首页 >> 网络安全 >>病毒分析 >> CSI:针对目标勒索软件攻击的证据指标–第二部分
详细内容

CSI:针对目标勒索软件攻击的证据指标–第二部分

时间:2020-06-22     【转载】   阅读

在我们的第一篇文章中,我们讨论了有针对性的勒索软件攻击的增长模式,其中第一个感染阶段通常是一种信息窃取类恶意软件,用于获取凭据/访问权以确定目标是否对勒索软件攻击有价值。在第二部分中,我们将从中断的地方继续前进:攻击者可以通过控制受感染的主机来在网络上立足,或者拥有有效的帐户来访问远程服务。

1.jpg

使用有效的帐户或有权访问公司系统的东西,您要了解的前两件事是:

  1. 我可以从这台机器获得什么样的权利?

  2. 我在这个网络中到底在哪里?

作为响应者,您会观察到的第一个命令是“ whoami / all”。该命令的输出将提供攻击者在计算机上与组/特权有关的帐户的详细信息。检测网络中可疑活动的一种好方法是为“ whoami”命令设置一个检测规则,并将其分配给公司高管或关键职位持有人使用的资产。公司中可能总有一名技术主管,但大多数人永远不会使用命令或命令行。


在目标勒索软件攻击的上下文中,攻击者最好希望拥有local-admin / domain-admin和/或系统权限。这些将成为王国的钥匙,并打开所有大门。


在下一步中,通常会观察到Mimikatz的某些变体或其他密码转储工具,它们将从计算机中转储凭据。Mimikatz工具要么以各种格式进行编译,要么是像Empire一样的远程PowerShell工具箱的一部分:

2.jpg

图2 Empire Mimikatz

我们开始本系列文章时首先想到的是,每次触摸系统都会留下数字足迹,在这个示例中,Empire发生了以下情况:

  • 攻击者通过使用“启动脚本”与系统建立连接

  • 攻击者正在使用C2(命令和控制)进行交互

  • 攻击者正在使用PowerShell执行命令

从“ MITRE ATT&CK技术”的角度来看,我们将对技术和交互进行以下概述:

4.jpg

图3攻击者使用Empire

哪些阶段和证据来源将创建可见性和预警指标?


对于PowerShell的使用,有几个可用的数字证据位置。除了内存中的痕迹之外,还可以在Windows事件日志,注册表,文件系统(如Prefetch目录)中发现痕迹,如果使用了PowerShell v5及更高版本,甚至还有可用的PowerShell命令历史记录文件。该位置可以在以下位置找到:


C:\ Users \ <用户名> \ AppData \ Roaming \ Microsoft \ Windows PowerShell \ PSReadline \ ConsoleHost_history.txt 


根据设计,Empire正在加密其通信,建立不频繁和随机的连接,并且最后但并非最不重要的是,正在镜像HTTP活动以隐藏在“正常”流量中。如果我们从第一篇文章中观察波动性的顺序,网络流量将从几秒变为几分钟,这给我们一个非常短的窗口,除非我们进行完整的数据包捕获和网络流量检查。


网络活动可能很难吸引注意,但是可能有一些指标可以帮助可能的Empire流量。要设置C2流量,攻击者需要配置“侦听器”,其中包含C2流量交互的所有设置。

5.jpg

图4 Empire Listener设置

在图4的部分设置屏幕中,我们看到正在配置的三个URI将被频繁请求并与HTTP标头结合在一起。在x时限内轮询的三个URI的组合检测与HTTP标头的组合可能是检测Empire C2流量的很好的网络指示器。作为响应者,当您检测到这些指标时,请回顾图3并开始向后搜索。您发现了C2活动,但这意味着与C2交互的主机具有PowerShell活动和时间来保护您的证据。这就是我喜欢应用“ MITRE ATT&CK”模型的方式:了解您刚刚发现的内容,以及其含义,然后寻找证据或预期攻击者的下一步行动。


请记住,这是默认设置,攻击者可以更改它。经验表明,出于网络犯罪动机的参与者急需现金并使用默认安装的工具,而民族国家的网络间谍活动则是自定义的,因为他们希望在受害者的网络中进行更长的工作。


现在回到我们的场景。攻击者已经获得了适当的特权,并且已经在网络上进行了横向移动,以了解它的大小,并可能确定了关键资产-他们喜欢其中包含大量数据的共享文件夹。


攻击者接下来将准备一个定制版本的勒索软件,并可能已经在地下AV测试服务上对其进行了测试,以确保该勒索软件完全不可检测(FUD)。根据技能和能力,勒索软件将被上传到受害者的网络,或者使用通过网络分发和执行的脚本。我们已经观察到以下情况:使用了一系列.bat脚本,并且有效载荷是从Pastebin下载并由PowerShell在主机上执行的–足够多的选择。一旦执行,第一个调用将进入帮助台,报告赎金记录。


在后利用框架中可以使用许多上述技术,攻击者可以从中选择几种选项。无论使用哪种工具,该工具都只是一个通道,我们应该始终专注于检测技术而不是实现细节。可用选项包括地下工具箱和渗透测试工具,旨在提高人们对攻击的认识。不幸的是,那些设计为安全工具的工具也可能被用于邪恶目的。这种“鸡和蛋”的情况通常引起激烈辩论,因为一方面,工具可以简化攻击场景,而另一方面,如果防御者无法使用它们,就不可能对预防措施进行充分的测试。


上面提到了帝国。其作者不再维护或支持这种基于PowerShell的出色开发后框架。尽管有货叉,但牵引速度已减慢,但仍可检测到它的使用。钴打击,商业对手仿真平台定期由红队用来测试基础设施的保安措施和检测能力,被越来越多地采用由犯罪行为。” 尽管其许可证受到严格控制,但在犯罪黑社会中仍可获得盗版和破解的试用版。Cobalt Strike会定期更新,以包括Mimikatz等最新技术和工具,同时为添加新的独特攻击和旁路技术提供了很大的灵活性。即使在最新的操作系统版本上,这也可能增加成功的可能性。


利用Cobalt Strike可以发现分布GoGalocker,MegaCortex和Maze勒索软件的威胁组。在我们的方案的当前阶段,立足于网络,Cobalt Strike提供了许多可用于完成其目标的选项。其中包括T1075通过哈希,T1097通过票证,T1105远程文件复制,T1021远程服务和旧的可靠工具:T1077 Windows管理员共享。


如第1部分中所述,该证据保留在系统上的时间跨度不同。通过研究以前的攻击,我们可以看到操作的一般模式以及执行这些技术的顺序。这可以帮助我们选择证据收集的时间和方法。


检测这些攻击并非易事。漏洞利用框架通常是开源的,在这种情况下,攻击者可以修改代码以操纵IOC(威胁的指示器)。另外,就我们的示例Cobalt Strike而言,该框架将围绕二进制丢弃程序的最终形式,网络流量格式,时间和特定参数等提供特定的配置。因此,通用签名将仅检测最基本的攻击,并且如前所述,专注于技术和行为而非工具变得至关重要。创建“钴矿打击”通用检测可能会错过其存在的要点-围绕恶意技术和行为的教育。但是,我们可以了解许多有关各种指标类别的信息,可以针对功能异常值和异常行为进行监控,并且


在很多情况下,了解正常系统的行为对于发现异常值至关重要,拥有比较基准系统可以帮助进行分析。


其中的一些示例包括:

  • 存储器

圣杯。可以修改二进制滴管以掩盖其真实意图,但是在内存中它们可以以解码格式显示。

搜索功能标记,例如可疑的系统调用或敏感系统位置的读写(例如lsass内存)。

  • 运行过程

同样,正在运行的进程可能非常具有启发性。

尽管通常会执行过程“迁移”,但是请检查异常的过程层次结构。

该过程是否执行了预期之外的功能?例如,记事本是否向外部域发出http请求?

  • 网络流量

域应匹配已知良好。

流量类型或特定服务器的峰值或常规定时模式。

以异常方式使用的变量,例如包含编码的二进制数据的http标头。

  • Disk

二进制文件和配置文件可用于逆向工程。

这种静态分析不如动态运行软件强大。

调试恶意二进制文件可能会有所帮助,但要提防沙箱/调试器检测。

  • 备份/日志文件

永远不要完全信任日志文件,因为攻击者很容易伪造。外部源(例如,进入外部数据库的syslog)可以提高日志数据的可靠性(如果有)。

搜索恶意活动的特定标记。一些有用的项目包括:命令行日志,PowerShell脚本块日志记录,网络应用程序(例如Web服务器)的特定日志,服务安装,访问的共享(特别是C $),进程启动,帐户登录。


.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

猜你喜欢
更多
联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录