Insights, Playbooks e Detection Rules das principais ameaças do mês de Dezembro – SOC Cyber Threat Intelligence

A Red Canary é uma conceituada empresa em tecnologia de segurança cibernética, atualmente comercializa serviços de segurança baseados em nuvem. Sua plataforma e serviços permitem que os defensores vençam os adversários de forma rápida e evolutiva, preparando-se, detectando e respondendo a incidentes de segurança. A cada mês a Red Canary fornece aos seus clientes uma análise de tendências e principais ameaças que foram encontradas em detecções confirmadas ou em relatórios de inteligência.

Insights de inteligência mês de novembro de 2022:

Classificação Nome da Ameaça Descrição da ameaça
1 Qbot

Trojan bancário focado em roubar dados de usuários e credenciais; entregue por meio de phishing. Variável existentes do Emotet. Pacotes maliciosos do Windows Installer (MSI).

2 Impacket Coleção de bibliotecas Python para construir/manipular protocolos de rede.
3 Mimikatz Ferramenta de código aberto focada em “dump” de credenciais utilizando várias técnicas.
4 BloodHound Ferramenta de código aberto utilizada para identificar métodos de ataques relacionados ao Active Directory.
5 Raspberry Robin Cluster em atividade utilizando um worm que se espalha através de unidades externas aproveitando do Windows Installer para baixar uma DLL maliciosa.
6 Zloader Trojan bancário com muitas variantes que originalmente se concentrava no roubo de credenciais, mas nos anos mais recentes forneceu cargas úteis “pré-ransomware” para várias famílias diferentes de Ransomware.
7 Shlayer Família de malware associada à atividade de fraude de anúncios por meio da distribuição de aplicativos de adware.
8 Gamarue Família de malware usada como parte de uma botnet. Algumas variantes são worms e frequentemente se espalham por unidades USB infectadas.
9 Metasploit Ferramenta de teste de penetração, realiza uma robusta exploração de vulnerabilidades e execução de código em um dispositivo remoto.
10 SocGholish Dropper/downloader que se aproveita de sites comprometidos que utilizam a ferramenta WordPress. Redirecionam os usuários para outro site em uma infraestrutura adversária, apresentando-se como atualizações necessárias do navegador para induzi-los a executarem os códigos maliciosos.

SOC iTeam Insights:

Qbot:

Qbot, também conhecido como “Qakbot” ou “Pinkslipbot”, é um trojan bancário que está ativo desde pelo menos 2007, com foco no roubo de dados do usuário e credenciais bancárias. Com o tempo, o malware evoluiu para incluir novos mecanismos de entrega, técnicas de comando e controle (C2) e recursos anti-análise. As infecções por Qbot geralmente decorrem de campanhas de phishing.

Zloader:

O Zloader é um trojan bancário muito utilizado por invasores para roubar cookies, senhas e outras informações privadas das máquinas das vítimas, sem mencionar que ganhou notoriedade por atuar como uma estrutura de distribuição para o ransomware Conti. Estas informações foram publicadas pela Cybersecurity and Infrastructure Security Agency dos EUA (CISA) em setembro de 2021.

Resposta a incidentes contra Banking Trojan:

  • Recomendamos que seja isolado o dispositivo identificado com uma infecção maliciosa;
  • Validar se a URL faz algum redirecionamento, documentar para qual URL o tráfego é redirecionado;
  • Consultar URL / domínio em feed de inteligência. Ex: VirtusTotal e X-Force Exchange;
  • Analisar origem da URL (E-mail, Web sites), caso a ameaça tenha sido recebida por e-mail, analisar se outros usuários receberam o mesmo e-mail;
  • Analisar se o arquivo está presente nos hosts que acessaram a URL, caso positivo, analisar se o adversário criou:
    • Novos processos / serviços;
    • Novos usuários;
    • Novas chaves de registro;
    • Novas tarefas agendadas.
  • Caso encontre evidências de roubo de credencial, redefina as senhas;
  • Caso seja necessário siga com os procedimentos de restauração:
    • Necessário avaliar a aplicação de backups, snapshots ou restauração de imagem.

Recomendações para prevenção a este tipo de ameaça:

  • Utilização de ferramenta AntiSpam;
  • Configuração de autenticação em múltiplo fator (MFA);
  • Utilização de um bom software EDR.

O alvo deste tipo de ataque geralmente são colaboradores bancários, em sua maioria os atacantes priorizam como alvo as Workstations. Não é uma prática muito comum integrar ao seu SIEM as workstations de colaboradores, sendo assim estes monitoramentos serão mais efetivos ao serem implementados em uma ferramenta de EDR.

Sugestões de mecanismos para detecção desta ameaça nas regras do seu SIEM ou EDR:

Detecção 1:

Microsoft Office executando Rundll32 ou Regsvr32

Event ID equals ‘1’ (Process Creation)
&&
Parent Process Name equals any of ‘winword.exe’ or ‘excel.exe’
&&
Process Name equals any of ‘rundll32.exe’ or ‘regsvr32.exe’
&&
CommandLine contains any of  ‘\Flopers.GGRRDDFF,DllRegisterServer’ or ‘\Flopers\Flopers2\Bilore.dll’

Detecção 2:

Schedule Taks executando processos de forma suspeita

Event ID equals ‘1’ (Process Creation)
&&
Process Name equals ‘schtasks.exe’
&&
CommandLine contains ‘/Create’
&&
CommandLine contains any of ‘cscript.exe’ or ‘wscript.exe’ or ‘regsvr32.exe’

Impacket:

O Impacket é uma coleção de bibliotecas Python que se conectam a aplicativos como scanners de vulnerabilidade, permitindo que trabalhem com protocolos de rede do Windows. Essas classes Python são usadas em várias ferramentas, incluindo pós-exploração e produtos de verificação de vulnerabilidade, para facilitar a execução de comandos sobre o Server Message Block (SMB) e Windows Management Instrumentation (WMI).

Mimikatz:

Mimikatz é um utilitário de “dump” de credenciais de código aberto que foi inicialmente desenvolvido em 2007 por Benjamin Delpy para explorar vários componentes de autenticação do Windows. Enquanto a versão inicial v0.1 foi orientada para explorar ataques “Pass The Hash”, depois de expandir sua biblioteca a ferramenta foi lançada publicamente como Mimikatz v1.0 em 2011. Em 2020, observamos vários atores utilizando Mimikatz durante invasões, incluindo implantação ao lado de criptomineradores como Blue Mockingbird ou ransomware como Nefilim, Sodinokibi e Netwalker.

BloodHound:

BloodHound é uma ferramenta de código aberto que pode ser usada para identificar caminhos de ataque em um ambiente Active Directory (AD). Sua popularidade se destaca entre os adversários pela vasta coleta de informações em um ambiente AD, pois pode permitir movimentos laterais em uma rede. BloodHound tem vários componentes, incluindo SharpHound, que é um coletor de dados para BloodHound escrito em C#.

Metasploit:

O Metasploit é uma ferramenta muito poderosa geralmente utilizada por atacantes, o objetivo da ferramenta é investigar e explorar vulnerabilidades existentes em redes e servidores. Por ser uma ferramenta de código aberto os adversários conseguem facilmente personalizá-la e utilizar com a maioria dos sistemas operacionais.

Resposta a incidentes contra Hacking Tools:

  • A detecção de ferramentas do tipo Hacking tools no ambiente devem ser registradas como um incidente e devemos avaliar se está atividade é legitima ou não;
  • Recomendamos que seja isolado o dispositivo identificado com uma infecção maliciosa;
  • Avaliar se o atacante instalou outras ferramentas maliciosas no host;
  • Verificar se houve movimentação lateral no ambiente;
  • Caso encontre evidências de roubo de credencial, redefinas as senhas;
  • Interrompa todos os processos ativos relacionados as ferramentas de Hacking tools;
  • Analisar se o adversário criou:
    • Novos processos / serviços;
    • Novos usuários;
    • Novas chaves de registro;
    • Novas tarefas agendadas.
  • Caso tenha sido detectado tráfego de rede com hosts externos:
    • Bloquear conexão no firewall e no Proxy.
  • Consultar no SIEM por alertas que indiquem movimentação lateral:
    • Escaneamento de rede:
      • Port Scan;
      • Port Sweep em protocolos críticos exemplos: (SSH/RDP/SMB/FTP/VNC);
      • Escaneamento de vulnerabilidades.
    • Caso o atacante tenha explorado uma vulnerabilidade específica:
      • Avaliar medidas de mitigação para blindar os hosts vulneráveis (patches, bloqueio de portas, workarounds);
      • Mapear se outros hosts críticos estão expostos a mesma vulnerabilidade e corrigi-la.
    • Remova todos os arquivos maliciosos gravados no disco e alterações feitas pelo atacante;
    • Caso seja necessário siga com os procedimentos de restauração:
      • Necessário avaliar a aplicação de backups, snapshots ou restauração de imagem.

Recomendações para prevenção a este tipo de ameaça:

  • Utilização de um bom software EDR.

Recomendados a utilização dos seguintes mecanismos para detecção desta ameaça nas regras do seu SIEM ou EDR:

Detecção 1:

WMIexec & SMBexec (Impacket)

Importante na configuração do SIEM habilitar o Sysmon para detecção desta técnica em seu ambiente.

Event ID equals ‘1’ (Process Creation)
&&
Parent Process Name equals ‘wmiprvse.exe’
&&
Process Name equals ‘cmd.exe’
&&
CommandLine contains all of  ‘cmd.exe’ and ‘/Q /c’ and ‘\127.0.0.1’

Detecção 2:

Alto volume de conexões na porta 445 (Bloodhound)

Esta regra é mais complexa, pois é preciso identificar qual o baseline de conexões em seu ambiente, sendo assim, não vamos especificar uma lógica para esta detecção, pois seu Threshold pode variar para cada ambiente.

Sugestões para aplicação do monitoramento:

  • Analisar o comportamento do ambiente em comunicações na porta 445. Podemos utilizar os flows de rede ou os eventos de tráfego do seu Firewall para isto;
  • Testar a execução do Bloodhound em seu ambiente para identificar como os logs vão reagir a sua execução. Esta tarefa pode ser realizada juntamente com o seu time de Red Team;
  • Após os testes, identifique seu baseline e implemente o seu monitoramento e o acompanhe para minimizar os potenciais falsos-positivos.

Detecção 3:

Mimikatz DCSync

O Mimikatz pode ser utilizado para realizar o Dump de credenciais no domínio a partir do recurso de DCSync.

Event ID equals ‘4662’
&&
Properties contains any of [1131f6aa-9c07-11d1-f79f-00c04fc2dcd2 or 9923a32a-3607-11d2-b9be-0000f87a36b2 or 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2]
&&
Username does NOT contains [‘$’ or ‘MSOL’]

Pontos importantes antes de implementar este caso de uso:

  • Verificar se o seu Active Directory está gerando logs do Event ID 4662;
  • Verificar possíveis DCSyncs legítimos que são executados no ambiente.
    • Exemplo: O Azure Active Directory utiliza um usuário “MSOL_XXXX” para integração com o ambiente.

Detecção 4:

Uma última detecção baseada em IOC é identificar execuções das ferramentas diretamente nos servidores. Esta não é uma prática muito comum por malwares avançados, pois é muito “barulhento” e fácil de ser detectado.

Contudo, ainda sim é importante criar monitoramentos do tipo:

Process Name equals “mimikatz.exe” or “bloodhound.exe”