Američka vlada je ažurirala listu alata koje AvosLocker ransomware podružnice koriste u napadima kako bi uključila uslužne programe otvorenog koda zajedno sa prilagođenim PowerShell-om i batch skriptama.
U zajedničkoj objavi o kibernetičkoj bezbjednosti, Federalni istražni biro (FBI) i Agencija za kibernetičku sigurnost i infrastrukturnu sigurnost (CISA) također dijele YARA pravilo za otkrivanje malvera pod maskom legitimnog alata za praćenje mreže.
Miješanje otvorenog koda i legitimnog softvera
Poznato je da podružnice AvosLocker ransomware-a koriste legitiman softver i otvoreni kod za udaljenu administraciju sistema kako bi kompromitovali i eksfiltrirali podatke iz poslovnih mreža.
FBI je posmatrao hakere koji koriste prilagođene PowerShell, web shell i batch skripte da se kreću lateralno po mreži, povećaju svoje privilegije i da onemoguće bezbjednosne agente na sistemima.
U ažuriranoj objavi, agencije dijele sljedeće alate kao dio arsenala AvosLocker ransomware podružnica:
- Splashtop Streamer, Tactical RMM, PuTTy, AnyDesk, PDQ Deploy, Atera Agent alati za daljinsku administraciju za backdoor pristup
- Uslužni programi za tuneliranje mreže otvorenog koda: Ligolo, Chisel
- Okviri za emulaciju protivnika Cobalt Strike i Sliver za komandu i kontrolu
- Lazagne i Mimikatz za prikupljanje kredencijala
- FileZilla i Rclone za eksfiltraciju podataka
Dodatni javno dostupni alati uočeni u AvosLocker napadima uključuju Notepad++, RDP Scanner i 7zip. Viđeni su i legitimni izvorni Windows alati poput PsExec i Nltest.
Još jedna komponenta AvosLocker napada je malver pod nazivom NetMonitor.exe, koji se predstavlja kao legitiman proces i „ima izgled legitimnog alata za praćenje mreže“.
Međutim, NetMonitor je alat za postojanost koji dolazi iz mreže svakih pet minuta i djeluje kao obrnuti proxy koji omogućava hakerima da se daljinski povežu na kompromitovanu mrežu.
Koristeći detalje iz istrage „napredne grupe za digitalnu forenziku“, FBI je kreirao YARA pravilo u nastavku za otkrivanje NetMonitor malvera na mreži.
rule NetMonitor
{
meta:
author = "FBI"
source = "FBI"
sharing = "TLP:CLEAR"
status = "RELEASED"
description = "Yara rule to detect NetMonitor.exe"
category = "MALWARE"
creation_date = "2023-05-05"
strings:
$rc4key = {11 4b 8c dd 65 74 22 c3}
$op0 = {c6 [3] 00 00 05 c6 [3] 00 00 07 83 [3] 00 00 05 0f 85 [4] 83 [3] 00 00 01 75 ?? 8b [2] 4c 8d [2] 4c 8d [3] 00 00 48 8d [3] 00 00 48 8d [3] 00 00 48 89 [3] 48 89 ?? e8}
condition:
uint16(0) == 0x5A4D
and filesize < 50000
and any of them
}“AvosLocker filijale su kompromitovale organizacije u više sektora kritične infrastrukture u Sjedinjenim Državama, utičući na Windows, Linux i VMware ESXi okruženja” – FBI i CISA
Odbrana od AvosLocker ransomware-a
CISA i FBI preporučuju organizacijama da implementiraju mehanizme kontrole aplikacija za kontrolu izvršavanja softvera, uključujući dozvoljene programe, kao i da spriječe pokretanje prenosivih verzija neovlaštenih uslužnih programa, posebno alata za daljinski pristup.
Dio najboljih praksi za odbranu od hakera su ograničenja za korištenje usluga udaljene radne površine, kao što je RDP, ograničavanjem broja pokušaja prijave i implementacijom višefaktorske autentifikacije otporne na phishing (MFA).
Primjena principa najmanjih privilegija također je dio preporuka, a organizacije bi trebale onemogućiti komandnu liniju, skriptiranje i korištenje PowerShell-a za korisnike kojima isti nisu potrebni za svoj posao.
Održavanje softvera i koda ažuriranim na najnoviju verziju, korištenje dužih lozinki, njihovo pohranjivanje u hashiranom formatu i njihovo “soljenje” ako se prijave dijele, te segmentiranje mreže, ostaju stalne preporuke stručnjaka za sigurnost.
Trenutnu objavu o kibernetičkoj bezbjednosti dopunjuju informacije date u prethodno objavljenoj sredinom marta, u kojem se navodi da su neki AvosLocker ransomware napadi iskoristili ranjivosti na lokalnim Microsoft Exchange serverima.
Izvor: BleepingComputer