Abschwächung, Erkennung und Reaktion auf russische Cyber-Aktivitäten

Februar 23, 2022
Luke Richards
Threat Intelligence Lead
Abschwächung, Erkennung und Reaktion auf russische Cyber-Aktivitäten

Vectra Kunden sollten sich darüber im Klaren sein, dass die aktuellen globalen Ereignisse im Zusammenhang mit der Anerkennung separatistischer Regionen in der Ukraine durch Russland das Risiko verstärkter Cyber-Aktivitäten durch russische staatliche Akteure mit sich bringen. So gibt es Hinweise darauf, dass der FSB, der wichtigste Geheimdienst Russlands, für den DDoS-Angriff auf ukrainische Systeme im Februar 2022 verantwortlich ist. [1] Es besteht die begründete Sorge, dass die Auswahl der Ziele über regionale Ziele hinausgehen und beispielsweise auch politisch oder wirtschaftlich nützliche Ziele in NATO-Ländern umfassen könnte.

Dieser Hinweis wurde erstellt, um Kunden, die in Branchen oder Regionen mit erhöhtem Risiko tätig sind, proaktiv zu informieren und auf die Schutzmöglichkeiten hinzuweisen, die Vectra zur Bewältigung dieser Risiken bietet.

Dieser Hinweis hat zwar nur informativen Charakter, aber alle Kunden, die glauben, dass sie angegriffen werden könnten, werden gebeten, sich umgehend mit uns in Verbindung zu setzen - wir sind da, um zu helfen.

Vectra Schutz vor russischen APTs

Viele APT-Gruppen folgen, unabhängig von ihrer Herkunft, einem ähnlichen Muster für Angriffe. Auf der Grundlage früherer Aktivitäten von staatlichen Akteuren, einschließlich russischer staatlicher Akteure, können Vectra -Kunden daher mit den folgenden allgemeinen Arten von Aktivitäten rechnen, wenn sie angegriffen werden:

  • Kompromissziel
  • Erkundung des Netzes
  • Fuß fassen / Beharrlichkeit
  • Daten exfiltrieren

Zu diesem Zweck erwartet Vectra , dass die Benutzer zusätzlich zu den einschlägigen Bedrohungsdaten über die folgenden Entdeckungen informiert werden:

Kompromissziel

  • Versteckter HTTP(S)-Tunnel
  • Versteckter DNS-Tunnel
  • Externer Fernzugriff - Diese Erkennungen stehen im Zusammenhang mit bekannten Aktivitäten fortgeschrittener cybercriminels , die bekannte Implantate wie Cobalt Strike verwenden, sowie mit benutzerdefinierten Implantaten.

Erkundung des Netzes

  • RPC Aufklärung / RPC Gezielte Aufklärung
  • Hafen-Scan
  • Interner Darknet-Scan - Erkennungen dieser Art in Verbindung mit der vorherigen Kategorie deuten auf einen Host hin, der das Netzwerk auskundschaftet. RPC-Erkundung und gezielte Erkundung deuten darauf hin, dass ein Bedrohungsakteur mit einem Tool wie Bloodhound hochwertige Ziele abbildet.

Fuß fassen / Beharrlichkeit

  • Verdächtige Remote-Ausführung (Schtask / WMI / RPC-Aufrufe)
  • Privilegienanomalie - Wenn ein Angreifer versucht, die in der Anfangsphase des Angriffs gestohlenen Konten zu verwenden, wird er wahrscheinlich versuchen, Dienste zu nutzen, die das Konto noch nie zuvor verwendet hat. Dies löst eine Privilegienanomalie-Erkennung aus, die anzeigt, wo das Konto, der Host oder der Dienst außerhalb des gelernten Verhaltens liegt. Die Angreifer werden auch bestehende Methoden und Kommunikationskanäle nutzen, um das Implantat auf andere Hosts zu übertragen. Dabei muss es sich nicht unbedingt um dasselbe anfängliche Implantat handeln. Einige cybercriminels sind dafür bekannt, dass sie WebShells auf Hosts ablegen, um Jahre später Zugriff zu erhalten.

