Insights, Playbooks e Detection Rules das principais ameaças do mês de Dezembro – SOC Cyber Threat Intelligence
Publicado em 28/12/2022
Escrito por iT.eam Tecnologia
Leia em 8 minutos
A Red Canary é uma conceituada empresa em tecnologia de segurança cibernética, atualmente comercializa serviços de segurança baseados em nuvem. Sua plataforma e serviços permitem que os defensores vençam os adversários de forma rápida e evolutiva, preparando-se, detectando e respondendo a incidentes de segurança. A cada mês a Red Canary fornece aos seus clientes uma análise de tendências e principais ameaças que foram encontradas em detecções confirmadas ou em relatórios de inteligência.
Classificação | Nome da Ameaça | Descrição da ameaça |
1 | Qbot |
Trojan bancário focado em roubar dados de usuários e credenciais; entregue por meio de phishing. Variável existentes do Emotet. Pacotes maliciosos do Windows Installer (MSI). |
2 | Impacket | Coleção de bibliotecas Python para construir/manipular protocolos de rede. |
3 | Mimikatz | Ferramenta de código aberto focada em “dump” de credenciais utilizando várias técnicas. |
4 | BloodHound | Ferramenta de código aberto utilizada para identificar métodos de ataques relacionados ao Active Directory. |
5 | Raspberry Robin | Cluster em atividade utilizando um worm que se espalha através de unidades externas aproveitando do Windows Installer para baixar uma DLL maliciosa. |
6 | Zloader | Trojan bancário com muitas variantes que originalmente se concentrava no roubo de credenciais, mas nos anos mais recentes forneceu cargas úteis “pré-ransomware” para várias famílias diferentes de Ransomware. |
7 | Shlayer | Família de malware associada à atividade de fraude de anúncios por meio da distribuição de aplicativos de adware. |
8 | Gamarue | Família de malware usada como parte de uma botnet. Algumas variantes são worms e frequentemente se espalham por unidades USB infectadas. |
9 | Metasploit | Ferramenta de teste de penetração, realiza uma robusta exploração de vulnerabilidades e execução de código em um dispositivo remoto. |
10 | SocGholish | Dropper/downloader que se aproveita de sites comprometidos que utilizam a ferramenta WordPress. Redirecionam os usuários para outro site em uma infraestrutura adversária, apresentando-se como atualizações necessárias do navegador para induzi-los a executarem os códigos maliciosos. |
Qbot, também conhecido como “Qakbot” ou “Pinkslipbot”, é um trojan bancário que está ativo desde pelo menos 2007, com foco no roubo de dados do usuário e credenciais bancárias. Com o tempo, o malware evoluiu para incluir novos mecanismos de entrega, técnicas de comando e controle (C2) e recursos anti-análise. As infecções por Qbot geralmente decorrem de campanhas de phishing.
O Zloader é um trojan bancário muito utilizado por invasores para roubar cookies, senhas e outras informações privadas das máquinas das vítimas, sem mencionar que ganhou notoriedade por atuar como uma estrutura de distribuição para o ransomware Conti. Estas informações foram publicadas pela Cybersecurity and Infrastructure Security Agency dos EUA (CISA) em setembro de 2021.
O alvo deste tipo de ataque geralmente são colaboradores bancários, em sua maioria os atacantes priorizam como alvo as Workstations. Não é uma prática muito comum integrar ao seu SIEM as workstations de colaboradores, sendo assim estes monitoramentos serão mais efetivos ao serem implementados em uma ferramenta de EDR.
Microsoft Office executando Rundll32 ou Regsvr32
Event ID equals ‘1’ (Process Creation)
&&
Parent Process Name equals any of ‘winword.exe’ or ‘excel.exe’
&&
Process Name equals any of ‘rundll32.exe’ or ‘regsvr32.exe’
&&
CommandLine contains any of ‘\Flopers.GGRRDDFF,DllRegisterServer’ or ‘\Flopers\Flopers2\Bilore.dll’
Schedule Taks executando processos de forma suspeita
Event ID equals ‘1’ (Process Creation)
&&
Process Name equals ‘schtasks.exe’
&&
CommandLine contains ‘/Create’
&&
CommandLine contains any of ‘cscript.exe’ or ‘wscript.exe’ or ‘regsvr32.exe’
O Impacket é uma coleção de bibliotecas Python que se conectam a aplicativos como scanners de vulnerabilidade, permitindo que trabalhem com protocolos de rede do Windows. Essas classes Python são usadas em várias ferramentas, incluindo pós-exploração e produtos de verificação de vulnerabilidade, para facilitar a execução de comandos sobre o Server Message Block (SMB) e Windows Management Instrumentation (WMI).
Mimikatz é um utilitário de “dump” de credenciais de código aberto que foi inicialmente desenvolvido em 2007 por Benjamin Delpy para explorar vários componentes de autenticação do Windows. Enquanto a versão inicial v0.1 foi orientada para explorar ataques “Pass The Hash”, depois de expandir sua biblioteca a ferramenta foi lançada publicamente como Mimikatz v1.0 em 2011. Em 2020, observamos vários atores utilizando Mimikatz durante invasões, incluindo implantação ao lado de criptomineradores como Blue Mockingbird ou ransomware como Nefilim, Sodinokibi e Netwalker.
BloodHound é uma ferramenta de código aberto que pode ser usada para identificar caminhos de ataque em um ambiente Active Directory (AD). Sua popularidade se destaca entre os adversários pela vasta coleta de informações em um ambiente AD, pois pode permitir movimentos laterais em uma rede. BloodHound tem vários componentes, incluindo SharpHound, que é um coletor de dados para BloodHound escrito em C#.
O Metasploit é uma ferramenta muito poderosa geralmente utilizada por atacantes, o objetivo da ferramenta é investigar e explorar vulnerabilidades existentes em redes e servidores. Por ser uma ferramenta de código aberto os adversários conseguem facilmente personalizá-la e utilizar com a maioria dos sistemas operacionais.
Recomendados a utilização dos seguintes mecanismos para detecção desta ameaça nas regras do seu SIEM ou EDR:
Importante na configuração do SIEM habilitar o Sysmon para detecção desta técnica em seu ambiente.
Event ID equals ‘1’ (Process Creation)
&&
Parent Process Name equals ‘wmiprvse.exe’
&&
Process Name equals ‘cmd.exe’
&&
CommandLine contains all of ‘cmd.exe’ and ‘/Q /c’ and ‘\127.0.0.1’
Esta regra é mais complexa, pois é preciso identificar qual o baseline de conexões em seu ambiente, sendo assim, não vamos especificar uma lógica para esta detecção, pois seu Threshold pode variar para cada ambiente.
Sugestões para aplicação do monitoramento:
O Mimikatz pode ser utilizado para realizar o Dump de credenciais no domínio a partir do recurso de DCSync.
Event ID equals ‘4662’
&&
Properties contains any of [1131f6aa-9c07-11d1-f79f-00c04fc2dcd2 or 9923a32a-3607-11d2-b9be-0000f87a36b2 or 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2]
&&
Username does NOT contains [‘$’ or ‘MSOL’]
Pontos importantes antes de implementar este caso de uso:
Uma última detecção baseada em IOC é identificar execuções das ferramentas diretamente nos servidores. Esta não é uma prática muito comum por malwares avançados, pois é muito “barulhento” e fácil de ser detectado.
Contudo, ainda sim é importante criar monitoramentos do tipo:
Process Name equals “mimikatz.exe” or “bloodhound.exe”
Cadastre-se em nossa newsletter
Preencha o formulário para receber diretamente em seu e-mail conteúdos exclusivos para transformar seus negócios.