af Bhabesh Raj Rai, Associate Security Analytics Engineer

Den 6. maj 2021 offentliggjorde CISA en rapport om en ny ransomware-variant, der blev kaldt FiveHands, og som blev brugt i et nyligt vellykket cyberangreb mod en organisation. Inden da, den 29. april, afslørede Mandiant detaljer om en aggressiv økonomisk motiveret gruppe, UNC2447, som udnyttede en zero-day sårbarhed i SonicWall VPN til at implementere FiveHands ransomware sammen med en sofistikeret malware, der tidligere hed SombRAT.

Hvordan trusselsaktøren UNC2447 fik adgang til at implementere FiveHands

Den 23. januar 2021 udsendte SonicWall en anbefaling om en zero-day sårbarhed (CVE-2021-20016) i deres SonicWall Secure Mobile Access (SMA) enheder. Den alvorlige SQL-injektionssårbarhed gør det muligt for en ikke-godkendt angriber at hente legitimationsoplysninger fra de berørte enheder på afstand. Trusselsaktøren UNC2447 brugte denne zero-day (T1190) som den indledende adgangsvektor for at få adgang til offerorganisationen.

Trusselsaktøren brugte mange offentligt tilgængelige værktøjer som RouterScan og Rclone til netværksopdagelse, adgang til legitimationsoplysninger og udfiltreringsfaser.  UNC2447 implementerede også en tilpasset trojansk hest der gav fjernadgang (RAT), der hedder SombRAT, til at downloade og køre skadelig kode. BlackBerry Research and Intelligence-teamet rapporterede tidligere om brugen af SombRAT i CostaRicto spionage-kampagnen. For at undgå at blive registret af sikkerhedsværktøjer (TA0005), anvendte UNC2447 batch (T1059.003) og tekstfiler til at afvikle og kalde PowerShell (T1059.001) scripts, der afkodede SombRAT-loaderen.

Kontakt LogPoint

Kontakt os og lær hvorfor markedsledende firmaer vælger LogPoint:

Kontakt LogPoint

Hurtige fakta omFiveHands

• Fundet i januar 2021
• Udrullet af trusselsaktøren UNC2447
• UNC2447 har konsekvent vist avancerede funktioner til at undgå detektering
• Udrullet sammen med SombRAT

FiveHands bruger aggressiv dobbelt afpresning

FemHands trusselsaktørerne bruger den berygtede taktik med dobbelt afpresning til at lægge maksimalt pres på ofrene for at betale løsepenge. De ondsindede aktører krypterer de stjålne data og truer ofrene aggressivt med at afsløre hacket i medierne og sælge dataene på hackerfora, hvis de ikke betaler løsepengene for at dekryptere dataene. F-Secure’s Attack Landscape Update-rapport  viste,at næsten 40 % af den ransomware, der blev opdaget i 2020, samt adskillige ældre typer viste dataeksfiltreringskapaciteter ved udgangen af 2020.  Når trusselsaktører er i stand til at eksfiltrere data, kan de anvende taktikken med dobbelt afpresning til at øge deres investeringsafkast. Rapporten fandt også, at mere end 15 ransomware-grupper ved udgangen af 2020 brugte dobbelt afpresning sammenlignet med 2019, hvor kun Maze-ransomware-familien brugte denne aggressive tilgang.

Vi vil fokusere på, hvordan sikkerhedsadministratorer kan bruge LogPoint til nemt at registrere UNC2447’s taktikker, teknikker og procedurer (TTP’er) til at implementere og bruge FiveHands ransomwaren.

Detektering af FiveHands ved hjælp af LogPoint

Den indledende infektionsvektor var igennem en zero-day i SonicWall SMA100-enheder. Gruppen, der identificerede denne zero-day, er dog ikke villig til at oplyse detaljer om, hvordan udnyttelsen kan opdages, fordi gruppen ikke ønsker at hjælpe angriberne med deres egne PoC’er, som f.eks. i tilfælde af F5 og Citrix. På trods af manglen på detaljer kan vi stadig registrere FiveHands i andre faser af kill-kæden.

Til rekognoscering brugte UNC2447 SoftPerfect Network Scanner (netscan.exe) til at indsamle værtsnavne og identificere netværkstjenester (T1046). Vi kan nemt holde øje med kørslen af dette værktøj fra Sysmons procesoprettelseshændelser.

norm_id=WindowsSysmon label="Process" label=Create vendor="SoftPerfect Pty Ltd" description="Application for scanning networks"

Værktøjet genererer en rapport over resultaterne kaldet netscan.xml eller mere generelt <Navn på exe>.xml. Hvis Sysmon er konfigureret til at logge XML-filoprettelser, fungerer dette som en anden metode til at registrere kørslen af værktøjet.