Daten exfiltrieren

  • Daten-Schmuggler
  • Versteckter DNS-Tunnel - Dieser letzte Schritt ist normalerweise sehr schwer zu erkennen. Russische hochrangige cybercriminels wie Turla sitzen am Rande eines Netzwerks und stehlen fast passiv Daten. Dies ist auch bei E-Mail-Threadjacking-Aktivitäten üblich, bei denen sich ein Angreifer in eine E-Mail-Kette einschleust, um die Zielpersonen dazu zu bringen, auf Links zu klicken, Dokumente zu öffnen oder auf die eine oder andere Weise an bösartigen Aktivitäten teilzunehmen.

Microsoft365 und cloud Umgebungen

Frühere Angriffe russischer staatlicher Akteure nutzten die Online-Umgebung der Zielpersonen. Dies kann in Form von Kontoübernahmen durch Brute-Forcing, Passwort-Spraying (unter Verwendung von VPNs, um sicherzustellen, dass der Standardschutz sie nicht aussperrt), Umgehung der MFA oder phishing geschehen, um den ersten Zugang zu erhalten, und sobald ein Angreifer Fuß gefasst hat, gibt es viele Wege, um Informationen zu stehlen und Fuß zu fassen.

Im Mai 2021 kompromittierten russische staatliche Akteure, bekannt als Nobelium, cloud -Umgebungen von Microsoft, um Lieferketten zu kompromittieren. Diese Angriffe folgten Mustern, die auch bei anderen Kompromittierungen durch staatliche Akteure in cloud -Umgebungen beobachtet wurden und die den folgenden Mustern folgen:

  • Missbrauch von privilegierten Rollen
  • Missbrauch von bestehenden Anwendungen
  • Beharrlichkeit erlangen
  • Daten exfiltrieren

Zu diesem Zweck erwartet Vectra , dass die Nutzer über die folgenden Entdeckungen informiert werden:

Missbrauch von privilegierten Rollen

  • Azure AD Brute-Force-Versuch
  • Azure AD Verdächtige Anmeldung
  • Azure AD MFA-Fehlgeschlagene verdächtige Anmeldung
  • O365 Suspicious Sign-On Activity - Dieser Schritt des Angriffs kann manchmal der geräuschvollste sein, aber mit einer entfernten Belegschaft wird die Erkennung dieser Aktivität zu etwas, für das eine einfache Protokollsuche nicht ausreicht. Detect for Cloud erzeugt Erkennungen wie oben aufgeführt, um Analysten bei der Suche nach der Aktivität zu helfen.

Missbrauch von bestehenden Anwendungen

  • Azure AD-Änderung zur vertrauenswürdigen IP-Konfiguration
  • Azure AD Verdächtige Operation
  • O365 Suspicious Teams Application - Anwendungen und Dienstprinzipale, die über wertvolle Zugriffsrechte verfügen, werden mit zusätzlichen Geheimnissen modifiziert, wodurch im Wesentlichen eine "Hintertür" geschaffen wird, die Angreifer nutzen, um privilegierte Aktionen im Namen dieser Anwendungen durchzuführen.

Ausdauer gewinnen

  • Azure AD Neu erstellter AdminAccount
  • Azure AD Redundanter Zugang erstellen
  • Azure AD Verdächtige Operation
  • Azure AD Ungewöhnliche Skripting EngineUsage
  • O365 Internes Spearphishing
  • O365 Verdächtige Exchange TransportRule
  • O365 Verdächtige Mail-Weiterleitung
  • O365 Suspicious MailboxManipulation - Es gibt viele Möglichkeiten, sich in einer cloud Umgebung festzusetzen. Viele Erkennungen in Detect for Cloud sind darauf ausgelegt, Aktivitäten zu finden, die von der Erstellung von Konten in Azure AD bis hin zur Installation von Transportregeln reichen, die E-Mails umleiten können, oder in früheren Angriffen als Command-and-Control-Implantat verwendet wurden[1].

Daten exfiltrieren

  • O365 Riskanter Austauschvorgang
  • O365 Verdächtige Download-Aktivität
  • O365 Verdächtige Mail-Weiterleitung
  • O365 Verdächtige Mailbox-Manipulation
  • O365 Suspicious Sharing Activity - In dieser Phase werden neben der Freigabe von Rechten für nicht-lokale Ziele auch die Postfachberechtigungen des Ziels geändert, um einem anderen (vom Angreifer kontrollierten) Benutzer Lesezugriff auf die E-Mails des Ziels zu gewähren, gefolgt von einer regelmäßigen E-Mail-Exfiltration.

