AttackIQ发布了新的场景和评估,以应对美国 – CERT警报AA22-152A,卡拉库尔特数据勒索组
原文链接:https://www.attackiq.com/2022/06/02/response-to-us-cert-alert-aa22-152a-karakurt-data-extortion-group/
2022年6月1日,联邦调查局(FBI),网络安全和基础设施安全局(CISA),财政部(财政部)和金融犯罪执法网络(FinCEN)发布了联合网络安全咨询(CSA),以提供有关卡拉库特数据勒索组织(也称为卡拉库特团队和卡拉库尔特巢穴)的信息。
Karakurt威胁参与者不会执行传统的勒索软件操作,其中文件被锁定和加密,而是专注于泄露敏感文件,然后威胁受害者数据泄露或拍卖,除非已经支付了比特币赎金。他们对受害者组织的访问权限通常是从其他初始访问代理组购买的,或者通过购买被盗的凭据转储来购买的,这些转储可用于登录到受害者的合法网络系统。这些行为者不针对特定部门或受害者,而是根据准入的难易程度进行选择。
一旦建立了对受害者网络的访问,威胁行为者就会利用钴罢工或以陆地技术为生,以融入日常活动。他们通常会使用文件Zilla和Rclone等合法工具将数据泄露到他们的云服务器。
为了帮助客户保护其环境免受这些攻击,AttackIQ发布了一项新的评估,该评估模拟了入口工具传输(T1105)技术,以降低参与者的工具和恶意软件。这些方案测试客户环境中的网络和终结点控件,以防止已知的恶意文件。
此评估采用以下步骤:
- 下载并保存卡拉库尔特的PDF网络钓鱼文件:这些PDF被发送给潜在的受害者,要求他们下载并打开导致恶意软件安装的恶意微软Office文档。
- 下载并保存卡拉库尔特的钴攻击信标恶意软件:与许多威胁行为者一样,卡拉库尔特依靠钴罢工进行后期妥协活动。
- 下载并保存文件Zilla:文件Zilla是一个合法的开源FTP和SFTP客户端,可以通过图形界面将文件上传和下载到远程服务器。卡拉库尔特使用此软件将被盗文件发送到其基础架构。
- 下载并保存 Rclone:Rclone 是一个命令行工具,允许将文件同步到远程云存储或远程文件服务器。
- 下载并保存微软命令行XSL转换工具:Msxsl.exe是微软的合法命令行工具,参与者可能会滥用该工具来绕过应用程序白名单控件。该工具加载的 XML 文件可能嵌入了恶意脚本,这些文件将在 Msxsl 进程内运行。
检测过程
恶意执行组件破坏终结点后,可能会尝试将任何工具或恶意软件传输到设备上。攻击者可以利用诸如强力外壳、证书、位管理员和卷曲等工具。
PowerShell 示例:
Process Name == (Cmd.exe OR Powershell.exe)
Command Line CONTAINS ((“IWR” OR “Invoke-WebRequest”) AND “DownloadData” AND “Hidden”)
Certutil 示例:
Process Name == Certutil.exe
Command Line Contains (“-urlcache” AND “-f”)
Bitsadmin 示例:
Process Name == Curl.exe
Command Line CONTAINS (“http” AND “-o”)
Curl 示例:
Process Name == Curl.exe
Command Line CONTAINS (“http” AND “-o”)
此外,应仔细检查从合法站点下载的文件传输实用程序,以确保请求是由真实用户发出的。
缓解策略
建议阻止非管理员使用强力外壳.exe、cmd.exe和证书.exe等工具。这将防止在最终用户帐户上恶意使用这些工具。
AttackIQ的对手研究小组目前正在审查有关Karakurt妥协的其他细节,并将在未来几天内发布一个高级攻击图,该图将在更大的杀伤链中模拟演员的行为。
总之,AttackIQ的新评估将帮助组织针对真实攻击中使用的已知样本测试其网络和端点防病毒控制。通过持续测试和使用此评估生成的数据,您可以将团队的注意力集中在实现关键安全结果、调整安全控制以及努力提高针对已知和危险威胁的总体安全计划有效性上。
AttackIQ随时准备帮助安全团队实施此评估和 AttackIQ 安全优化平台的其他方面,包括通过我们的共同管理的安全服务 AttackIQ 先锋。