Kurzes Update zu unserer Perspektive: 9. März 2022
Die Invasion in der Ukraine und die anschließenden Cyberoperationen sind in eine neue Phase getreten. Was müssen Sie wissen?
Die wichtigste Antwort auf diese Frage ist, dass Vectra Security Research und Threat intel hart daran arbeiten, um sicherzustellen, dass wir die beste Abdeckung für die Erkennung von Bedrohungen bieten, wenn sie auf jeder Ebene in Ihrem Netzwerk auftreten, und dass wir die Mittel zur Verfügung stellen, um schnell und effektiv zu reagieren und Angriffe abzuwehren, bevor sie zur nächsten Fallstudie für Incident Response werden.
Vor Ort und in den Medien hat sich der Krieg von einer aggressiven, raschen Expansion in neue Gebiete zu einem Kampf der Worte gewandelt. Die führenden Politiker der Welt versuchen, weitere Sanktionen zu verhängen und ihren Zugriff auf russische Milliardäre und Vermögenswerte zu verstärken. Der gesellschaftliche Druck, dass Unternehmen ihre Produkte aus Russland abziehen, wächst, der Krieg ist in den Köpfen der Menschen viel kleiner geworden. Bei der Cyberspionage und den Kämpfen, die über Computernetzwerke ausgetragen werden, haben sich die Taktiken ebenfalls geändert. Zu Beginn des Bodenkriegs wurde versucht, die Kommunikation und die Computernetze der Streitkräfte zu stören, die sich zur Verteidigung der Stellungen bewegten. Die Welt erlebte den Einsatz von drei diskreten Arten von Angriffen. Zunächst wurden die ukrainischen Systeme einem Massen-DDoS-Angriff ausgesetzt, dann wurde der bekannte HermeticWiper malware eingesetzt, um Systeme zu zerstören, und auch bei Microsoft wurde ein neuer Trojaner, FoxBlade, eingesetzt.
Der Übergang zu verdeckten Operationen
Mandiant hat kürzlich einen Bericht veröffentlicht, in dem ein laufender Angriff von APT41 auf Ziele der US-Regierung beschrieben wird5. Dieser chinesische Akteur hat mehrere Versuche unternommen, seine Ziele zu kompromittieren, angefangen von einem eigenen Zero-Day-Angriff in einer Webanwendung bis hin zur Nutzung der weit verbreiteten Log4J-Schwachstellen, um das Ziel zu erreichen. In diesen Fällen setzten die Bedrohungsakteure ihre eigenen ausgeklügelten malware ein, wobei sie herkömmliche C2-Verhaltensweisen nutzten und auch die Persistenz durch den Einsatz von "Dead-Drop"-Techniken zur Aktualisierung von C2-IP-Adressen einsetzten.
Und was nun?
Wieder einmal werden wir gefragt, was wir denn tun sollen, wenn es sich um ein normales Geschäft handelt.
In erster Linie müssen wir wachsam bleiben, denn es hat sich gezeigt, dass die schlagzeilenträchtigen Aktivitäten zwar unsere Aufmerksamkeit auf die Ereignisse in Übersee lenken, wir aber auch ein Auge darauf haben müssen, was wir wissen, dass es wahr ist: Kriminelle werden die Gelegenheit ergreifen, ein globales Ereignis zu nutzen, um ihre eigenen malware zu verbreiten, raffinierte APT-Akteure werden versuchen, den durch die zerstörerischen malware geschaffenen Deckmantel zu nutzen, um Ziele zu infiltrieren, die in einem Bodenkrieg von Interesse sind, und schließlich dürfen wir, nur weil dies in Übersee geschieht, nicht den Fokus auf unsere eigenen Netzwerke und unsere Sicherheit verlieren.
--
[ 2 ] https://twitter.com/dsszzi/status/1499740427783651336?s=20&t=fDgbTX1ydsnTRjocdQUopw
[3] https://malpedia.caad.fkie.fraunhofer.de/details/win.formbook
Vorheriger Inhalt: 2 März, 2022
Vor einer Woche haben wir darüber geschrieben, wie die staatlichen Akteure in Russland und andere mit ihnen verbundene Gruppen während eines Cybersicherheitsangriffs oder während eines laufenden Bodenkonflikts vorgehen. Im Rückblick auf die letzten sieben Tage möchten wir eine aktualisierte Perspektive mit einem neuen Blick auf das, was wir über die Arbeitsweise von cybercriminels aus Russland wissen, anbieten.
Darüber hinaus möchten wir darauf hinweisen, dass Microsoft einen neuen Trojaner identifiziert hat, der als Teil eines DDoS-Angriffs eingesetzt werden kann, bekannt als FoxBlade.A!dha und dessen Dropper-Elternteil FoxBlade.B!dha. Diese wurden kurz vor den ersten Vorstößen des russischen Militärs zur Einnahme von Territorium in der Ukraine identifiziert, was zeigt, wie vernetzt das russische Militär und die Cyber-Operationen wirklich sind.
Malware Betreiber werden in die russische Verteidigung strömen
Wie bei jedem Konflikt gibt es immer Freiwillige, und dieser hybride Boden-/Cyberkrieg ist nicht anders. Eine der ersten Gruppen, die Russland die Treue schwor, war die Conti/TrickBot-Gruppe, obwohl sie diese Haltung inzwischen aufgeweicht hat. Diese Gruppe ist für einige der größten und erfolgreichsten ransomware Kampagnen der letzten 5 Jahre verantwortlich. TrickBot und seine Rolle bei der Verbreitung von IcedID, CobaltStrike und zahlreichen Ransomware -Kampagnen ist den meisten Blue Team-Operatoren ein Begriff. Ende Februar wurde berichtet, dass das TrickBot-Projekt eingestellt wurde, was ein schwerer Schlag für die Bande war. Conti konnte sich jedoch durchsetzen, nachdem er kürzlich die Kontrolle über BazarBackdoor malware übernommen hatte.
Vectra-Kunden sollten nach Erkennungen von Vectra Threat Intel Match Ausschau halten, bei denen der Bedrohungsakteur als WIZARD SPIDER oder WIZARDSPIDER aufgeführt ist - dies ist der interne Name der Gruppe. BazarBackdoor, die vom BazarLoader malware abgelegt wird, kommuniziert über HTTP und DNS mit [.]bazar-Domänen. Kunden sollten nach Erkennungen von versteckten HTTP-Tunneln, versteckten HTTPS-Tunneln und versteckten DNS-Tunneln suchen, da dies die primären Kommunikationsmethoden für die Backdoor sind. Diese helfen, potenzielle Infektionen zu korrelieren.
Die Hintertür hat auch mehrere modulare Komponenten, die PowerShell-Befehle auf dem infizierten Host ausführen können. Zu den weiteren Erkennungen, auf die Sie achten sollten, gehört die verdächtige Remote-Ausführung mit WMI-Methoden, um Befehle auf anderen Hosts auszuführen. Diese Bedrohungsgruppe ist auch dafür bekannt, Task Scheduler und SMB zu nutzen, um sich seitlich zu verbreiten; suchen Sie also nach schtask als Operation in den Erkennungen der verdächtigen Remote-Ausführung.
Zu Beginn der Bodenkampagne tauchten zwei neue malware Familien im Informationssicherheitskonflikt auf, vor allem WhisperGate und Hermetic Wiper. Bei beiden handelt es sich um destruktive / Ransomware Lite Typen von malware, die Systeme zerstören und manchmal eine Zahlung verlangen, aber keine Wiederherstellungsoption bieten. Im Moment gibt es keine Netzwerk-IOCs, nach denen man suchen kann, aber Vectra ist in der Lage, ransomware Angriffe zu finden, sobald sie geschehen, und die Reaktionskräfte können schnell reagieren. Ein Beispiel dafür ist hier in einem Post-Incident-Review zu sehen, in dem ein Kunde genau das mit Cognito Detect getan hat. Der CTO von Vectra hat auch einen Blog-Beitrag verfasst, in dem er über diese aktuelle Welle von ransomware spricht.
Die Bedrohungsdaten- und Serviceteams von Vectra stellen außerdem Hunderte von Indikatoren und Berichten zusammen, um unsere Kunden optimal zu unterstützen. Zu diesem Zweck haben wir bisher drei neue gespeicherte Suchen auf Recall veröffentlicht:
- Cogntio - TTP - iSession - Cyclops Blink Hardcoded C2 IP-Adressen: Diese gespeicherte Suche dient dazu, Kommunikationen mit den hartkodierten C2-IP-Adressen des Cyclops Blink zu finden. malware
- Cognito - TTP - SMB Files - Lockbit Known Ransom Note and Extension
- Cognito - TTP - SMB-Dateien - Lockbit Known Named Pipe: Diese beiden Suchvorgänge dienen dazu, LockBit-Aktivitäten im Netzwerk zu finden, indem sie nach der Named-Pipe-Kommunikation suchen, die von malware verwendet wird, um verborgen zu bleiben. Außerdem wird nach der Übertragung von potenziell bösartigen Dateien gesucht.
Zusätzliche Sensibilisierung und bewährte Praktiken
Derzeit arbeitet Vectra hart daran, den Schutz aller Kunden sicherzustellen. Wenn Sie ein Sidekick-Kunde sind, bietet das Analystenteam praktische Unterstützung und arbeitet direkt mit Vectra Threat Intelligence zusammen, um die bestmögliche Priorität und den bestmöglichen Service zu bieten. Für die breitere Kundenbasis sammelt Vectra Threat Intelligence Tausende von Indikatoren und unabhängigen Berichten, um die beste Abdeckung für alle zu gewährleisten. Wir arbeiten auch weiter daran, das Verhalten bekannter und engagierter Betreiber von malware und cybercriminels zu bestätigen, um sicherzustellen, dass die Erkennungen mit dem bekannten Verhalten von malware und Bedrohungsakteuren übereinstimmen.
