Hunters Team Axonen eskutik
Hunters' Team AXONek "VEILDrive" izeneko etengabeko mehatxu-kanpaina bat aurkitu du eta aktiboki kontrolatzen ari da. Hasieran bezero baten azpiegiturako jarduera asmo txarreko ikerketan aurkitutakoan, VEILDrive-k Microsoft-en SaaS suite aprobetxatzen du (batez ere Teams, SharePoint, Quick Assist eta OneDrive). exekutatu bere taktikak Bereziki, mehatxu aktoreak OneDrive-n oinarritutako Komando eta Kontrol bat erabiltzen du Ingurugiro arriskutsuetan inplementatzen den malware pertsonalizatuan txertatutako (C&C) metodoa Gure analisiak kanpaina honen jatorri errusiarra izan daitekeela adierazten du, eta AXON taldeak Microsoft-i eta eraginpeko erakundeei abisatu die ustiapen gehiago arintzeko.
Gure ikerketa 2024ko irailean hasi zen Estatu Batuetako azpiegitura kritikoko entitate baten aurkako eraso bati erantzun ostean. VEILDrive-ren eraso-teknikak mehatxu-jokabide arruntetatik bereizten dira. Microsoft-en SaaS azpiegituran oinarritzen dira spear-phishing kanpainak banatzeko eta maltzurren softwarea gordetzeko. SaaS-en menpeko estrategia honek denbora errealeko detekzioa zailtzen du eta ohiko defentsak saihesten ditu.
VEILDrive-ri lotutako malwarea Javan oinarritutako .jar fitxategia da, eta nabarmen ez du lausotzerik, eta ezohiko irakurgarria eta ongi egituratua da. Sinplea izan arren, malwareak maila goreneko Endpoint Detection and Response (EDR) tresna batek eta VirusTotal-eko segurtasun-motor guztiek detektatu zuen. Horrek arrisku kritiko bat nabarmentzen du: kode sinple eta lausotu gabekoak ere detekzio-mekanismo modernoak saihestu ditzake, arrisku handiko inguruneetan detekzio-estrategiak berrikusteko beharra zabalagoa dela iradokitzen duena.
Txosten honek VEILDrive-ren metodologiei eta egungo detekzio-planteamenduen mugei buruzko ikuspegiak eskaintzen ditu zibersegurtasun komunitatea eboluzio mehatxuen aurrean hobeto hornitzeko.
2024ko irailean, AXON taldeak Estatu Batuetako azpiegitura kritikoen enpresa bati zuzendutako gertakari bati erantzun zion. Ikerketa honek mehatxu-kanpaina berezi bat agerian utzi zuen, "VEILDrive", antzeko istiluetan ikusi ohi direnetatik nabarmen desbideratzen diren taktika, teknika eta prozedura ezohikoak (TTP) erakusten zituena.
Gure aurkikuntzetan oinarrituta, VEILDrive kanpaina 2024ko abuztuaren hasieran hasi zela kalkulatzen dugu eta txosten honetatik aurrera aktibo jarraitzen duela. Microsoft SaaS zerbitzuak aprobetxatuz, Teams, SharePoint, Quick Assist eta OneDrive barne, erasotzaileak aurrez arriskuan zeuden erakundeen azpiegitura fidagarriak ustiatu zituen spear-phishing erasoak banatzeko eta malwarea gordetzeko. Hodeian zentratutako estrategia horri esker, mehatxu-aktoreak ohiko monitorizazio-sistemen bidez detektatzea saihestu zuen.
Nabarmentzekoa, VEILDrive-k OneDrive-n oinarritutako Command & Control (C&C) metodo berri bat aurkeztu zuen Javan oinarritutako malwarean txertatutako gailu arriskutsuetan. Malwareak berak, .jar fitxategiak, bi ezaugarri deigarri ditu:
Ezaugarri hauek azpimarratzen dute ihes-teknika sofistikaturik gabe ere, arretaz landutako eta ez-ohitu gabeko malware-ek defentsa modernoak saihestu ditzakeela. Ikerketa honek egungo detekzio-estrategien hutsunea azpimarratzen du eta eraso-ikuspegi ez hain konbentzionalen aurrean adi egon beharra azpimarratzen du.
AXON taldeak bere aurkikuntzak Microsoft-ekin eta eraginpeko erakundeekin partekatu ditu, etengabeko mehatxu hau arintzeko adimen ekingarria eskainiz.
2024ko irailaren hasieran, Hunters-en bezeroetako batek, behean "Org C" deitzen dena, AXON taldeari intzidentzia aktibo bat kudeatzeko laguntza eskatu zion. Kasua ingeniaritza sozialaren bidez arriskuan jarri zen Org C-ko gailu zehatz batean zentratu zen.