[ norm_id=WindowsSysmon label="Process" label=Create -image IN ["C:\Windows\*", "C:\Program Files*"] | norm on image <image_name:'[^\\]+'><:'(?i)\.exe'> ] as s1 followed by[ norm_id=WindowsSysmon event_id=11 file="*.XML" | norm on file <file_name:'\S+'><:'(?i)\.xml'> ] as s2 on s1.image_name=s2.file_name

På samme måde brugte UNC2447 RouterScan-værktøjet til at identificere netværksroutere og proxyservere på netværket. Den seneste version af RouterScan indeholder en liste over almindelige administratornavne og adgangskoder, der kan bruges til et ordbogsangreb (T1110.001) for at få adgang til en router sammen med muligheden for at identificere almindelige sårbarheder og udnytte dem mod mange populære routere (T1595.002). Værktøjet kan også scanne ethvert undernetværk og enhver bestemt port/protokol (T1046). Registrering af RouterScan-værktøjet er trivielt via Sysmons procesoprettelseshændelser.

norm_id=WindowsSysmon label="Process" label=Create application="Router Scan by Stas'M"

Alternativt kan vi kigge efter udfald af DLL’er, som RouterScan kræver for at kunne fungere via Sysmons filoprettelseshændelser. 

norm_id=WindowsSysmon event_id=11 file IN ["librouter.dll", "libeay32.dll"]

UNC2447 har også brugt det populære Microsoft-fjernadministrationsværktøj PsExec til at fjernudføre deres kode på forskellige værter. Du kan registrere PsExec via native Windows-hændelser samt Sysmons pipe-hændelser som vist nedenfor.

norm_id=WinServer event_id=4697 service=PSEXESVC| chart count() by host, user, service, file

norm_id=WindowsSysmon event_id IN [17, 18] pipe IN ["*-stdin", "*-stderr", "*-stdout"]

Sikkerhedsadministratorer kan se vores blog for at få mere at vide om, hvordan de kan foretage en omfattende jagt på PsExec-udførelser i deres miljøer.

Vi kan også registrere udførelsen af Rclone-værktøjet, et open source-værktøj til lagring i skyen, via Sysmons procesoprettelseshændelser.

norm_id=WindowsSysmon label="Process" label=Create description="Rsync for cloud storage"

På samme måde installerede UNC2447 en gratis version af S3 Browser-programmet til upload og download af data til/fra en cloud-konto (T1567.002). Vi kan registrere S3-browserinstallationen fra Sysmons registreringsdatabase, og vi kan registrere dens udførelse fra procesoprettelseshændelser.

norm_id=WindowsSysmon label=Registry label=Value label=Set detail="*\S3 browser\s3browser-con.exe"norm_id=WindowsSysmon label="Process" label=Create vendor="NetSDK Software, LLC" application="S3 Browser"

Som nævnt tidligere anvender UNC2447 batch- og txt-filer (i %PROGRAMDATA%’s underbiblioteker) til at kalde PowerShell-scripts, der afkoder SombRAT-loaderen. Vi kan søge efter disse artefakter via Sysmons filoprettelsesarrangementer.

norm_id=WindowsSysmon event_id=11 path="C:\ProgramData*" file IN ["WwanSvc.*"]

Hvis Microsoft Defender er konfigureret i miljøet, skal du holde øje med følgende trusler i forbindelse med UNC2447.

norm_id=WinServer label=Threat label=Detect threat IN ["Trojan:Win32/Casdet!rfn", "Trojan:BAT/Somrat", "Ransom:Win32/CryptoLocker!MSR", "Ransom:Win32/Filecoder.PA!MTB"]

Detektering af tidlige faser i ransomware-hændelser er afgørende

I dagens trusselslandskab bruger mange trusselsaktører som UNC2447, UNC1878 og REvil løbende flere offentligt tilgængelige værktøjer såsom Advanced IP Scanner, Rclone og ADFind i deres kampagner. Andre trusselsaktører vil sandsynligvis følge tendensen med at bruge almindeligt tilgængelige værktøjer for at reducere de ressourcer, de bruger på at udvikle deres egne værktøjer. Brug af almindelige, offentligt tilgængelige værktøjer har også den ekstra fordel, at det gør det vanskeligt for trusselsanalytikere at tilskrive dem til nogen bestemt.

Virksomhedernes forsvarere bør derfor have detektioner på plads til at registrere brugen af almindelige offentlige værktøjer, da de er blevet brugt af aggressive trusselsaktører, der har et meget lille tid-til-objektiv vindue. Hvis din organisation bruger de førnævnte værktøjer til legitime administrative opgaver, kan det være bedre at skifte til en anden ramme som PowerShell og behandle alle kørsler af disse værktøjer som ondsindede. Organisationer er nødt til at registrere kørslen af offentlige værktøjer, der bruges af modstandere i de tidlige faser for at forhindre forsøg på afpresning senere.

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser