Détections qui peuvent vous aider à identifier les ransomwares – Serveur d’impression
[bzkshopping keyword= »Minecraft » count= »8″ template= »grid »]
L'un des avantages de faire partie d'une entreprise mondiale de réponse aux incidents axée sur la recherche comme X-Force Incidence Response (IR) est que l'équipe a la capacité de prendre du recul et d'analyser les incidents, en identifiant les tendances et les points communs qui couvrent les zones géographiques, les industries et affiliations. L'exploitation de cet accès et de ces connaissances contre la menace des ransomwares a révélé des outils, des techniques et des procédures qui peuvent souvent être détectés via les journaux d'événements Windows (WEL) par défaut.
En particulier, l'équipe X-Force IR a identifié plusieurs actions entreprises par les opérateurs de ransomware qui sont communes à presque toutes les attaques de ransomware – et sont également relativement faciles à détecter via des requêtes de recherche et des mécanismes de détection identifiés par X-Force IR. Ce blog passera en revue plusieurs opportunités dont disposent les équipes de sécurité pour détecter la plupart des adversaires de ransomware dans les WEL par défaut. En exploitant les WEL par défaut, de nombreuses victimes de ransomware disposent des données dont elles ont besoin pour détecter les opérateurs de ransomware ; ils ont simplement besoin de savoir où chercher. C'est là que X-Force IR peut vous aider.
Étant donné que de nombreux affiliés de ransomware interagissent, se pollinisent et opèrent au nom de différents groupes de ransomware, nous n'attribuons les activités suivantes à aucun groupe de ransomware particulier ; ils sont communs à plusieurs groupes de ransomwares. Les groupes de ransomwares Sodinokibi/REvil, Avaddon et DarkSide ont fermé leurs portes de mai à juillet, mais les affiliés qui ont mené des attaques au nom de ces groupes se sont tournés vers de nouveaux groupes tels que LockBit et les groupes de ransomwares émergents.
X-Force Threat Intelligence a suivi plusieurs acteurs malveillants qui ont agi en tant qu'affiliés de plusieurs groupes. Par exemple, ITG08 – également connu sous le nom de FIN6 – a probablement agi en tant qu'affilié pour les attaques Ryuk, LockerGoga et MegaCortex. En outre, ITG14, qui partage le chevauchement de la campagne avec FIN7, a été une filiale de Sodinokibi/REvil et était l'opérateur principal derrière le cartel de ransomware DarkSide.
Sommaire
Opportunités de détection dans les WEL
Les entrées de journal des événements suivantes ont été présentes dans la majorité des incidents de ransomware auxquels X-Force IR a répondu et ont tous été connectés à des systèmes avec la stratégie d'audit par défaut. Bien que toutes ces détections aient été utiles lors des engagements X-Force IR, il existe toujours la possibilité de faux positifs. Les défenseurs doivent évaluer leurs ensembles de données pour identifier les éventuels faux positifs et les opportunités de réglage avant de les ajouter à un système de production.
ID d'événement du journal système 7045
Sans aucun doute, l'ID d'événement 7045 est l'entrée de journal des événements la plus importante pour détecter les opérateurs de ransomware une fois qu'ils ont eu accès à un réseau cible. En examinant les incidents de ransomware 2020 auxquels X-Force IR a répondu, des preuves d'activité d'adversaires ont été identifiées dans 7045 entrées de journal d'événements dans plus de 90 % des incidents de ransomware où les adversaires se sont déplacés latéralement vers au moins un système.
Pour le mouvement latéral, les adversaires tireront parti du gestionnaire de contrôle des services Windows (SCM) pour créer un nouveau service où le fichier cible est une commande personnalisée ou un exécutable qui permet l'accès à distance au système cible.
Dans Cobalt Strike, les adversaires peuvent tirer parti de la commande jump pour générer une balise sur un hôte distant via un nouveau service.
Figure 1 : Liste par défaut de Cobalt Strike pour les commandes Jump
Des capacités similaires existent au sein de Metasploit Framework, qui est un autre outil de sécurité offensif que X-Force IR a observé que les opérateurs de ransomware exploitaient pour mener leurs attaques. Les preuves des outils de mouvement latéral SCM de Metasploit peuvent également être détectées grâce à 7045 entrées de journal d'événements.
En plus des cadres de sécurité offensifs, des adversaires de ransomware ont été observés utilisant des outils d'accès à distance tels que PsExec, TeamViewer et ScreenConnect pour mener à bien leurs opérations. Les preuves de ces outils peuvent également être récupérées à partir des 7045 entrées du journal des événements.
Les adversaires tireront parti du SCM comme technique d'élévation des privilèges en configurant le nouveau service pour qu'il s'exécute en tant que SYSTEM.
ID d'événement 7045 Détection :
Activité | EID | La source | Détection |
Mouvement latéral / Esc Priv / Exécution | 7045 | System.evtx | Le nom du fichier de service contient ADMIN$ OU C$ OU IPC$ OU cmd /c OU powershell OU comspec OU screenconnect OU SystemDrive OU teamviewer OU psexesvc |
Tableau 1 : Détections dans les entrées du journal des événements Windows 7045
Figure 2 : Preuve de la commande psexec_psh Jump de Cobalt Strike
Figure 3 : Preuve de la commande svc_exe elevate de Cobalt Strike
Figure 4 : Preuve de l'utilitaire ScreenConnect
Événement de journal de sécurité 4624
X-Force IR a observé que les opérateurs de ransomware continuent d'exploiter une connexion RDP (Remote Desktop Protocol) tunnelée pour contourner les restrictions du réseau lors de la collecte et de l'exfiltration des données.
Alors que divers utilitaires peuvent faciliter le tunneling RDP, X-Force IR a observé que plink et ngrok sont les deux utilitaires les plus couramment utilisés par les opérateurs de ransomware. Plink (Putty link) est un outil en ligne de commande utilisé pour établir des connexions shell sécurisées (SSH) avec des systèmes distants.
La commande suivante a été utilisée par les opérateurs de ransomware pour créer un tunnel RDP via un script batch.
plink.exe [email protected] -pw |
Tableau 2 : Exemple de commande plink pour activer le tunneling RDP sur un hôte
Ngrok est un utilitaire spécialement conçu pour permettre l'accès à distance aux systèmes derrière des pare-feu. X-Force IR a observé des adversaires se faisant passer pour ngrok comme d'autres utilitaires pour l'accès RDP à un système cible afin de maintenir l'accès persistant aux systèmes derrière la traduction d'adresses réseau (NAT) ou les pare-feu.
Figure 5 : entrées Ngrok se faisant passer pour des outils légitimes dans Program Files pour permettre un accès distant persistant via RDP tunnelé
Grâce à l'analyse des preuves recueillies lors des engagements de réponse aux incidents et à la recherche comportementale effectuée par X-Force IR, les chercheurs ont déterminé que l'EID 4624 peut être utilisé pour détecter un utilisateur accédant à un système via une connexion RDP tunnelée.
ID d'événement 4624 Détection :
Activité | EID | La source | Détection |
RDP tunnelé | 4624 | Sécurité.evtx | Le type d'ouverture de session 10 et l'adresse réseau source sont égaux à 127.0.0.1 OU ::1 |
Tableau 3 : Détections de mots clés de l'ID d'événement 4624 pour le tunneling RDP
Figure 6 : Preuve de tunneling RDP
Figure 7 : Preuve de tunneling RDP
Événement de journal de sécurité 4662 (contrôleurs de domaine uniquement)
Une fois l'accès à un réseau d'entreprise établi, les opérateurs de ransomware sont constamment à la recherche d'un accès privilégié au domaine, généralement en ciblant les membres du groupe des administrateurs de domaine. L'accès privilégié au domaine donne à l'adversaire la possibilité d'accéder à plus de données et de déployer efficacement le ransomware dans la phase finale de l'attaque. Cependant, dans plusieurs cas, X-Force IR a observé des opérateurs de ransomware ciblant plusieurs domaines au sein d'une forêt pour le déploiement de ransomware. X-Force IR a observé plusieurs opérateurs de ransomware utilisant la commande DCSync dans Mimikatz pour accéder au compte KRBTGT, qui est utilisé pour chiffrer et signer les tickets Kerberos au sein d'un domaine. Avec l'accès au compte KRBTGT, les adversaires peuvent obtenir un accès privilégié au domaine racine de la forêt et par la suite obtenir un accès privilégié à tous les domaines de la forêt.
DCSync a été implémenté dans Mimikatz (rédigé par Benjamin Delpy et Vincent Le Toux) en 2015, ce qui a permis à un adversaire de se faire passer pour un contrôleur de domaine et de récupérer à distance les hachages de mot de passe d'autres contrôleurs de domaine sans exécuter de code sur le contrôleur de domaine cible.
Pour être exécuté, l'adversaire doit avoir accès à une ressource de domaine avec des privilèges de réplication de domaine – en particulier "réplication des modifications de répertoire", "réplication de tous les changements de répertoire" ou "réplication des modifications de répertoire dans l'ensemble filtré". Par défaut, les contrôleurs de domaine, les administrateurs de domaine et les administrateurs d'entreprise disposent de ces privilèges.
Sur les contrôleurs de domaine, l'ID d'événement 4662 est enregistré lorsqu'une opération est effectuée sur un objet dans Active Directory, et cet événement est normal lorsque les objets sont modifiés ou lorsque les contrôleurs de domaine doivent répliquer les modifications sur d'autres contrôleurs de domaine.
Dans le cas d'une commande DCSync, l'adversaire utilise le droit étendu DS-Replication-Get-changes-All au sein de la classe Domain-DNS pour demander des données à répliquer vers un utilisateur ou un système qui n'est pas un contrôleur de domaine. Lorsque cette action se produit, un ID d'événement 4662 est enregistré sur le contrôleur de domaine cible, qui peut être utilisé pour détecter l'activité de l'adversaire.
ID d'événement 4662 Détection :
Activité | EID | La source | Détection |
DCSync | 4662 (CD uniquement) | Sécurité.evtx | Serveur d'objets = "DS" Les propriétés contiennent « 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2 » (DS-Replication-Get-Changes-All) et « 19195a5b-6da0-11d0-afd3-00c04fd930c9 » (classe de domaine DNS WRITE_DAC) Le nom du compte ne se termine pas par "$" |
Tableau 4 : Détection du mot-clé DCSync dans 4662 entrées du journal des événements
Figure 8 : Preuve de DCSync
Il convient de noter que si l'adversaire exécute DCSync en tant que SYSTEM à partir d'un autre compte d'ordinateur, un ID d'événement 4662 contenant le compte d'ordinateur source ne sera pas disponible. Pour détecter ce comportement, les défenseurs doivent auditer les autorisations requises dans Active Directory pour les comptes d'ordinateurs ou d'utilisateurs non autorisés.
import-module activedirectory;$DefaultPrivs=”NT AUTHORITYENTERPRISE DOMAIN CONTROLLERS”,,”BUILTINAdministrators”,”$env:USERDOMAINEnterprise Read-only Domain Controllers”,”$env:USERDOMAINDomain Controllers”;$Privs= (Get-Acl "ad:dc=dwyer,dc=com").Accès | ? ($_.ObjectType -eq "1131f6aa-9c07-11d1-f79f-00c04fc2dcd2" -ou $_.ObjectType -eq "1131f6ad-9c07-11d1-f79f-00c04fc2dcd2" -ou $_.ObjectType -eq "89e95b76-444d -4c62-991a-0facbeda640c” ) | Sélectionnez IdentityReference ; foreach ($priv in€Privs)if($priv.IdentityReference -notin $DefaultPrivs)write-host $priv.IdentityReference |
Tableau 5 : Commande PowerShell pour auditer les privilèges DCSync
Journal d'administration du service d'impression 808
X-Force IR a observé des opérateurs de ransomwares tirant parti des vulnérabilités d'exécution de code à distance et d'élévation des privilèges locaux au sein du service Microsoft Print Spooler (alias PrintNightmare) pour élever les privilèges lors d'attaques de ransomwares.
PrintNightmware exploite un défaut de conception où les utilisateurs non privilégiés peuvent ajouter des pilotes d'imprimante à un système Windows. Les attaquants peuvent exploiter cette vulnérabilité en installant un pilote d'imprimante malveillant, qui sera exécuté en tant que SYSTEM via le service Print Spooler, accordant effectivement à l'attaquant des autorisations de niveau SYSTEM. Les attaquants ciblant les contrôleurs de domaine peuvent prendre le contrôle de l'ensemble du domaine via l'exploit PrintNightmare.
Grâce à l'observation des activités des opérateurs de ransomware et à la poursuite des recherches sur les preuves médico-légales de l'exploit PrintNightmare, X-Force IR a noté que l'ID d'événement 808 dans le journal du service d'impression est généralement présent après un exploit réussi. L'ID d'événement 808 est enregistré lorsque le spouleur d'impression n'a pas réussi à charger un module de plug-in dans un pilote. Dans la plupart des cas, le module référencé est une bibliothèque de liens dynamiques (DLL) malveillante utilisée par l'attaquant pour exécuter des commandes arbitraires via le service Print Spooler.
Détection de l'ID d'événement 808 :
Activité | EID | La source | Détection |
ImprimerNightmware | 808 | Microsoft-Windows-PrintService/Admin | Le message contient .dll ET le code d'erreur est 0x45A |
Tableau 7 : Détection de PrintNightmare dans 808 entrées du journal des événements
Figure 9 : Preuve de PrintNightmare
Mentions honorables : ID d'événement de journal de sécurité 4648
L'ID d'événement 4648 est créé lorsqu'un processus exécute un événement d'ouverture de session de compte en spécifiant explicitement les informations d'identification de l'utilisateur. Cet événement est généralement enregistré lorsqu'un utilisateur utilise la commande runas. Dans les cas où runas est exécuté, le nom du processus associé est svchost.exe. En outre, un ID d'événement 4648 avec un nom de processus de consent.exe sera enregistré lorsque le contrôle de compte d'utilisateur (UAC) est activé et demande des informations d'identification avant d'exécuter un programme.
Une observation intéressante des preuves recueillies lors des enquêtes sur les ransomwares est la présence assez courante d'entrées d'ID d'événement 4648 faisant référence à AdFind dans le nom du processus. X-Force IR n'a pu reproduire ce comportement que sans exécuter AdFind en exploitant le pass-the-hash dans Mimikatz, ce qui élimine la possibilité de récupérer la sortie d'AdFind. Il est probable que les entrées de l'ID d'événement 4648 soient le résultat d'une erreur d'exécution de la commande de l'opérateur du ransomware et non corrélées au cycle de vie standard des attaques de ransomware. Cependant, la présence de ces preuves est suffisamment courante pour être notée à des fins de détection.
ID d'événement 4648 Détection :
Activité | EID | La source | Détection |
Exécution d'AdFind | 4848 | Sécurité.evtx | Le nom du processus est AdFind.exe |
Tableau 8 : Détection d'AdFind dans les 4648 entrées du journal des événements
Figure 10 : Preuve de l'exécution d'AdFind
ID d'événement de gestion à distance Windows 91
Comme mentionné précédemment, Cobalt Strike fournit une commande de saut pour aider les opérateurs à faciliter les mouvements latéraux. En plus d'exécuter un mouvement latéral via un nouveau service, Cobalt Strike inclut une commande de saut pour se déplacer latéralement via Windows Remote Management (WinRM).
WinRM est l'outil de gestion à distance Windows natif qui permet aux administrateurs de gérer et de surveiller des serveurs et des postes de travail distants. Dans Cobalt Strike, les adversaires peuvent tirer parti de la commande jump pour exécuter une commande sur un système distant via le protocole WinRM.