Org C langile baten gailuan susmagarria den programatutako zeregin batek alerta bat piztu zuen, ikerketa gehiago bultzatuz. Erregistroak erlazionatuz eta kaltetutako erabiltzailearekin komunikatuz, taldeak hasierako sarbidearen metodoa argitu zuen.
Jarraian, eraso-fluxuaren goi-mailako ikuspegi orokorra eskaintzen duen Eraso Diagrama dago:
Gertaeren sekuentzia honela garatu zen:
Aktore gaiztoak Microsoft Teams aprobetxatu zuen Org C-ko hautatutako lau langileri mezuak emateko, zeinek, beren roletan oinarritutako teknikoak ez izateaz gain, itxurazko beste loturarik ez zutenak. Erasotzaileak IT taldeko kide baten identitatea hartu zuen eta langile bakoitzaren gailurako sarbidea eskatu zuen Quick Assist urruneko tresnaren bidez.
Pertsonalizazioa egiteko sortu berri den kontu bat erabili beharrean, erasotzaileak arriskuan jarritako erabiltzaile-kontu bat erabili zuen aurreko biktima potentzial batena, hemen "Org A" izenarekin.
M365 Auditoria Erregistroak Microsoft Teams spear-phishing-a identifikatzeko erabili ziren.
" MessageSent " eta " ChatCreated " gertaera anitz identifikatu ziren, guztiak mehatxu aktorearen jabetzako Org A -ren aurretik arriskuan jarritako erabiltzailearen jatorria.
4 langile bideratu ziren arren, " MemberAdded " gertaera bakarra identifikatu zen Org A -ko erabiltzaile arriskutsuari zuzenduta.
Goiko ikuspegia intrigazkoa eta baliotsua izan zen, Microsoft Teams eta antzeko komunikazio tresnen bidez phishingaren prebalentzia gero eta handiagoa dela nabarmenduz. Ikerketetarako oso esanguratsua izan daiteke M365 auditoretza-erregistroak erabiliz phishing-saiakerak arrakastatsuak eta porrotak bereiztea, EDR erregistroekin korrelazioarekin batera.
Org C-ko erabiltzaileek jasotako Microsoft Teams-en mezuak Microsoft Teams-en “ Kanpoko sarbidea ” funtzionalitateak ahalbidetu zituen, zeinak lehenespenez Kanpoko edozein erakunderekin Bat-bateko komunikazioa ahalbidetzen duena.
Erasotzaileak arrakastaz erakarri zuen Org C-ren biktima Microsoft-en Quick Assist tresna exekutatzeko eta Microsoft Teams-en bidez sarbide kodea eman zien. Horrek mehatxu aktoreak biktimaren ordenagailura sarbide interaktiboa ekarri zuen.
Ondoren, mehatxu aktoreak deskarga-esteka bat partekatu zuen beste erakunde bateko SharePoint-erako (biktima Microsoft Teams txataren bidez phishing egiteko erabiltzen den beste maizter batekoa zen, "Org B" izenez aipatuko duguna). Esteka honek Client_v8.16L.zip izeneko pasahitz bidez babestutako .zip fitxategi bat zuen, hainbat fitxategi biltzen zituena, besteak beste, RMM tresna osagarri bat.
Fitxategia deskargatu zuen, ziurrenik bitarteko interaktiboen bidez, erasotzaileak —dagoeneko urruneko sarbideaz hornituta— explorer.exe testuinguruan funtzionatzen zuen, estekan klik egin eta beharrezko tresnak deskargatzeko aukera emanez.
Aipatzekoa da ikerketan zehar, M365 auditoretza-erregistroak, Microsoft Teams-en mezuetan sarrerako URLei buruzko informazio zehatza ematen zutenak, biktimaren ostalariaren EDR telemetriarekin, erasotzailearen TTPak guztiz ulertzeko.
Saiakera anitz egin ziren eskuzko eragiketa gaiztoak urruneko sarbidearen bidez egiteko. Jarduera hauek iraunkortasun-ahaleginak izan zituzten batez ere, hala nola, erasotzaileek deskargatutako fitxategietako bat behin eta berriz exekutatzeko programatutako zereginak sortzea —LiteManager izeneko RMM tresna ("ROMServer.exe").
schtasks /Create /TN "Perfomance monitoring" /SC MINUTE /TR C:\ProgramData\500000003\ROMServer.exe
Goiko jarduerei jarraituz, aktoreak eskuz deskargatzen du Cliento.zip.
Lehen bezala, esteka txatean partekatu zen biktimaren erabiltzailearen eta mehatxu-aktorearen artean. .zip fitxategi honek .JAR malware nagusia eta .JAR malwarea exekutatzeko Java Garapen Kit osoa barne hartzen zituen.
Mehatxu aktoreak .JAR malwarea exekutatu zuen honako hau erabiliz: C:\\ProgramData\\Cliento\\jdk-22_windows-x64_bin\\jdk-22.0.2\\bin\\javaw.exe -jar C:\\ProgramData\\Cliento\\Cliento.jar
Sareko jarduera eta komandoen exekuzio anitz identifikatu ziren .JAR fitxategi maltzurren testuinguruan, besteak beste:
Irteerako hainbat DNS eskaera/sare-jarduera → safeshift390-my.sharepoint.com
Irteerako hainbat DNS eskaera/sare-jarduera → graph.microsoft.com helbidera
Irteerako hainbat DNS eskaera/sare-jarduera → login.microsoftonline.com helbidera
Zenbakitze lokaleko komandoen exekuzioa:
Systeminfo
net time
Get-WmiObject -Class
Win32_ComputerSystemProduct | Select-Object -ExpandProperty UUID
{$_.interfacetype -eq \"USB\"}"
Hurrengo pantaila-argazkiak jarduera gaiztoekin erlazionatutako prozesu-zuhaitzaren zati nagusiak erakusten ditu:
Erasotzaileak JAR bitar gaizto bat ere gehitu zuen erregistroan giltza gisa, Java malwarea etengabe exekutatzeko.
Komando lerroa:
Set-ItemProperty -Path \"HKCU:\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" -Name \"current\" -Value \"C:\\ProgramData\\Cliento\\jdk-22_windows-x64_bin\\jdk-22.0.2\\bin\\javaw.exe -jar C:\\ProgramData\\Cliento\\Cliento.jar\" -ErrorAction Stop"
Gertaera hau eustea eta desagerraraztea oso azkarra eta eraginkorra izan zen, eta geneuzkan froga forentseen arabera, ez zegoen inongo zantzurik erasotzaileak biktimaren ostalari eta erakundeari kalte nabarmenik eragitea lortu zuenik.
Goian zehaztutako eraso-fluxuaren funtsezko informazio bat da erasotzaileak Microsoft-en zerbitzu ezagun eta ohikoak erabiltzen zituela bere erasoaren zati gisa, bai bistatik ezkutatzeko eta, agian, erosotasunerako ere.
Azkar labur ditzagun mehatxu-aktoreak erabiltzen dituen Microsoft-en zerbitzuak orain taula hau erabiliz:
Zerbitzua | Maizterrak | Helburua |
---|---|---|
Microsoft Teams | Org A-tik C-ra | Spear Phishing Mezuak biktimak urruneko kudeaketa tresna deskargatu eta exekutatzeko erakartzeko |
Laguntza azkarra | Org C | Mehatxu aktoreak Quick Assist kodea bidaltzen du Microsoft Teams mezu bat erabiliz hasierako urruneko kontrola lortzeko |
SharePoint | Org B-tik C-ra | Fitxategi gaiztoak Org B-ren SharePoint maizter "ostatatuta" daude. Deskarga estekak Org C-rekin partekatzen dira SharePoint mezuen bidez eta erasotzaileak Quick Assist erabiliz irekitzen ditu |
Graph APIa | Org C-tik N/A-ra | Cliento.jar gaiztoak abiarazitako Microsoft Graph-era (graph[.]microsoft[.]com) sarbide gaiztoaren zantzuak izan genituen. |
Fase honetan, goian aipatutako Microsoft-en lau zerbitzu/aplikazioak identifikatu genituen. Lehenengo hiruren helburua ulertzen genuen arren, Graph APIra zuzendutako jarduera ez zegoen argi. Bere helburu potentzialari buruzko hainbat hipotesi genituen, baina gertakarien erantzunean, hipotesiak bakarrik ez dira nahikoak, ezta?
Informazio gehiago biltzeko eta OneDrive/SharePoint-en .JAR malwarea 'Cliento.jar' hobeto ulertzeko -bai erasotzaileak egin ditzakeen ekintzak ebaluatzeko, bai haien asmoen berri izateko-, malwarearen azterketa zehatza egin dugu.
"JDGUI" izeneko Java deskonpilatzailea erabili dugu Client.jar malwarea deskonpilatzeko ("ODC2 izena jarri genion").
Malwarearen hasierako goi-mailako begiradatik, berehala lotu genezake gertakarien ikerketan ikusi genuen PowerShell exekuzioarekin. Hau " jPowerShell " Java paketea sartzeagatik gertatzen da - Javarako PowerShell bilgarri bat.
Horrez gain, "aginduak", "konexioa", "abiarazlea", "edo konektatu" bezalako pakete gehigarriak ikusi ahal izan genituen. Horrek malwarearen egitura maila altuko ulermena eman zigun.