Diese Liste ist nicht vollständig und enthält nicht alle Angriffe, die bei einem Angriff auf cloud zu erwarten sind. Angreifer verwenden eine Vielzahl von Taktiken in der zielgerichteten Umgebung von cloud. In zukünftigen Blogs von Vectra Security Research werden weitere erwartete Verhaltensweisen beschrieben, die auf Beobachtungen russischer staatlicher Akteure während einer aktiven Kompromittierung beruhen.

Was uns die Geschichte lehrt

Russische cybercriminels operieren auf allen Ebenen der Komplexität und Strategie gegen Organisationen, zum Beispiel stellen nicht nur DDoS-Angriffe eine Bedrohung durch Gruppen wie den FSB und andere dar, sondern auch Gruppen wie Turla (Snake, Venomous Bear, Uroburous) operieren am Rande eines Netzwerks, mit neuartigen und hochentwickelten Techniken und malware.

Konkrete Beispiele für die jüngsten Aktivitäten russischer staatlicher Akteure sind die Angriffe auf SolarFlare / SUNBURST im Jahr 2020, bei denen die russischen staatlichen Akteure Nobelium (Cozy Bear, APT29) die Infrastruktur von SolarWinds und die Mechanismen zur Bereitstellung von Code kompromittierten. Darüber hinaus kompromittierte diese Gruppe die o365-Infrastruktur mit sehr niedrigen Stealth-Ansätzen, um große Mengen an Kundendaten mit gestohlenen o365-Anmeldeinformationen zu kompromittieren, um sich seitlich zu bewegen und im Verborgenen zu bleiben, während sie Daten stahlen, Aufklärungsarbeit leisteten und ihre nächsten Angriffsschritte vorbereiteten.

Doch nicht nur Russland ist an globalen Cyberangriffen beteiligt. Nach der Annexion der Krim im Jahr 2014 nutzten beispielsweise viele cybercriminels dieses Ereignis als Vorwand, um in bösartigen Dokumenten und E-Mails Köder einzubauen, mit denen Organisationen zu Zwecken kompromittiert wurden, die nichts mit den Zielen des russischen Staates zu tun hatten.

Die Quintessenz

Vectra schützt vor allen Arten von Bedrohungen, von Netzwerkangriffen und Command and Control -Traffic bis hin zu Kontoübernahmen und bösartigen Microsoft Office 365-Aktivitäten. Kunden der Managed Detection and Response Services (Sidekick) von Vectra sind darüber hinaus durch Spot Priority geschützt, was bedeutet, dass die Analysten von Vectra sofort über Hosts benachrichtigt werden, die Aktivitäten im Zusammenhang mit russischen APT cybercriminels aufweisen.

Darüber hinaus verfügt Vectra über integrierte Threat Intelligence, d. h. für jeden Host mit Erkennungen wird dem Container des Hosts eine Erkennung hinzugefügt, wenn es ein Verhalten in Bezug auf die Infrastruktur des Angreifers gibt, das die Aktivität beschreibt.

Auch wenn es wichtig ist, die erhöhten Risiken von bestimmten cybercriminels zu erkennen, sucht Vectra nach Verhaltensweisen, die allen cybercriminels gemeinsam sind. Das bedeutet, dass Vectra Ihnen hilft, Angreifer schnell zu identifizieren und zu vertreiben, bevor sie Schaden anrichten können, ganz gleich, welcher Angreifer Ihr Unternehmen angreift.

--

[1] https://www.gov.uk/government/news/uk-assess-russian-involvement-in-cyber-attacks-on-ukraine

[2] https://www.welivesecurity.com/wp-content/uploads/2019/05/ESET-LightNeuron.pdf

[3] https://www.fireeye.com/content/dam/collateral/en/wp-m-unc2452.pdf - Quelle nicht mehr verfügbar

[4] https://www.microsoft.com/security/blog/2021/10/25/nobelium-targeting-delegated-administrative-privileges-to-facilitate-broader-attacks/

[5] https://www.crowdstrike.com/blog/observations-from-the-stellarparticle-campaign/

[6] https://www.mandiant.com/resources/insights-into-office-365-attacks-and-how-managed-defense-investigates

Häufig gestellte Fragen