DNS eskaera/sare-jarduera → graph.microsoft.com helbidera Irteerako hainbat DNS eskaera/sare-jarduera → login.microsoftonline.com helbidera Zenbakitze lokaleko komandoen exekuzioa: Eskuratu sistemaren zehaztapenak - Systeminfo Lortu makinaren denboraren informazioa - net time Lortu makinaren UUID ( ) - gogoratu hau; geroago eztabaidatuko dugu Get-WmiObject -Class Win32_ComputerSystemProduct | Select-Object -ExpandProperty UUID USB gailuen zenbaketa - {$_.interfacetype -eq \"USB\"}" Hurrengo pantaila-argazkiak jarduera gaiztoekin erlazionatutako prozesu-zuhaitzaren zati nagusiak erakusten ditu: 8. urratsa Erasotzaileak JAR bitar gaizto bat ere gehitu zuen erregistroan giltza gisa, Java malwarea etengabe exekutatzeko. Komando lerroa: Set-ItemProperty -Path \"HKCU:\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" -Name \"current\" -Value \"C:\\ProgramData\\Cliento\\jdk-22_windows-x64_bin\\jdk-22.0.2\\bin\\javaw.exe -jar C:\\ProgramData\\Cliento\\Cliento.jar\" -ErrorAction Stop" Gertaera hau eustea eta desagerraraztea oso azkarra eta eraginkorra izan zen, eta geneuzkan froga forentseen arabera, ez zegoen inongo zantzurik erasotzaileak biktimaren ostalari eta erakundeari kalte nabarmenik eragitea lortu zuenik. Goian zehaztutako eraso-fluxuaren funtsezko informazio bat da erasotzaileak Microsoft-en zerbitzu ezagun eta ohikoak erabiltzen zituela bere erasoaren zati gisa, bai bistatik ezkutatzeko eta, agian, erosotasunerako ere. Azkar labur ditzagun mehatxu-aktoreak erabiltzen dituen Microsoft-en zerbitzuak orain taula hau erabiliz: Zerbitzua Maizterrak Helburua Microsoft Teams Org A-tik C-ra Spear Phishing Mezuak biktimak urruneko kudeaketa tresna deskargatu eta exekutatzeko erakartzeko Laguntza azkarra Org C Mehatxu aktoreak Quick Assist kodea bidaltzen du Microsoft Teams mezu bat erabiliz hasierako urruneko kontrola lortzeko SharePoint Org B-tik C-ra Fitxategi gaiztoak Org B-ren SharePoint maizter "ostatatuta" daude. Deskarga estekak Org C-rekin partekatzen dira SharePoint mezuen bidez eta erasotzaileak Quick Assist erabiliz irekitzen ditu Graph APIa Org C-tik N/A-ra Cliento.jar gaiztoak abiarazitako Microsoft Graph-era (graph[.]microsoft[.]com) sarbide gaiztoaren zantzuak izan genituen. Fase honetan, goian aipatutako Microsoft-en lau zerbitzu/aplikazioak identifikatu genituen. Lehenengo hiruren helburua ulertzen genuen arren, Graph APIra zuzendutako jarduera ez zegoen argi. Bere helburu potentzialari buruzko hainbat hipotesi genituen, baina gertakarien erantzunean, hipotesiak bakarrik ez dira nahikoak, ezta? Informazio gehiago biltzeko eta OneDrive/SharePoint-en .JAR malwarea 'Cliento.jar' hobeto ulertzeko -bai erasotzaileak egin ditzakeen ekintzak ebaluatzeko, bai haien asmoen berri izateko-, malwarearen azterketa zehatza egin dugu. "ODC2" Java Malwarea - OneDrive Komando eta Kontrol gisa "JDGUI" izeneko Java deskonpilatzailea erabili dugu Client.jar malwarea deskonpilatzeko ("ODC2 izena jarri genion"). Malwarearen hasierako goi-mailako begiradatik, berehala lotu genezake gertakarien ikerketan ikusi genuen PowerShell exekuzioarekin. Hau " " Java paketea sartzeagatik gertatzen da - Javarako PowerShell bilgarri bat. jPowerShell Horrez gain, "aginduak", "konexioa", "abiarazlea", "edo konektatu" bezalako pakete gehigarriak ikusi ahal izan genituen. Horrek malwarearen egitura maila altuko ulermena eman zigun. Main.class-arekin hasi ginen "abiarazlea" paketearen azpian eta malwareak erabiltzen dituen gogor kodetutako kredentzial multzo bat aurkitu genuen. Hau harrigarria izan zen guretzat, baina oso interesgarria. Malwarea gehiago aztertuz (beheko analisi zehatzean deskribatzen den moduan), malwareak kredentzial hauek erabiltzen zituela ikusi genuen Entra ID-en "kontuan" autentifikazioa egiteko. Autentifikazio hau egiteko, gogor kodetutako freskatze-tokena erabili zen bezeroaren IDarekin eta bezeroaren sekretuarekin sarbide-token bat eskatzeko. Autentifikazioari esker, malwarea Entra ID erabiltzaile espezifikoen OneDrivera atzitzea ahalbidetu zuen, ustez aktorearen jabetzako maizterretan, sarbide hori C2 helburuetarako abusua eginez. Main.class-en funtzio nagusian sarrera-puntua bera ikus dezakegu, hainbat hari barne hartzen dituena. "odThread1" eta "mainThread1" funtzioen exekuzioa barne hartzen du. funtzioaren exekuzioa barne hartzen du, autentifikaziorako kodetutako lehen kredentzialen multzoa (Fresh Token, etab.) lortzen duena. "odThread1"-k "odRun" IP helbidea erabiltzen du konexioa konfiguratzeko "40.90.196.221" "odRun" “Exekutatu”-ren “40.90.196.228” IP helbideak HTTPS socket-a hasieratzen du erasotzailearen C2-n. IP hau Azureren IPa ere bada, eta oso litekeena da makina birtual bat izatea. C2 kanal hau, behean zehazten den bezala, "klasikoagoa" da eta PowerShell komandoak exekutatzen ditu. IP helbide hauei buruzko informazio gehiago lortzeko, ipinfo.io eta Microsoft-ek argitaratutako Azure IP helbideen Zerbitzu-etiketak bezalako baliabide ezagunak egiaztatu ditugu, beheko pantaila-argazkian erakusten den moduan: Aipatzekoa da, halaber, malware honetan aurkitutako gogor kodetutako IP helbide gehigarria (38.180.136.85) beste zerbitzu hornitzaile batena dela dirudiela eta ostalaritza zerbitzuekin lotuta dagoela. Gure ikuspegietan oinarrituta, malwareak ez zuen IP helbide hau aktiboki erabili. Suposatzen dugu ondare-arrazoiengatik egon zela (aurreko C2 azpiegitura). HTTPS Socket C2 "Ctrl.run()" funtzioa exekutatzen duen "mainThread1()"-an pixka bat sakonduz, ikus dezakegu run() funtzioa konexio bat sortzen saiatzen dela eta ohiko konexioa bizirik dagoen ala ez egiaztatzen duela. Ondoren, "parseCommand" saiatzen da, garrantzirik gabeko zatiak mozten. "Exekutatu" funtzio honek "connect()" erabiltzen du konexio bat konfiguratzeko/berrezartzeko. Socket bat sortzen du goian ikusi dugun urruneko IP helbidean - 40.90.196.228. "Exekutatu" funtzio honek "CommandManager" erabiltzen du, eta malware honek eskaintzen dituen komando/gaitasun mota ezberdinen kudeaketa desberdinak barne hartzen ditu, besteak beste, fitxategien transferentzia bezerotik zerbitzaritik eta zerbitzaritik bezerora, fitxategien konpresioa, pantaila-argazkiak, sareko konexioak ixtea eta, noski, komandoen exekuzioa. Jasotako komandoa hutsik dagoen edo C2 zerbitzaritik benetako komando bat jaso den egiaztatzen du. Komando bat aurkitzen bada, analizatu eta exekutatzen du. Exekuzioa, funtsean, PowerShell-en testuinguruan dago. Jasotako komandoa PowerShell komando gisa exekutatzen ari da lehen aipatu dugun jPowerShell wrapper-a erabiliz. OneDrive Komandoa eta Kontrola OneDrive C2 funtzionalitatearen muinean sakondu baino lehen, garrantzitsua da malwarearen kodearen zati kritikoak OneDrive fitxategien hiru "mota" zehatzetan oinarritzen direla: UUID, cf_UUID eta rf_UUID. Gure ikerketan ikusi bezala, exekutatu zen, gailuaren hardwarearen UUID-a agerian utziz. Identifikatzaile esklusibo honek VEILDrive kanpainako biktima bakoitza bereizteko balio du. Get-WmiObject -Class Win32_ComputerSystemProduct | Select-Object -ExpandProperty UUID Fitxategi-mota bakoitzak eginkizun berezia du malwarearen eragiketetan. Hurrengo pantaila-argazkiak fitxategi horien adibideak eta malwarearen exekuzioan duten eginkizun nagusiak eskaintzen ditu. Murgil dezagun OneDrive C2 funtzionalitatearen fluxua eta UUID fitxategi horiek praktikan nola erabiltzen diren: PowerShell-en Urruneko Exekuzio gaitasun klasikoez gain, "odRun" funtzioak komunikazio kanal gisa "OneDrive"n oinarritutako beste hari baten arduraduna da. Hau da malware honen zati berezia. "odRun" ikusten dugun moduan, ziurrenik "OneDrive" (OneDriveRun) izena du eta OneDrive konexio bat sortzea barne hartzen du "Odconnect" funtzioa erabiliz lehen urrats gisa: Ikus dezakezunez, lehenik "machineUUID" katea kate huts gisa ezartzen da. Jarraian, "getMachineUUID()" funtzioa exekutatzen da, hau da, bere izenak dioen bezala, biktimaren gailuaren Makina UUIDa lortzen du: Orduan ikusiko dugu OneDrive konexioa "OdConnect" funtzioa erabiliz egiten ari dela; konexioa egiten ari da "hasi saioa[.]microsoftonline[.]com" sarbide-token berrien eta freskatze-token multzo bat sortzeko/eguneratzeko. . "WriteFileToOneDrive" funtzioa deitzen den hurrengoa da, betiere helburuko ordenagailuan uneko biktima-makinaren UUID gisa izendatutako fitxategirik ez badago, "checkFile" funtzioak egindako egiaztapenean oinarrituta. ”checkFile”: funtzio honek egiaztatzen du == machineUUID izeneko fitxategi bat dagoen OneDrive erabiltzailearen hasierako karpetan Halako fitxategirik ez badago, "writeFileToOneDrive()" jokoan sartzen da, eta uneko biktimaren Ordenagailuaren UUID gisa izendatutako fitxategi bat sortzen du inolako aurrizkirik gabe. "odRun"-en hurrengo zatia UUID-aren edukia lortzen duen "getFiles()" funtzioa da. Gailuaren makinaUUID-ak (aurrizkirik gabe) izendatzen duen OneDrive fitxategia. Fitxategiaren edukia hutsik ez badago, "bidali" hitzarekin den egiaztatzen du: hasten Edukia nolabaiteko normalizazioa egiten du, hurrengo egiaztapenetarako prestatuz - " bidaltzeko " katea kenduz eta " \ " " " "-rekin ordezkatuz (ezer ez) " " izeneko aldagai batean gordez. filenameForDownload funtziora pasatzen ari da. Honek erasotzaileak aukeratutako fitxategia lortzen du. Erasotzaileak UUID fitxategian "bidali" hitzaren ondoren fitxategiaren izena zehaztuko luke eta biktimaren makinan zehaztutako helmugako bide-bidean gordeko luke, hau da, "user.home"\downloads (deskargak karpeta). filenameForDownload getFileDownloadUrl Horren ostean, " " funtzioa deitzen ari da, urruneko fitxategia tokiko biktimaren gailura deskargatuz, funtzioaren irteeran oinarrituta. downloadFile getFileDownloadUrl Erasotzaileak fitxategiaren exekuzioari buruzko zantzu bat lortzen du " " erabiliz, "odRun" zati gisa exekutatzen dena, honako hau idazteko "rf_" + "send file" + filenameForDownload + "done" → erasotzaileari jakinarazteko. exekuzioa egin zela. Horren ondoren, "writeFileToOneDrive"-ren beste exekuzio bat dago, eta bertan beste fitxategi bat, "cf_" izenekoa. + machineUUID OneDrive-n idazten ari da, edukirik gabe. writeFileToOneDrive Fitxategiaren edukia hutsik ez badago baina "bidali"-rekin hasten bada: ez cf_MachineUUID fitxategiaren edukia exekutatuko da. Jarraian berriro fitxategi bat idatziz OneDrivera, " " erabiliz, lehenengo "rf_" + machineUUID, exekuzioaren erantzunaren edukiarekin. writeFileToOneDrive Eta " "-ren beste erabilera bat, "cf_" fitxategia idazteko eta husteko, funtsean komando beraren beste exekuzio bat saihestuz (malwarea begizta batean exekutatzen baita). writeFileToOneDrive Laster laburbiltzeko, malware honek bi C2 kanal ezberdin dituela dirudi: : ikuspegi klasikoagoa, urruneko batetik komandoak jaso eta PowerShell-en testuinguruan exekutatzen ditu. HTTPS Socket C2 Azure VM : hau berezia da, eta funtzionatzeko modua pixka bat konplexuagoa eta sortzaileagoa da. Hiru fitxategi ezberdin biltzen ditu, denak biktimaren gailuaren UUID-a barne, batzuk aurrizkiekin (rf_ eta cf_). Mehatxu aktoreari komandoak bidaltzea eta Microsoft Graph erabiliz errazago jasotzea. OneDrive-n oinarritutako C2 : aipatzea garrantzitsua da malware honek komandoen exekuzio estandarraz gain gaitasun gehigarriak dituela, fitxategien transferentzia barne. Hala ere, goiko informazio zehatza komandoak exekutatzeko alderdian bakarrik zentratzen da. Oharra Microsoft Zerbitzuak/Aplikazioak erasotzaileen azpiegitura gisa Une honetan, argi dago eraso honek trebeziaz konbinatu zituela teknika sinpleak eta taktika sofistikatu eta bereziak. Gure hasierako ikerketaren ezaugarri nabarmen bat kanpainan zehar integratutako Microsoft azpiegitura eta zerbitzuen erabilera zabala izan zen. Malwarea aztertu eta informazio berria gure ikerketaren inguruko informazioekin erlazionatu ondoren, erasotzaileak hainbat zerbitzuren erabilera eta haien helburuak argiago ulertu genituen. Microsoft zerbitzuen eta azpiegituren erabilera hasieran uste zena baino are zabalagoa zela ikusi genuen. Ikusi beheko taula laburpen labur baterako: Zerbitzua Maizterrak Helburua Microsoft Teams Org A-tik C-ra Spear Phishing Mezuak biktimak urruneko kudeaketa tresna bat deskargatu eta exekutatzeko erakartzeko Laguntza azkarra Org C Mehatxu aktoreak Quick Assist kodea bidaltzen du Microsoft Teams mezu bat erabiliz hasierako urruneko kontrola lortzeko SharePoint Org B-tik C-ra Fitxategi gaiztoak "ostatatuta" daude Org B-ko SharePoint maizterrean. Deskarga estekak Org C-rekin partekatzen dira SharePoint mezuen bidez eta erasotzaileak Quick Assist erabiliz irekitzen ditu. Azure VM Erasotzailearen azpiegitura Malwarea mehatxu-aktorearen jabetzako Azure Makina Birtual batekin komunikatu zen HTTPS Socket C2 helburuetarako OneDrive (Graph API) Erasotzailearen OneDrive eta Org C ostalarien artean Mehatxu aktoreak OneDrive C2 kanal gehigarri gisa erabili zuen, komandoak urruneko exekuzioa, pantaila-argazkiak egitea, fitxategiak deskargatzea/kargatzea, etab. Org C ostalariei zuzendutako gaitasunak lortzeko. Azure AD aplikazioaren erregistroa Erasotzailearen OneDrive eta Org C ostalarien artean (k Aplikazioa aktorearen jabetzako Azure AD erabiltzaile-kontu baten izenean autentifikatzeko erabili zen eta OneDrive-ren hasierako karpetara sartzeko. Konpromisoaren Adierazleak (IOCS) Erasotzailearen jabetzako Entra ID maizter ezagunak: C5f077f6-5f7e-41a3-8354-8e31d50ee4d 893e5862-3e08-434b-9067-3289bec85f7d Erasotzaileen bezero IDek erregistratutako aplikazio ezagunak: B686e964-b479-4ff5-bef6-e360321a9b65 2c73cab1-a8ee-4073-96fd-38245d976882 Sartu erasotzaileak erabilitako ID maizterrak (Bilatu domeinu horietarako irteerako DNS eskaera): SafeShift390[.]onmicrosoft[.]com GreenGuard036[.]onmicrosoft[.]com Ikerketaren barruan aurkitutako IOC fitxategiak (SHA256): ROMServer.exe a515634efa79685970e0930332233aee74ec95aed94271e674445712549dd254 HookDrv.dll 1040aede16d944be8831518c68edb14ccbf255feae3ea200c9401186f62d2cc4 ROMFUSClient.exe 7f61ff9dc6bea9dee11edfbc641550015270b2e8230b6196e3e9e354ff39da0e AledensoftIpcServer.dll d6af24a340fe1a0c6265399bfb2823ac01782e17fc0f966554e01b6a1110473f ROMwln.dll 7f33398b98e225f56cd287060beff6773abb92404afc21436b0a20124919fe05 IP helbideak: 40.90.196[.]221 40.90.196[.]228 38.180.136[.]85 213.87.86[.]192 Mehatxuen Ehizaren Kontsultak Arestian aipatutako IOC espezifikoez gain, mehatxuen ehiza-kontsulta anitz landu ditugu, aktore berak sortutako erasoak detektatzeko, kanpaina berean egindakoak edo antzeko ezaugarriak (TTP) partekatzeko. Oharra: VEILDriverako gomendatutako ehiza-epea 2024ko uztailekoa da. : Javaw-ren Powershell-a bandera espezifikoekin - Ezohiko portaera EHIZA 1. KONTSULTA gure azterketan, erasotzailearen Urruneko Sarbide Erremintak (RAT) Powershell erabili zuela identifikatu genuen makinaren UUID-a bere exekuzio-prozesuaren zati gisa. Kontsulta honek javaw.exe-k sortzen duen Powershell-en ezohiko kasuak detektatzen ditu mehatxu-aktoreak erabiltzen dituen komando-lerroko marka espezifikoekin. Kontsulten logika: Kontsulta: SELECT EVENT_TIME, AGENT_ID, PARENT_PROCESS_NAME, PARENT_PROCESS_COMMANDLINE, INITIATING_PROCESS_NAME, INITIATING_PROCESS_COMMANDLINE, TARGET_PROCESS_NAME, TARGET_PROCESS_COMMANDLINE, TARGET_PROCESS_OS_PID FROM INVESTIGATION.EDR_PROCESS_CREATION_EVENTS WHERE 1=1 AND PARENT_PROCESS_NAME ILIKE '%javaw%' AND INITIATING_PROCESS_NAME ILIKE '%cmd%' AND TARGET_PROCESS_NAME ILIKE '%powershell%' AND TARGET_PROCESS_COMMANDLINE ILIKE 'powershell.exe -ExecutionPolicy Bypass -NoExit -NoProfile %' AND EVENT_TIME > current_timestamp - interval '60d' EHIZA 2. KONTSULTA: ROM tresnaren iraunkortasuna programatutako zereginen bidez Kontsulta honek mehatxu-aktoreak iraunkortasunerako erabiltzen duen ROM tresna baten exekuzioarekin erregistratzen den ataza programatu baten instantzia detektatzen du. Kontsulta-logika: Kontsulta: SELECT EVENT_TIME AS EVENT_TIME, AID AS AGENT_ID, CID AS COMPUTER_ID, EVENT_SIMPLE_NAME AS EVENT_NAME, RAW:TaskName AS TASK_NAME, RAW:TaskExecCommand AS TASK_EXEC_COMMAND, RAW:TaskAuthor AS TASK_AUTHOR, RAW:UserName AS USER_NAME --- Adjust according to your EDR of choice FROM RAW.CROWDSTRIKE_RAW_EVENTS WHERE EVENT_SIMPLE_NAME = 'ScheduledTaskRegistered' AND TASK_EXEC_COMMAND ILIKE '%romserver%' AND EVENT_TIME > CURRENT_TIMESTAMP - interval '60d' : Microsoft Teams-en bidez hirugarrenen Sharepoint domeinuetarako estekak partekatzen dituzten erakundeak ez diren erabiltzaileak HUNTING QUERY 3 Kontsulta honek SharePoint esteka bat Teams txat batean partekatzen den kasuak detektatzen ditu, baina SharePoint estekaren domeinua txat parte-hartzaileetako bat ez den. Honek phishing-saiakera edo datuen filtrazio potentzial bat adierazi dezake, non kanpoko domeinu bat erabiltzen ari den erakundeko erabiltzaileek ustekabeko erabiltzaileekin fitxategiak edo informazioa partekatzeko. Kontsulten logika: Kontsulta: SET YOUR_ORGANIZATION_NAME = 'hunters'; SELECT EVENT_TIME, ORGANIZATION_ID AS ORG_ID, OPERATION AS EVENT_TYPE, SPLIT_PART(LOWER(SPLIT_PART(USER_ID, '@', 2)), '.', 1) AS SENDER_ORG_DOMAIN, RECORD_SPECIFIC_DETAILS:message_ur_ls AS MESSAGE_URLS, WORKLOAD AS WORKLOAD, USER_ID AS USER_ID, RECORD_SPECIFIC_DETAILS:chat_thread_id AS CHAT_THREAD_ID, RECORD_SPECIFIC_DETAILS:communication_type AS COMMUNICATION_TYPE, RECORD_SPECIFIC_DETAILS:members[0].DisplayName AS MEMBER_DISPLAY_NAME, RECORD_SPECIFIC_DETAILS:members[0].UPN AS MEMBER_UPN, RECORD_SPECIFIC_DETAILS:members[0] AS MEMBERS, RECORD_SPECIFIC_DETAILS:resource_tenant_id AS RESOURCE_TENANT_ID, RECORD_SPECIFIC_DETAILS FROM RAW.O365_AUDIT_LOGS WHERE NOT USER_ID ILIKE '%' || $YOUR_ORGANIZATION_NAME || '%' AND (NOT (MESSAGE_URLS ILIKE '%' || SENDER_ORG_DOMAIN || '%') AND MESSAGE_URLS ILIKE '%sharepoint%') AND NOT MESSAGE_URLS ILIKE '%' || $YOUR_ORGANIZATION_NAME || '%' AND EVENT_TIME > CURRENT_TIMESTAMP - interval '60d' : Microsoft Teams - Phishing detekzioa - Domeinu ez-komunetako DM anitz HUNTING QUERY 4 hurrengo kontsultak domeinu ez-ohikoetatik kanpoko erabiltzaileek bakarkako txatean bidalitako mezuak hautematen ditu. Kontsultak asko erabiltzen diren domeinuak iragazten ditu jarduera historikoetan oinarrituta eta phishing-erasoak egin ditzaketen txatetan gehitutako kanpoko kideak identifikatzen ditu. Kontsulten logika: Kontsulta: SET YOUR_DOMAIN_NAME = 'hunters'; --- GET EXTERNAL TEAMS AND ONEDRIVE USERS OF THE LAST 3 MONTHS - TO CLEAN EXTENSIVELY USED DOMAINS WITH COMMONLY_USED_DOMAINS AS ( SELECT LOWER(SPLIT_PART(USER_ID , '@', 2)) AS DOMAIN_COMMONLY_USED, MIN(EVENT_TIME) AS MIN_EVENT_TIME, MAX(EVENT_TIME) AS MAX_EVENT_TIME, ARRAY_AGG(DISTINCT OPERATION) AS OPERATIONS, COUNT(*) AS COUNTER FROM RAW.O365_AUDIT_LOGS WHERE WORKLOAD IN ('MicrosoftTeams', 'OneDrive') AND EVENT_TIME > CURRENT_TIMESTAMP - interval '90d' AND USER_ID ILIKE '%@%' GROUP BY DOMAIN_COMMONLY_USED HAVING COUNTER > 20 ), ---- Get List of External Domains that recently communicated with our organization using Microsoft Teams LATEST_EXTERNAL_DOMAINS AS ( SELECT USER_ID AS LATEST_EXT_USERS, LOWER(SPLIT_PART(USER_ID , '@', 2)) AS USER_DOMAIN, MIN(EVENT_TIME) AS MIN_EVENT_TIME, MAX(EVENT_TIME) AS MAX_EVENT_TIME, ARRAY_AGG(DISTINCT OPERATION) AS OPERATIONS, ARRAY_AGG(DISTINCT RECORD_SPECIFIC_DETAILS:communication_type) AS COMMUNICATION_TYPE, COUNT(*) AS COUNTER FROM RAW.O365_AUDIT_LOGS WHERE EVENT_TIME > CURRENT_TIMESTAMP - interval '50d' AND NOT USER_ID ILIKE '%' || $YOUR_DOMAIN_NAME || '%' AND NOT USER_ID IN ('app@sharepoint') AND USER_ID ILIKE '%@%' -- CLEAN-UP OF EXTENSIVELY USED DOMAINS AND USER_DOMAIN NOT IN (SELECT DISTINCT DOMAIN_COMMONLY_USED FROM COMMONLY_USED_DOMAINS) AND OPERATION IN ('MemberAdded', 'ChatCreated') AND RECORD_SPECIFIC_DETAILS:communication_type = 'OneOnOne' GROUP BY USER_ID HAVING COUNT(*) > 5 ) SELECT EVENT_TIME, ORGANIZATION_ID AS ORG_ID, WORKLOAD AS WORKLOAD, OPERATION AS OPERATION, USER_ID AS USER_ID, LOWER(SPLIT_PART(USER_ID , '@', 2)) AS USER_DOMAIN, RECORD_SPECIFIC_DETAILS:chat_thread_id AS CHAT_THREAD_ID, RECORD_SPECIFIC_DETAILS:communication_type AS COMMUNICATION_TYPE, RECORD_SPECIFIC_DETAILS:members[0].DisplayName AS MEMBER_DISPLAY_NAME_0, RECORD_SPECIFIC_DETAILS:members[0].UPN AS MEMBER_UPN_0, RECORD_SPECIFIC_DETAILS:members[0] AS MEMBERS_0, RECORD_SPECIFIC_DETAILS:members[1].DisplayName AS MEMBER_DISPLAY_NAME_2, RECORD_SPECIFIC_DETAILS:members[1].UPN AS MEMBER_UPN_2, RECORD_SPECIFIC_DETAILS:members[1] AS MEMBERS_2, RECORD_SPECIFIC_DETAILS:resource_tenant_id AS RESOURCE_TENANT_ID, RECORD_SPECIFIC_DETAILS, RAW:ClientIP AS CLIENT_IP FROM RAW.O365_AUDIT_LOGS WHERE 1=1 AND RECORD_SPECIFIC_DETAILS:communication_type = 'OneOnOne' AND ( RECORD_SPECIFIC_DETAILS:members[0].UPN IN (SELECT LATEST_EXT_USERS FROM LATEST_EXTERNAL_DOMAINS) OR RECORD_SPECIFIC_DETAILS:members[1].UPN IN (SELECT LATEST_EXT_USERS FROM LATEST_EXTERNAL_DOMAINS) ) AND USER_ID ILIKE '%' || $YOUR_DOMAIN_NAME || '%' AND OPERATION = 'MemberAdded' AND EVENT_TIME > CURRENT_TIMESTAMP - interval '50d'; kontsulta hau apur bat konplexua denez, hona hemen logikaren azalpena. Lehenik eta behin, Snowflake-ren "CTE" funtzioa erabiltzen dugu bi ikuspegi eraikitzeko: Kontsulta-logika sakona: COMMONLY_USED_DOMAINS: Erabiltzaile IDtik domeinu-izenak ateratzen ditugu katea '@'-ren ondoren zatituz. Zenbatu domeinu bakoitzak azken 90 egunetan sortutako gertaera guztiak Mantendu 20 gertaera baino gehiago dituzten domeinuak eta kontuan hartu ohikoak. Hau zure beharren arabera egokitu dezakezu. LATEST_EXTERNAL_DOMAINS: Iragazi aurreko ikuspegian identifikatutako barne-domeinuak eta erabili ohi diren domeinuak azken 50 egunetako gertaera guztietatik Kontsultatu 5 gertaera baino gehiago dituzten domeinu guztiei zuzeneko mezuak eta kideen gehiketak Teams-era bidaltzea. Azkenik, erabiltzaileari eta hari lotutako domeinuari buruzko informazio zehatza eskuratzen dugu LATEST_EXTERNAL_DOMAINS-en iragazitako emaitzak kontsultatuz. Higiene Nuggets Aktoreak erabiltzen dituen eraso-teknikei lotutako ehiza eta ikerketa alderdiak landu ditugu. Metodo eta teknika gaizto horietako batzuk kanpaina ezberdinetan erabiltzen direla ere ezaguna da. Zure erakundea mehatxu horietatik babesteak nabarmen murrizten du zure erakundearen azpiegituraren atal ezberdinei zuzendutako eraso arrakastatsuak izateko arriskua. Hona hemen zure segurtasun jarrera hobetzeko erabil daitezkeen Higiene Nuggets batzuk: Microsoft Teams-en bidez phishing-eraso arrakastatsuak izateko aukerak murrizteko, hona hemen eman ditzakezun urrats batzuk: Lehenespenez, Microsoft Teams-ek "Kanpoko sarbidea" baimentzen du, eta horrek bakarkako txatak baimentzen ditu kanpoko kontaktuekin. Zure erakundearentzat ezinbestekoa ez bada, kontuan hartu aukera hau desgaitzea. Kanpoko komunikazioa beharrezkoa bada, muga ezazu konfiantzazko domeinuetara soilik. Microsoft Teams-en kanpoko alderdiekin komunikatzeko beste modu bat gonbidatu edo kide gisa gehitzea da. Eginbide hau murriztea gomendatzen dugu, pribilegio handiko erabiltzaile hautatuei soilik kudeatzeko aukera ematea. Urruneko administrazio-tresnak erabiliz ziber-erasoen gorakadak zilegitasunez erabiltzen diren tresnen eta mehatxu-eragileek ustiatzen dituztenen arteko bereizketa argia eskatzen du. Hona hemen gomendio batzuk: Mugatu urruneko administrazio-tresnak negozio-helburuetarako beharrezkoak diren aplikazio zehatz eta onartuetara. Quick Assist erraz deskargatu daiteke Microsoft Store-tik; kontuan hartu erabilera blokeatzea zure erakundearen zerrenda zurian ez badago. Sarbidea mugatu dezakezu AppLocker, Windows Firewall arauak edo MDM kudeaketa bezalako neurriak aplikatuz. Jarrai urruneko kudeaketa-tresnen jarraipena eta kontrolatu ezohiko edo baimendu gabeko hirugarrenen tresnak. Adibidez, Quick Assist erabiltzen bada eta zure IT taldeak ez badu fidatzen urruneko laguntzarako, alarma bat piztu beharko luke. Segurtasun-sentsibilizazio-prestakuntza: topiko bat dirudi, baina giza akatsak ziber-eraso arrakastatsuen arrazoi nagusietako bat dira etengabe. Segurtasun-sentsibilizazio prestakuntzak alde horretatik eragin dezake, hurrengo urratzetik babestuz. Basoan ikusten diren mehatxuei zuzenduta eta egokia izatea gomendatzen dugu. Esaterako, Microsoft Teams, Slack edo baita telefono-dei klasikoen bidezko komunikazio-plataformen bidez informatika-identifikazio kasuak gero eta handiagoak dira. Mesedez, ziurtatu zure langileek nola aurre egin dakitela. Ondorioa VEILDrive-k sinpletasuna eta sofistikazioa uztartzen ditu. Interesgarria izan zen C2 ezaugarri klasikoak C2-rekin batera OneDrive-rekin paraleloan erabiltzen zirela ikustea, baita programatutako zereginetan oinarritutako iraunkortasunaren erabilera ere, goi mailako EDR batek detektatzen ez duen malware exekuzioarekin batera. Ikerketaren eta mehatxuen ikerketaren barruan identifikatutako ezaugarriak interesgarriak izan ziren, eta mehatxu-eragile honek nola funtzionatzen duen hobeto ulertzeko aukera eman ziguten, zein zerbitzu ezagutzen dituen abusua, nola abusatzen duen eta zertarako. VEILDrive-n C2 komunikaziorako OneDrive-ren erabilera abusua izan zen ezaugarri bereziak zituen. Hala ere, C2 helburuetarako OneDrive abusuaren kontzeptu orokorra gora egin du azken hilabeteetan, eta kontuan hartu beharreko zerbait da. Microsoft Teams, Slack eta antzeko zerbitzuetako komunikazio plataformetan spear-phishing-aren bidez hasierako sarbidea gero eta ohikoagoa da. Denbora pasa ahala are ohikoagoa izango dela aurreikusten dugu. Horregatik, alderdi honekin lotutako higiene- eta jarrera-neurriak (goian Higiene Nuggets-en aipatu bezala) funtsezkoak dira. Urruneko Administrazioko tresnak oso ezagunak dira dagoeneko mehatxuen eragileen artean. Ikuspegi desberdinak har daitezke tresna horiek erabiliz baimenik gabeko sarbidea izateko aukera minimizatzeko. Gure ikuspuntutik, arlo honetan gomendatutako ikuspegia zerrenda zuria (baimendutako zerrenda) da, jarraipen sendoarekin konbinatuta. Izaera honetako kanpaina gehiago sortuko direla aurreikusten dugu, antzeko metodo eta ezaugarriak erabiliz. Hori dela eta, etengabeko jarraipena eta mehatxu-ehiza proaktiboa gomendatzen dira mota honetako mehatxuak. Mehatxuen ehizaren ikerketa, jardueren eta kontsulten berri izateko, jarraitu Team Axon-en X/Twitter kontuari ( ). @team__axon