Main.class-arekin hasi ginen "abiarazlea" paketearen azpian eta malwareak erabiltzen dituen gogor kodetutako kredentzial multzo bat aurkitu genuen. Hau harrigarria izan zen guretzat, baina oso interesgarria.
Malwarea gehiago aztertuz (beheko analisi zehatzean deskribatzen den moduan), malwareak kredentzial hauek erabiltzen zituela ikusi genuen Entra ID-en "kontuan" autentifikazioa egiteko. Autentifikazio hau egiteko, gogor kodetutako freskatze-tokena erabili zen bezeroaren IDarekin eta bezeroaren sekretuarekin sarbide-token bat eskatzeko.
Autentifikazioari esker, malwarea Entra ID erabiltzaile espezifikoen OneDrivera atzitzea ahalbidetu zuen, ustez aktorearen jabetzako maizterretan, sarbide hori C2 helburuetarako abusua eginez.
Main.class-en funtzio nagusian sarrera-puntua bera ikus dezakegu, hainbat hari barne hartzen dituena. "odThread1" eta "mainThread1" funtzioen exekuzioa barne hartzen du.
"odThread1"-k "odRun" funtzioaren exekuzioa barne hartzen du, autentifikaziorako kodetutako lehen kredentzialen multzoa (Fresh Token, etab.) lortzen duena.
"40.90.196.221" IP helbidea erabiltzen du "odRun" konexioa konfiguratzeko
“Exekutatu”-ren “40.90.196.228” IP helbideak HTTPS socket-a hasieratzen du erasotzailearen C2-n. IP hau Azureren IPa ere bada, eta oso litekeena da makina birtual bat izatea. C2 kanal hau, behean zehazten den bezala, "klasikoagoa" da eta PowerShell komandoak exekutatzen ditu.
IP helbide hauei buruzko informazio gehiago lortzeko, ipinfo.io eta Microsoft-ek argitaratutako Azure IP helbideen Zerbitzu-etiketak bezalako baliabide ezagunak egiaztatu ditugu, beheko pantaila-argazkian erakusten den moduan:
Aipatzekoa da, halaber, malware honetan aurkitutako gogor kodetutako IP helbide gehigarria (38.180.136.85) beste zerbitzu hornitzaile batena dela dirudiela eta ostalaritza zerbitzuekin lotuta dagoela. Gure ikuspegietan oinarrituta, malwareak ez zuen IP helbide hau aktiboki erabili. Suposatzen dugu ondare-arrazoiengatik egon zela (aurreko C2 azpiegitura).
"Ctrl.run()" funtzioa exekutatzen duen "mainThread1()"-an pixka bat sakonduz, ikus dezakegu run() funtzioa konexio bat sortzen saiatzen dela eta ohiko konexioa bizirik dagoen ala ez egiaztatzen duela. Ondoren, "parseCommand" saiatzen da, garrantzirik gabeko zatiak mozten.
"Exekutatu" funtzio honek "connect()" erabiltzen du konexio bat konfiguratzeko/berrezartzeko. Socket bat sortzen du goian ikusi dugun urruneko IP helbidean - 40.90.196.228.
"Exekutatu" funtzio honek "CommandManager" erabiltzen du, eta malware honek eskaintzen dituen komando/gaitasun mota ezberdinen kudeaketa desberdinak barne hartzen ditu, besteak beste, fitxategien transferentzia bezerotik zerbitzaritik eta zerbitzaritik bezerora, fitxategien konpresioa, pantaila-argazkiak, sareko konexioak ixtea eta, noski, komandoen exekuzioa.
Jasotako komandoa hutsik dagoen edo C2 zerbitzaritik benetako komando bat jaso den egiaztatzen du.
Komando bat aurkitzen bada, analizatu eta exekutatzen du. Exekuzioa, funtsean, PowerShell-en testuinguruan dago.
Jasotako komandoa PowerShell komando gisa exekutatzen ari da lehen aipatu dugun jPowerShell wrapper-a erabiliz.
OneDrive C2 funtzionalitatearen muinean sakondu baino lehen, garrantzitsua da malwarearen kodearen zati kritikoak OneDrive fitxategien hiru "mota" zehatzetan oinarritzen direla: UUID, cf_UUID eta rf_UUID. Gure ikerketan ikusi bezala, Get-WmiObject -Class Win32_ComputerSystemProduct | Select-Object -ExpandProperty UUID
exekutatu zen, gailuaren hardwarearen UUID-a agerian utziz. Identifikatzaile esklusibo honek VEILDrive kanpainako biktima bakoitza bereizteko balio du.
Fitxategi-mota bakoitzak eginkizun berezia du malwarearen eragiketetan. Hurrengo pantaila-argazkiak fitxategi horien adibideak eta malwarearen exekuzioan duten eginkizun nagusiak eskaintzen ditu.
Murgil dezagun OneDrive C2 funtzionalitatearen fluxua eta UUID fitxategi horiek praktikan nola erabiltzen diren:
PowerShell-en Urruneko Exekuzio gaitasun klasikoez gain, "odRun" funtzioak komunikazio kanal gisa "OneDrive"n oinarritutako beste hari baten arduraduna da. Hau da malware honen zati berezia.
"odRun" ikusten dugun moduan, ziurrenik "OneDrive" (OneDriveRun) izena du eta OneDrive konexio bat sortzea barne hartzen du "Odconnect" funtzioa erabiliz lehen urrats gisa:
Ikus dezakezunez, lehenik "machineUUID" katea kate huts gisa ezartzen da. Jarraian, "getMachineUUID()" funtzioa exekutatzen da, hau da, bere izenak dioen bezala, biktimaren gailuaren Makina UUIDa lortzen du:
Orduan ikusiko dugu OneDrive konexioa "OdConnect" funtzioa erabiliz egiten ari dela; konexioa egiten ari da "hasi saioa[.]microsoftonline[.]com" sarbide-token berrien eta freskatze-token multzo bat sortzeko/eguneratzeko. .
”checkFile”: funtzio honek egiaztatzen du == machineUUID izeneko fitxategi bat dagoen OneDrive erabiltzailearen hasierako karpetan
Gailuaren makinaUUID-ak (aurrizkirik gabe) izendatzen duen OneDrive fitxategia.
cf_MachineUUID fitxategiaren edukia exekutatuko da.
Jarraian berriro fitxategi bat idatziz OneDrivera, " writeFileToOneDrive " erabiliz, lehenengo "rf_" + machineUUID, exekuzioaren erantzunaren edukiarekin.
Eta " writeFileToOneDrive "-ren beste erabilera bat, "cf_" fitxategia idazteko eta husteko, funtsean komando beraren beste exekuzio bat saihestuz (malwarea begizta batean exekutatzen baita).
Laster laburbiltzeko, malware honek bi C2 kanal ezberdin dituela dirudi:
HTTPS Socket C2 : ikuspegi klasikoagoa, urruneko Azure VM batetik komandoak jaso eta PowerShell-en testuinguruan exekutatzen ditu.
OneDrive-n oinarritutako C2 : hau berezia da, eta funtzionatzeko modua pixka bat konplexuagoa eta sortzaileagoa da. Hiru fitxategi ezberdin biltzen ditu, denak biktimaren gailuaren UUID-a barne, batzuk aurrizkiekin (rf_ eta cf_). Mehatxu aktoreari komandoak bidaltzea eta Microsoft Graph erabiliz errazago jasotzea.
Oharra : aipatzea garrantzitsua da malware honek komandoen exekuzio estandarraz gain gaitasun gehigarriak dituela, fitxategien transferentzia barne. Hala ere, goiko informazio zehatza komandoak exekutatzeko alderdian bakarrik zentratzen da.
Une honetan, argi dago eraso honek trebeziaz konbinatu zituela teknika sinpleak eta taktika sofistikatu eta bereziak. Gure hasierako ikerketaren ezaugarri nabarmen bat kanpainan zehar integratutako Microsoft azpiegitura eta zerbitzuen erabilera zabala izan zen.
Malwarea aztertu eta informazio berria gure ikerketaren inguruko informazioekin erlazionatu ondoren, erasotzaileak hainbat zerbitzuren erabilera eta haien helburuak argiago ulertu genituen. Microsoft zerbitzuen eta azpiegituren erabilera hasieran uste zena baino are zabalagoa zela ikusi genuen.
Ikusi beheko taula laburpen labur baterako:
Zerbitzua | Maizterrak | Helburua |
---|---|---|
Microsoft Teams | Org A-tik C-ra | Spear Phishing Mezuak biktimak urruneko kudeaketa tresna bat deskargatu eta exekutatzeko erakartzeko |
Laguntza azkarra | Org C | Mehatxu aktoreak Quick Assist kodea bidaltzen du Microsoft Teams mezu bat erabiliz hasierako urruneko kontrola lortzeko |
SharePoint | Org B-tik C-ra | Fitxategi gaiztoak "ostatatuta" daude Org B-ko SharePoint maizterrean. Deskarga estekak Org C-rekin partekatzen dira SharePoint mezuen bidez eta erasotzaileak Quick Assist erabiliz irekitzen ditu. |
Azure VM | Erasotzailearen azpiegitura | Malwarea mehatxu-aktorearen jabetzako Azure Makina Birtual batekin komunikatu zen HTTPS Socket C2 helburuetarako |
OneDrive (Graph API) | Erasotzailearen OneDrive eta Org C ostalarien artean | Mehatxu aktoreak OneDrive C2 kanal gehigarri gisa erabili zuen, komandoak urruneko exekuzioa, pantaila-argazkiak egitea, fitxategiak deskargatzea/kargatzea, etab. Org C ostalariei zuzendutako gaitasunak lortzeko. |
Azure AD aplikazioaren erregistroa | Erasotzailearen OneDrive eta Org C ostalarien artean (k | Aplikazioa aktorearen jabetzako Azure AD erabiltzaile-kontu baten izenean autentifikatzeko erabili zen eta OneDrive-ren hasierako karpetara sartzeko. |
C5f077f6-5f7e-41a3-8354-8e31d50ee4d
893e5862-3e08-434b-9067-3289bec85f7d
B686e964-b479-4ff5-bef6-e360321a9b65
2c73cab1-a8ee-4073-96fd-38245d976882
SafeShift390[.]onmicrosoft[.]com
GreenGuard036[.]onmicrosoft[.]com
a515634efa79685970e0930332233aee74ec95aed94271e674445712549dd254
1040aede16d944be8831518c68edb14ccbf255feae3ea200c9401186f62d2cc4
7f61ff9dc6bea9dee11edfbc641550015270b2e8230b6196e3e9e354ff39da0e
d6af24a340fe1a0c6265399bfb2823ac01782e17fc0f966554e01b6a1110473f
7f33398b98e225f56cd287060beff6773abb92404afc21436b0a20124919fe05
40.90.196[.]221
40.90.196[.]228
38.180.136[.]85
213.87.86[.]192
Arestian aipatutako IOC espezifikoez gain, mehatxuen ehiza-kontsulta anitz landu ditugu, aktore berak sortutako erasoak detektatzeko, kanpaina berean egindakoak edo antzeko ezaugarriak (TTP) partekatzeko.
Oharra: VEILDriverako gomendatutako ehiza-epea 2024ko uztailekoa da.
Kontsulten logika: gure azterketan, erasotzailearen Urruneko Sarbide Erremintak (RAT) Powershell erabili zuela identifikatu genuen makinaren UUID-a bere exekuzio-prozesuaren zati gisa. Kontsulta honek javaw.exe-k sortzen duen Powershell-en ezohiko kasuak detektatzen ditu mehatxu-aktoreak erabiltzen dituen komando-lerroko marka espezifikoekin.
Kontsulta:
SELECT EVENT_TIME, AGENT_ID, PARENT_PROCESS_NAME, PARENT_PROCESS_COMMANDLINE, INITIATING_PROCESS_NAME, INITIATING_PROCESS_COMMANDLINE, TARGET_PROCESS_NAME, TARGET_PROCESS_COMMANDLINE, TARGET_PROCESS_OS_PID FROM INVESTIGATION.EDR_PROCESS_CREATION_EVENTS WHERE 1=1 AND PARENT_PROCESS_NAME ILIKE '%javaw%' AND INITIATING_PROCESS_NAME ILIKE '%cmd%' AND TARGET_PROCESS_NAME ILIKE '%powershell%' AND TARGET_PROCESS_COMMANDLINE ILIKE 'powershell.exe -ExecutionPolicy Bypass -NoExit -NoProfile %' AND EVENT_TIME > current_timestamp - interval '60d'
Kontsulta-logika: Kontsulta honek mehatxu-aktoreak iraunkortasunerako erabiltzen duen ROM tresna baten exekuzioarekin erregistratzen den ataza programatu baten instantzia detektatzen du.
