对美国-CERT警报(AA22-257A)的攻击图响应:伊朗伊斯兰革命卫队附属网络行为者利用漏洞进行赎金行动

AttackIQ发布了一个新的攻击图,模拟伊朗行为者用来破坏和加密系统的技术 – 无需恶意软件 – 以帮助客户抵御试图在仅居住在陆地之外时运行的威胁。

原文链接:https://www.attackiq.com/2022/09/16/attack-graph-response-to-us-cert-alert-aa22-257a-iranian-islamic-revolutionary-guard-corps-affiliated-cyber-actors-exploiting-vulnerabilities-for-ransom-operations/

目标行业:全球关键基础设施

2022年9月14日,美国网络安全和基础设施安全局(CISA)发布了一份联合网络安全咨询(CSA),其中包含来自联邦调查局(FBI),国家安全局(NSA),美国网络司令部(USCC) – 网络国家任务部队(CNMF),美国财政部(财政部),澳大利亚网络安全中心(ACSC),加拿大网络安全中心(CCCS)的分析意见。 和英国国家网络安全中心(NCSC),以强调与伊朗政府伊斯兰革命卫队(IRGC)有关联的个人的持续恶意活动。 此警报是对2021年11月发布的先前CSA AA21-321A的更新,该警报确定了可追溯到2021年3月的活动,涉及利用常见漏洞,允许IRGC附属行为者利用其访问权限进行后续活动,包括磁盘加密和数据勒索,以支持赎金操作。

值得注意的是,在这个新的警报中,协调的美国政府机构和盟国政府现在正在敦促组织通过进行与MITRE ATT&CK框架“大规模,生产”一致的连续自动化测试来验证其安全控制。

根据该公告,与伊斯兰革命卫队有联系的对手继续积极瞄准广泛的实体,包括多个美国关键基础设施部门以及澳大利亚,加拿大和英国组织。他们正在利用代理外壳和Log4Shell漏洞利用面向外部的服务。一旦实现了初始立足点,参与者就会开始转储凭据、横向移动并使用 BitLocker 加密主机。 DFIR报告于2021年11月发布了一份详细报告,涵盖了威胁行为者执行的技术和命令的技术细节。 

AttackIQ发布了一个新的攻击图,模拟这些攻击中使用的技术,以帮助客户验证他们的安全控制以及他们防御此威胁参与者和其他遵循类似行为的人的能力。

针对 AttackIQ 的新攻击图验证安全程序性能对于降低风险至关重要。通过使用 AttackIQ 安全优化平台,安全团队将能够: 

  • 针对导致关键服务大规模加密的恶意技术评估安全控制性能。 
  • 针对不需要关闭其他后门即可成功渗透网络的参与者评估其安全状况。 
  • 在发现新的零日漏洞时,持续验证初始访问攻击之外的检测和预防管道。 

攻击图 – [US-CERT AA22-257A] 伊朗威胁行为者利用比特洛克器进行勒索软件操作 

伊朗行为者通过网络漏洞利用投放各种网络外壳,因此我们的攻击图从将这些有效载荷之一保存到磁盘开始。入侵者首先运行一些系统发现命令,以了解有关受感染资产的更多信息。 

入口工具传输 (T1105):此方案在两个单独的方案中下载到内存并保存到磁盘,以测试网络和终结点控制及其防止传递已知恶意 Web 外壳的能力。此方案中使用的文件是 ASPX xCmd 网络外壳,自 2012 年以来,许多不同的威胁参与者都使用该文件。 

系统网络配置发现 (T1016):使用标准 Windows 实用程序(如 ip配置、arp、路由和 nltest)收集资产的网络配置。 

系统信息发现 (T1082):本机主机名和 systeminfo 命令用于获取受感染主机的计算机名称和有关系统的基本详细信息。 

互联网连接发现 (T1016.001):此方案使用 nslookup 来查找使用谷歌的 DNS (8.8.8.8) 的外部域。参与者利用此命令来确定他们是否能够获得对 Internet 的出站访问。 

在了解了有关本地资产的详细信息后,参与者开始查询有关系统网络和当前受入侵控制的帐户的信息。这些详细信息将在后续步骤中使用,以移动到其他系统并为攻击的最后阶段做好准备。 

域信任发现 (T1482):此方案 使用“/trusted_domains”选项调用本机 nltest 实用程序,以检索与此主机关联的受信任 Active Directory 域的列表。 

系统网络连接发现 (T1049):使用“nbtstat -n”命令收集主机的 NETBIOS 名称表。 

帐户发现:本地帐户 (T1087.001):通过执行“net user”命令收集在此主机上配置的本地帐户的列表。了解主机上存在的其他帐户将允许参与者重新使用以前已知的凭据或识别他们可以重新启用以融入日常活动的禁用合法帐户。 

系统所有者/用户发现 (T1033):调用“查询用户”和 whoami 以确定当前运行的 web 外壳所使用的帐户。 

执行器执行的所有命令都将使用已安装的 web 外壳通过命令 shell 完成。对手现在希望通过奠定基础来扩展其控制受感染主机的能力,以允许使用远程桌面进行完全图形控制。他们首先必须了解主机上的管理组,并创建一个可用于将来登录的帐户。它们还打开主机的防火墙以允许远程桌面协议(RDP)访问,并下载开源工具Plink以通过SSH建立远程隧道会话,该会话可用于连接到RDP会话。 

权限组发现:本地组 (T1069.001):参与者有兴趣找出特权本地组(如远程桌面用户和本地管理员)的成员身份。它们通过执行“网络本地组”查找来实现此目的。  

创建帐户:本地帐户 (T1136.001):在此攻击示例中,参与者需要创建一个新帐户,而不是作为现有的本地帐户进行混合。名称为“Default01”的帐户是使用“网络用户”创建的。  

损害防御:禁用或修改系统防火墙 (T1562.004):默认情况下,可能无法通过本地系统防火墙启用远程桌面。威胁参与者可以创建新的防火墙规则,以使用“netsh advfirewall”实用程序打开本地和远程访问的端口。此方案打开本地端口“3389”进行入站访问。 

协议隧道 (T1572):Plink 是一个合法的命令行实用程序,允许创建隧道 SSH 会话。执行组件使用此实用程序通过 SSH 隧道通过隧道通过远程桌面进行隧道传输,从而允许它们以图形方式访问主机。此方案测试负责阻止与外部服务器的出站 SSH 连接的安全控制。 

建立完整连接后,执行组件使用计划任务建立 Plink 隧道的持久性,然后从内存中转储 LSASS.exe进程。此过程包含主机上其他帐户(包括域管理员)的凭据。这些参与者没有将像Mimikatz这样的恶意工具带到主机并冒着检测的风险,而是带来了一个干净的FileZilla合法副本,他们可以用来进行数据泄露。内存转储被压缩并泄露到由Actor控制的服务器,因此可以脱机破解。 

计划任务/作业:计划任务 (T1053.005):此方案使用名为“CacheTask”的 schtasks 实用程序创建一个新的计划任务 ,观察到这些攻击中使用了该任务。 

操作系统凭据转储:LSASS 内存 (T1003.001):通过创建“lsass.exe”进程的小型转储,将 LSASS 内存转储到磁盘。此过程用于在系统上强制实施安全策略,并包含许多威胁参与者所针对的特权令牌和帐户。 

通过未加密的非 C2 协议 (T1048.003 进行外泄:此方案压缩 LSASS 小型转储文件,并将其在未加密的 HTTP 流量中泄露到外部服务器。 

然后,执行组件通过搜索端口已打开远程桌面 (RDP)、Windows 文件共享 (SMB) 或活动目录 (LDAP) 的主机,扫描可以使用转储凭据访问的其他服务器,从而开始攻击的最后阶段。将尝试移动到可访问的服务器,该过程将重复。最后阶段是执行组件进行注册表修改,以使用 Bitlocker 对本地驱动器进行加密。 

Network Service Discovery (T1046): This scenario uses nmap to scan for hosts that are open on ports “139,389,445,636,3389” that would identify remotely accessible hosts to the attacker  

Remote Services: Remote Desktop Protocol (T1021.001): Remote Desktop is the built-in remote access utility used by Windows. This scenario attempts to remotely connect to another accessible asset with stolen credentials. 

为影响而加密的数据 (T1486):此方案将“HKEY_LOCAL_MACHINE\软件\策略\微软\FVE\恢复密钥消息”设置为充当赎金记录的自定义消息。当用户资产受 BitLocker 保护并且需要在系统启动之前输入恢复密钥时,BitLocker 通常使用此注册表项向用户显示自定义消息。

扩展攻击图的机会 

除了这个新的攻击图之外,还有其他独立的方案可以添加到攻击图中,或者作为单独评估的一部分(如果客户具有适当的环境)。

日志4外壳 (CVE-2021-44228) 基于签名的 Web 请求(多个有效负载)
日志4外壳 (CVE-2021-44228) 基于签名的 Web 请求 – VMWare Horizon
这些方案可用于针对 Log4Shell 漏洞的不同实现测试入侵防御系统 (IPS) 和 Web 应用程序防火墙 (WAF)。需要在配置中设置具有 Log4J 组件的 Web 服务器。 

代理外壳漏洞利用 (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)
此方案试图利用代理外壳一系列漏洞攻击远程 Exchange 服务器。需要在配置中设置具有 EWS 的 Exchange 服务器。

检测和缓解机会 

由于威胁参与者正在使用许多不同的技术,因此很难知道在预防和检测机会中优先考虑哪些技术。AttackIQ 建议先关注在我们的方案中模拟的以下技术,然后再转到其余技术。 

1. 计划任务/作业:计划任务 (T1053.005):  

描述

通常,在初始访问受感染的端点后,威胁参与者通常会创建一种形式的持久性,以更可靠的方式维护访问。已经观察到这个威胁行为者创建了名为“CacheTask”的计划任务,该任务将建立一个返回对手设备的Plink隧道。 

1a.检测

使用 EDR 或 SIEM 产品,您可以利用自定义查询和检测在非授权/意外用户尝试创建计划任务时发出警报。尽管这是一项良性窗口功能,但使用此功能的用户的可见性可能会导致更早地检测到环境中的恶意实体。 

1b.缓解措施 

米特雷 ATT&CK 建议对计划任务/作业采取以下缓解措施:计划任务 (T1053.005): 

2. 损害防御:禁用或修改系统防火墙 (T1562.004):  

描述

横向移动是威胁行为者在妥协后的关键组成部分。已经观察到这些对手利用netsh等工具修改系统防火墙,以允许本地和远程访问远程桌面协议(RDP),以确保它们可以在网络中旋转。 

2a.检测

使用 EDR 或 SIEM 产品,您可以利用自定义查询和检测在非授权/意外用户尝试修改环境中的系统防火墙时发出警报。 

2b.缓解措施 

MITRE ATT&CK 建议对损害防御采取以下缓解措施:禁用或修改系统防火墙 (T1562.004): 

3. 创建帐户:本地帐户 (T1136.001):  

描述

在入侵后,已观察到此威胁参与者在受感染的本地计算机上创建帐户,以便他们可以将 shell 访问升级到完整的 GUI RDP 访问。 

3a一.检测

使用 EDR 或 SIEM 产品,您可以利用自定义查询和检测在非授权/意外用户尝试在本地计算机上创建用户帐户时发出警报。尽管这是一项良性窗口功能,但使用此功能的用户的可见性可能会导致更早地检测到环境中的恶意实体。 

3b.缓解措施 

MITRE ATT&CK 建议对创建帐户采取以下缓解措施:本地帐户 (T1136.001): 

总结 

总之,此攻击图将评估安全和事件响应流程,并支持针对不需要恶意软件即可实现其目标的参与者改进安全控制态势。通过持续测试和使用此攻击图生成的数据,您可以将团队的注意力集中在实现关键安全结果上,调整安全控制,并努力提高针对已知和危险威胁的总体安全计划有效性。 

AttackIQ随时准备帮助安全团队实施此攻击图和 AttackIQ 安全优化平台的其他方面,包括通过我们的共同管理安全服务 AttackIQ 先锋。 

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注