Figure 11 : Commandes de saut Cobalt Strike WinRM
Une fois exécutée, une connexion WinRM distante réussie enregistrera un ID d'événement 91 dans le journal des événements WinRM. Utilisé conjointement avec l'ID d'événement de journal opérationnel PowerShell 4104, les chercheurs peuvent détecter les adversaires de ransomware se déplaçant latéralement via WinRM.
Détection de l'ID d'événement 91 et de l'ID d'événement 4104 :
Activité | EID | La source | Détection |
Mouvement latéral WinRM | 91 | Microsoft-Windows-Windows-Remote-Management/Operational | Le message contient « WSMan Shell sur le serveur avec ResourceUri : %1 » |
Mouvement latéral WinRM | 4104 | Microsoft-Windows-PowerShell/Opérationnel | Le message contient "$DoIt = @" OU "[Byte[]]$var_code" |
Tableau 9 : Détection de saut Cobalt Strike WinRM dans 91 et 4104 entrées du journal des événements
Figure 12 : Preuve de la commande de saut Cobalt Strike WinRM dans l'entrée 91 du journal des événements
Figure 13 : Preuve de la commande de saut Cobalt Strike WinRM dans l'entrée du journal des événements 4104
Centralisation de l'ID d'événement 7045
X-Force IR recommande à chaque organisation de centraliser tous les journaux d'événements de l'ID d'événement 7045 et de créer des détections automatisées pour identifier les installations de services malveillants. Diverses solutions d'agrégation de journaux existent, mais Microsoft Windows fournit une capacité native à coût nul pour centraliser les journaux d'événements Windows appelée Windows Event Forwarding.
Transfert d'événements Windows
Dans Microsoft Windows, Windows Event Forwarding (WEF) est la solution intégrée de centralisation des journaux. WEF permet aux systèmes de votre réseau de transmettre les journaux d'événements à un serveur Windows Event Collector (WEC). Les journaux d'événements qui sont transmis au WEC sont définis dans un abonnement aux événements. Les abonnements WEF peuvent être configurés pour être initiés par la source, où chaque système qui reçoit l'abonnement transmettra les journaux au WEC, ou initié par le collecteur, qui s'appuie sur le WEC pour récupérer les journaux de chacun des systèmes.
Les liens suivants fournissent des ressources sur la façon de configurer un système Microsoft Windows pour transférer les journaux d'événements vers un serveur de collecte central.
https://www.ibm.com/docs/cs/qradar-on-cloud?topic=wincollect-overview
https://www.ibm.com/support/pages/qradar-agentless-windows-events-collection-using-msrpc-protocol-msrpc-faq
https://docs.microsoft.com/en-us/windows/security/threat-protection/use-windows-event-forwarding-to-assist-in-intrusion-detection
ID d'événement 7045 Abonnement WEF
Une fois WEF activé, X-Force IR recommande aux organisations de mettre en œuvre les configurations décrites dans cette section pour centraliser l'ID d'événement système 7045 afin de détecter les opérateurs de ransomware.
Depuis le serveur de collecte, ouvrez l'Observateur d'événements et accédez à Abonnements. Lorsque vous êtes invité à démarrer le service Windows Event Log Collector, sélectionnez Oui.
Une fois le service démarré, faites un clic droit sur Abonnements et sélectionnez Créer un abonnement.
Dans la boîte de dialogue, fournissez un nom descriptif et une description aux champs appropriés et sélectionnez Système comme journal de destination. La raison de la sélection du journal système est que, par défaut, le journal des événements transférés n'est pas publié dans la classe Win32_NTLogEvent et le script PowerShell suivant exploitera cette classe pour surveiller et générer automatiquement une alerte lorsque les conditions de la détection de l'ID d'événement 7045 susmentionnée sont remplies.
Sélectionnez le bouton radio à côté de l'ordinateur source lancé et sélectionnez « Sélectionner des groupes d'ordinateurs ».
Dans la boîte de dialogue Sélectionner des groupes d'ordinateurs, sélectionnez les comptes d'ordinateurs à partir desquels vous souhaitez collecter les journaux d'événements 7045.
Une fois les ordinateurs cibles spécifiés, sélectionnez « Sélectionner des événements » et sélectionnez « Système » dans la liste déroulante des journaux d'événements et entrez 7045 dans le filtre ID d'événement. Dans le menu Avancé, sélectionnez le protocole et les optimisations de livraison appropriés pour votre configuration WEF.
Sélectionnez OK pour enregistrer l'abonnement. Lors de la prochaine actualisation de la stratégie, les ordinateurs cibles commenceront à transmettre leurs journaux d'événements 7045 au serveur de collecte.
Détecter les installations de service malveillantes avec PowerShell
Une fois que le collecteur commence à recevoir des journaux, il peut être audité manuellement à l'aide de la commande suivante.
Get-EventLog -LogName Système | où $_.EventId -eq 7045 -et (($_.Message -like "*ADMIN$*")
-ou ($_.Message -comme "*ADMIN$*") -ou ($_.Message -comme "*IPC$*") -ou ($_.Message -comme "*C$*") -ou ($_.Message -like " *cmd /c*") -ou ($_.Message -comme "*powershell*") -ou ($_.Message -comme "*compsec*") -ou ($_.Message -comme "*screenconnect* ”) -ou ($_.Message -comme "*cmd.exe /c*") -ou ($_.Message -comme "*psexesvc.exe*")) | fl * |
Pour activer les alertes automatisées des installations de service correspondant aux caractéristiques observées par les opérateurs de ransomware, X-Force IR a créé des scripts PowerShell qui surveilleront le journal système, enverront un e-mail et exporteront les détails du journal vers un fichier journal lorsque les conditions sont remplies.
Les scripts sont disponibles en téléchargement sur le X-Force IR GitHub ici :
https://github.com/XForceIR/ServiceInstallMonitor
Le premier script, TempServiceMonitor, crée un abonnement d'événement WMI temporaire au système permettant aux défenseurs de tester et de régler les détections en fonction de leur environnement spécifique. Le script crée deux consommateurs d'événements, l'un qui se connectera à un fichier et l'autre qui enverra un e-mail via SMTP.
Pour créer un moniteur persistant, X-Force IR a créé le script PermServiceMonitor, qui créera un abonnement aux événements WMI permanent, activant la surveillance du journal des événements qui maintiendra les redémarrages du système. PermServiceMonitor enregistrera également les détections du journal des événements dans un fichier local et enverra un e-mail via SMTP.
Lorsque l'abonnement aux événements WMI est activé, à mesure que des journaux d'événements sont créés et correspondent aux conditions spécifiées dans le filtre d'événements WMI, les consommateurs traiteront leurs actions.
Pour tester la surveillance, plusieurs commandes de saut ont été exécutées sur un hôte cible.
Au fur et à mesure que les journaux d'événements sont écrits sur le serveur collecteur, les détections sont créées via les consommateurs.
Conclusion
Les ransomwares ont changé le paysage des menaces en augmentant considérablement la portée des cibles potentielles pour les adversaires à motivation financière. Avant les ransomwares, les adversaires les plus avancés financièrement motivés ciblaient des organisations spécifiques qui leur permettaient de monétiser un compromis via des systèmes de point de vente ou le vol de cartes de crédit. Les ransomwares ont changé d'orientation afin que chaque organisation soit une cible potentielle, et les adversaires ont construit les opérations pour monétiser chaque compromis réussi. D'un autre côté, la même opérationnalisation des ransomwares qui a permis au secteur des ransomwares de connaître un tel succès conduit également à des tactiques, des outils et des procédures bien définis. X-Force IR continuera à fournir des recherches et des contrôles et détections très efficaces pour mieux servir la communauté de la sécurité.
Commentaires
Laisser un commentaire