Kontsulta:
SELECT EVENT_TIME AS EVENT_TIME, AID AS AGENT_ID, CID AS COMPUTER_ID, EVENT_SIMPLE_NAME AS EVENT_NAME, RAW:TaskName AS TASK_NAME, RAW:TaskExecCommand AS TASK_EXEC_COMMAND, RAW:TaskAuthor AS TASK_AUTHOR, RAW:UserName AS USER_NAME --- Adjust according to your EDR of choice FROM RAW.CROWDSTRIKE_RAW_EVENTS WHERE EVENT_SIMPLE_NAME = 'ScheduledTaskRegistered' AND TASK_EXEC_COMMAND ILIKE '%romserver%' AND EVENT_TIME > CURRENT_TIMESTAMP - interval '60d'
SET YOUR_ORGANIZATION_NAME = 'hunters'; SELECT EVENT_TIME, ORGANIZATION_ID AS ORG_ID, OPERATION AS EVENT_TYPE, SPLIT_PART(LOWER(SPLIT_PART(USER_ID, '@', 2)), '.', 1) AS SENDER_ORG_DOMAIN, RECORD_SPECIFIC_DETAILS:message_ur_ls AS MESSAGE_URLS, WORKLOAD AS WORKLOAD, USER_ID AS USER_ID, RECORD_SPECIFIC_DETAILS:chat_thread_id AS CHAT_THREAD_ID, RECORD_SPECIFIC_DETAILS:communication_type AS COMMUNICATION_TYPE, RECORD_SPECIFIC_DETAILS:members[0].DisplayName AS MEMBER_DISPLAY_NAME, RECORD_SPECIFIC_DETAILS:members[0].UPN AS MEMBER_UPN, RECORD_SPECIFIC_DETAILS:members[0] AS MEMBERS, RECORD_SPECIFIC_DETAILS:resource_tenant_id AS RESOURCE_TENANT_ID, RECORD_SPECIFIC_DETAILS FROM RAW.O365_AUDIT_LOGS WHERE NOT USER_ID ILIKE '%' || $YOUR_ORGANIZATION_NAME || '%' AND (NOT (MESSAGE_URLS ILIKE '%' || SENDER_ORG_DOMAIN || '%') AND MESSAGE_URLS ILIKE '%sharepoint%') AND NOT MESSAGE_URLS ILIKE '%' || $YOUR_ORGANIZATION_NAME || '%' AND EVENT_TIME > CURRENT_TIMESTAMP - interval '60d'
Kontsulten logika: hurrengo kontsultak domeinu ez-ohikoetatik kanpoko erabiltzaileek bakarkako txatean bidalitako mezuak hautematen ditu. Kontsultak asko erabiltzen diren domeinuak iragazten ditu jarduera historikoetan oinarrituta eta phishing-erasoak egin ditzaketen txatetan gehitutako kanpoko kideak identifikatzen ditu.
Kontsulta:
SET YOUR_DOMAIN_NAME = 'hunters'; --- GET EXTERNAL TEAMS AND ONEDRIVE USERS OF THE LAST 3 MONTHS - TO CLEAN EXTENSIVELY USED DOMAINS WITH COMMONLY_USED_DOMAINS AS ( SELECT LOWER(SPLIT_PART(USER_ID , '@', 2)) AS DOMAIN_COMMONLY_USED, MIN(EVENT_TIME) AS MIN_EVENT_TIME, MAX(EVENT_TIME) AS MAX_EVENT_TIME, ARRAY_AGG(DISTINCT OPERATION) AS OPERATIONS, COUNT(*) AS COUNTER FROM RAW.O365_AUDIT_LOGS WHERE WORKLOAD IN ('MicrosoftTeams', 'OneDrive') AND EVENT_TIME > CURRENT_TIMESTAMP - interval '90d' AND USER_ID ILIKE '%@%' GROUP BY DOMAIN_COMMONLY_USED HAVING COUNTER > 20 ), ---- Get List of External Domains that recently communicated with our organization using Microsoft Teams LATEST_EXTERNAL_DOMAINS AS ( SELECT USER_ID AS LATEST_EXT_USERS, LOWER(SPLIT_PART(USER_ID , '@', 2)) AS USER_DOMAIN, MIN(EVENT_TIME) AS MIN_EVENT_TIME, MAX(EVENT_TIME) AS MAX_EVENT_TIME, ARRAY_AGG(DISTINCT OPERATION) AS OPERATIONS, ARRAY_AGG(DISTINCT RECORD_SPECIFIC_DETAILS:communication_type) AS COMMUNICATION_TYPE, COUNT(*) AS COUNTER FROM RAW.O365_AUDIT_LOGS WHERE EVENT_TIME > CURRENT_TIMESTAMP - interval '50d' AND NOT USER_ID ILIKE '%' || $YOUR_DOMAIN_NAME || '%' AND NOT USER_ID IN ('app@sharepoint') AND USER_ID ILIKE '%@%' -- CLEAN-UP OF EXTENSIVELY USED DOMAINS AND USER_DOMAIN NOT IN (SELECT DISTINCT DOMAIN_COMMONLY_USED FROM COMMONLY_USED_DOMAINS) AND OPERATION IN ('MemberAdded', 'ChatCreated') AND RECORD_SPECIFIC_DETAILS:communication_type = 'OneOnOne' GROUP BY USER_ID HAVING COUNT(*) > 5 ) SELECT EVENT_TIME, ORGANIZATION_ID AS ORG_ID, WORKLOAD AS WORKLOAD, OPERATION AS OPERATION, USER_ID AS USER_ID, LOWER(SPLIT_PART(USER_ID , '@', 2)) AS USER_DOMAIN, RECORD_SPECIFIC_DETAILS:chat_thread_id AS CHAT_THREAD_ID, RECORD_SPECIFIC_DETAILS:communication_type AS COMMUNICATION_TYPE, RECORD_SPECIFIC_DETAILS:members[0].DisplayName AS MEMBER_DISPLAY_NAME_0, RECORD_SPECIFIC_DETAILS:members[0].UPN AS MEMBER_UPN_0, RECORD_SPECIFIC_DETAILS:members[0] AS MEMBERS_0, RECORD_SPECIFIC_DETAILS:members[1].DisplayName AS MEMBER_DISPLAY_NAME_2, RECORD_SPECIFIC_DETAILS:members[1].UPN AS MEMBER_UPN_2, RECORD_SPECIFIC_DETAILS:members[1] AS MEMBERS_2, RECORD_SPECIFIC_DETAILS:resource_tenant_id AS RESOURCE_TENANT_ID, RECORD_SPECIFIC_DETAILS, RAW:ClientIP AS CLIENT_IP FROM RAW.O365_AUDIT_LOGS WHERE 1=1 AND RECORD_SPECIFIC_DETAILS:communication_type = 'OneOnOne' AND ( RECORD_SPECIFIC_DETAILS:members[0].UPN IN (SELECT LATEST_EXT_USERS FROM LATEST_EXTERNAL_DOMAINS) OR RECORD_SPECIFIC_DETAILS:members[1].UPN IN (SELECT LATEST_EXT_USERS FROM LATEST_EXTERNAL_DOMAINS) ) AND USER_ID ILIKE '%' || $YOUR_DOMAIN_NAME || '%' AND OPERATION = 'MemberAdded' AND EVENT_TIME > CURRENT_TIMESTAMP - interval '50d';
Kontsulta-logika sakona: kontsulta hau apur bat konplexua denez, hona hemen logikaren azalpena. Lehenik eta behin, Snowflake-ren "CTE" funtzioa erabiltzen dugu bi ikuspegi eraikitzeko:
Azkenik, erabiltzaileari eta hari lotutako domeinuari buruzko informazio zehatza eskuratzen dugu LATEST_EXTERNAL_DOMAINS-en iragazitako emaitzak kontsultatuz.
Aktoreak erabiltzen dituen eraso-teknikei lotutako ehiza eta ikerketa alderdiak landu ditugu. Metodo eta teknika gaizto horietako batzuk kanpaina ezberdinetan erabiltzen direla ere ezaguna da.
Zure erakundea mehatxu horietatik babesteak nabarmen murrizten du zure erakundearen azpiegituraren atal ezberdinei zuzendutako eraso arrakastatsuak izateko arriskua.
Hona hemen zure segurtasun jarrera hobetzeko erabil daitezkeen Higiene Nuggets batzuk:
VEILDrive-k sinpletasuna eta sofistikazioa uztartzen ditu. Interesgarria izan zen C2 ezaugarri klasikoak C2-rekin batera OneDrive-rekin paraleloan erabiltzen zirela ikustea, baita programatutako zereginetan oinarritutako iraunkortasunaren erabilera ere, goi mailako EDR batek detektatzen ez duen malware exekuzioarekin batera.
Ikerketaren eta mehatxuen ikerketaren barruan identifikatutako ezaugarriak interesgarriak izan ziren, eta mehatxu-eragile honek nola funtzionatzen duen hobeto ulertzeko aukera eman ziguten, zein zerbitzu ezagutzen dituen abusua, nola abusatzen duen eta zertarako.
VEILDrive-n C2 komunikaziorako OneDrive-ren erabilera abusua izan zen ezaugarri bereziak zituen. Hala ere, C2 helburuetarako OneDrive abusuaren kontzeptu orokorra gora egin du azken hilabeteetan, eta kontuan hartu beharreko zerbait da.
Microsoft Teams, Slack eta antzeko zerbitzuetako komunikazio plataformetan spear-phishing-aren bidez hasierako sarbidea gero eta ohikoagoa da.
Denbora pasa ahala are ohikoagoa izango dela aurreikusten dugu. Horregatik, alderdi honekin lotutako higiene- eta jarrera-neurriak (goian Higiene Nuggets-en aipatu bezala) funtsezkoak dira.
Urruneko Administrazioko tresnak oso ezagunak dira dagoeneko mehatxuen eragileen artean. Ikuspegi desberdinak har daitezke tresna horiek erabiliz baimenik gabeko sarbidea izateko aukera minimizatzeko. Gure ikuspuntutik, arlo honetan gomendatutako ikuspegia zerrenda zuria (baimendutako zerrenda) da, jarraipen sendoarekin konbinatuta.
Izaera honetako kanpaina gehiago sortuko direla aurreikusten dugu, antzeko metodo eta ezaugarriak erabiliz. Hori dela eta, etengabeko jarraipena eta mehatxu-ehiza proaktiboa gomendatzen dira mota honetako mehatxuak.
Mehatxuen ehizaren ikerketa, jardueren eta kontsulten berri izateko, jarraitu Team Axon-en X/Twitter kontuari ( @team__axon ).