Auffällige Entdeckungen, auf die man immer achten sollte, sind:
- Versteckte [HTTP, HTTPS, DNS] Tunnel: Diese Erkennungen finden malware Command and Control Verhaltensmuster.
- Externer Fernzugriff: Auch hier finden sich eher traditionelle Malware Befehls- und Kontrollkanäle.
- Verdächtige Remote-Ausführung: Viele cybercriminels versuchen, sich über bestehende Kanäle seitlich in einer Umgebung auszubreiten, so dass diese Erkennungen jetzt noch wichtiger sind.
- Erkennung von Privilegienanomalien: Diese Erkennungen zeigen verdächtige Kontonutzungen an. Viele cybercriminels suchen nach Konten mit hohen Privilegien in einem Netzwerk, um ihre malware zu verbreiten oder sich an hochwertigen Zielen wie Active Directory zu beteiligen.
Bisher gibt es noch keine umfangreichen Berichte über Cloud basierte Angriffe, aber es ist wahrscheinlich, dass es neben diesen zerstörerischen und lauten Angriffen auch leise Angriffe gibt, die sich auf cloud konzentrieren. Russische staatliche Akteure nutzen die Website cloud für ihre Angriffe. Die CISA veröffentlichte im Februar 2022 einen Bericht, in dem sie feststellte, dass vom russischen Staat gesponserte Angreifer in die Infrastruktur von Verteidigungsunternehmen cloud eingedrungen sind. Auf der Grundlage von Erkenntnissen aus früheren Angriffen und dem bekannten Verhalten von Bedrohungsakteuren würde Detect für Azure AD- und Office 365-Umgebungen die folgenden Arten von Erkennungen erwarten.
- Azure AD Brute-Force-Versuch
- Azure AD Verdächtige Anmeldung
- Azure AD MFA-Fehlgeschlagene verdächtige Anmeldung
- O365 Suspicious Sign-On Activity - Dieser Schritt des Angriffs kann manchmal der geräuschvollste sein, aber mit einer entfernten Belegschaft wird die Erkennung dieser Aktivität zu etwas, für das eine einfache Protokollsuche nicht ausreicht. Detect for Cloud erzeugt Erkennungen wie oben aufgeführt, um Analysten bei der Suche nach der Aktivität zu helfen.
- Azure AD-Änderung zur vertrauenswürdigen IP-Konfiguration
- Azure AD Verdächtige Operation
- O365 Suspicious Teams Application - Anwendungen und Dienstprinzipale, die über wertvolle Zugriffsrechte verfügen, werden mit zusätzlichen Geheimnissen modifiziert, wodurch im Wesentlichen eine "Hintertür" geschaffen wird, die Angreifer nutzen, um privilegierte Aktionen im Namen dieser Anwendungen durchzuführen.
- Azure AD Neu erstelltes Admin-Konto
- Azure AD Redundanter Zugang erstellen
- Azure AD Verdächtige Operation
- Azure AD Ungewöhnliche Verwendung der Skripting Engine
- O365 Interner Speer phishing
- O365 Verdächtige Exchange-Transport-Regel
- O365 Verdächtige Mail-Weiterleitung
- O365 Suspicious Mailbox Manipulation - Es gibt viele Möglichkeiten, sich in einer cloud Umgebung festzusetzen. Viele Erkennungen in Detect for Cloud sind darauf ausgelegt, Aktivitäten zu finden, die von der Erstellung von Konten in Azure AD bis hin zur Installation von Transportregeln reichen, die E-Mails umleiten können oder bei früheren Angriffen als Command-and-Control-Implantat verwendet wurden.
- O365 Riskanter Austauschvorgang
- O365 Verdächtige Download-Aktivität
- O365 Verdächtige Mail-Weiterleitung
- O365 Verdächtige Mailbox-Manipulation
- Verdächtige O365-Freigabeaktivität - In dieser Phase werden neben der Öffnung der Freigabeberechtigungen für nicht-lokale Ziele auch die Postfachberechtigungen des Ziels geändert, um einem anderen (vom Angreifer kontrollierten) Benutzer Lesezugriff auf die E-Mails des Ziels zu gewähren, gefolgt von einer regelmäßigen E-Mail-Exfiltration.
Schließlich wurden diese TTPs, wie sie von MITRE ATT&CK beschrieben werden, in der Vergangenheit mit russischen staatlichen Akteuren in Verbindung gebracht und wurden aktualisiert, um die neuesten zerstörerischen Wiper-Angriffe einzubeziehen: