Site icon Kiber.ba

FBI dijeli tehničke detalje AvosLocker ransomwarea kao i savjete za odbranu

FBI dijeli tehničke detalje AvosLocker ransomwarea i savjete za odbranu - Kiber.ba

FBI dijeli tehničke detalje AvosLocker ransomwarea i savjete za odbranu - Kiber.ba

Američka vlada je ažurirala listu alata koje AvosLocker ransomware podružnice koriste u napadima kako bi uključila uslužne programe otvorenog koda zajedno sa prilagođenim PowerShell-om i batch skriptama.

U zajedničkoj objavi o kibernetičkoj bezbjednosti, Federalni istražni biro (FBI) i Agencija za kibernetičku sigurnost i infrastrukturnu sigurnost (CISA) također dijele YARA pravilo za otkrivanje malvera pod maskom legitimnog alata za praćenje mreže.

Miješanje otvorenog koda i legitimnog softvera

Poznato je da podružnice AvosLocker ransomware-a koriste legitiman softver i otvoreni kod za udaljenu administraciju sistema kako bi kompromitovali i eksfiltrirali podatke iz poslovnih mreža.

FBI je posmatrao hakere koji koriste prilagođene PowerShell, web shell i batch skripte da se kreću lateralno po mreži, povećaju svoje privilegije i da onemoguće bezbjednosne agente na sistemima.

U ažuriranoj objavi, agencije dijele sljedeće alate kao dio arsenala AvosLocker ransomware podružnica:

Dodatni javno dostupni alati uočeni u AvosLocker napadima uključuju Notepad++, RDP Scanner i 7zip. Viđeni su i legitimni izvorni Windows alati poput PsExec i Nltest.

Još jedna komponenta AvosLocker napada je malver pod nazivom NetMonitor.exe, koji se predstavlja kao legitiman proces i „ima izgled legitimnog alata za praćenje mreže“.

Međutim, NetMonitor je alat za postojanost koji dolazi iz mreže svakih pet minuta i djeluje kao obrnuti proxy koji omogućava hakerima da se daljinski povežu na kompromitovanu mrežu.

Koristeći detalje iz istrage „napredne grupe za digitalnu forenziku“, FBI je kreirao YARA pravilo u nastavku za otkrivanje NetMonitor malvera na mreži.

rule NetMonitor 
{
  meta:
    author = "FBI"
    source = "FBI"
    sharing = "TLP:CLEAR"
    status = "RELEASED"
    description = "Yara rule to detect NetMonitor.exe"
    category = "MALWARE"
    creation_date = "2023-05-05"
  strings:
    $rc4key = {11 4b 8c dd 65 74 22 c3}
    $op0 = {c6 [3] 00 00 05 c6 [3] 00 00 07 83 [3] 00 00 05 0f 85 [4] 83 [3] 00 00 01 75 ?? 8b [2] 4c 8d [2] 4c 8d [3] 00 00 48 8d [3] 00 00 48 8d [3] 00 00 48 89 [3] 48 89 ?? e8}
  condition:
    uint16(0) == 0x5A4D
    and filesize < 50000
    and any of them
}

“AvosLocker filijale su kompromitovale organizacije u više sektora kritične infrastrukture u Sjedinjenim Državama, utičući na Windows, Linux i VMware ESXi okruženja” – FBI i CISA

Odbrana od AvosLocker ransomware-a

CISA i FBI preporučuju organizacijama da implementiraju mehanizme kontrole aplikacija za kontrolu izvršavanja softvera, uključujući dozvoljene programe, kao i da spriječe pokretanje prenosivih verzija neovlaštenih uslužnih programa, posebno alata za daljinski pristup.

Dio najboljih praksi za odbranu od hakera su ograničenja za korištenje usluga udaljene radne površine, kao što je RDP, ograničavanjem broja pokušaja prijave i implementacijom višefaktorske autentifikacije otporne na phishing (MFA).

Primjena principa najmanjih privilegija također je dio preporuka, a organizacije bi trebale onemogućiti komandnu liniju, skriptiranje i korištenje PowerShell-a za korisnike kojima isti nisu potrebni za svoj posao.

Održavanje softvera i koda ažuriranim na najnoviju verziju, korištenje dužih lozinki, njihovo pohranjivanje u hashiranom formatu i njihovo “soljenje” ako se prijave dijele, te segmentiranje mreže, ostaju stalne preporuke stručnjaka za sigurnost.

Trenutnu objavu o kibernetičkoj bezbjednosti dopunjuju informacije date u prethodno objavljenoj sredinom marta, u kojem se navodi da su neki AvosLocker ransomware napadi iskoristili ranjivosti na lokalnim Microsoft Exchange serverima.

Izvor: BleepingComputer

Exit mobile version