Yaakov's Group | Ciberseguridad

Agencia federal comprometida por actor cibernético malicioso

Comparte este post en tus redes sociales

Informe de análisis (AR20-268A)
Agencia federal comprometida por actor cibernético malicioso

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) respondió al reciente ciberataque de un actor de amenazas en la red empresarial de una agencia federal. Al aprovechar las credenciales comprometidas, el actor de la amenaza cibernética implantó malware sofisticado, incluido el malware de varias etapas que eludió la protección antimalware de la agencia afectada, y obtuvo acceso persistente a través de dos proxies Socket Secure (SOCKS) inversos que explotaban las debilidades del firewall de la agencia.

Descripción
CISA se dio cuenta, a través de EINSTEIN, el sistema de detección de intrusos de CISA que monitorea las redes civiles federales, de un potencial compromiso de la red de una agencia federal. En coordinación con la agencia afectada, CISA llevó a cabo un compromiso de respuesta a incidentes, confirmando la actividad maliciosa. La siguiente información se deriva exclusivamente del compromiso de respuesta a incidentes y proporciona las tácticas, técnicas y procedimientos del actor de amenazas, así como indicadores de compromiso que CISA observó como parte del compromiso.

Actividad del actor de amenazas
El actor de la amenaza cibernética tenía credenciales de acceso válidas para cuentas de administrador de dominio y cuentas de Microsoft Office 365 (O365) de varios usuarios, que aprovecharon para el acceso inicial [TA0001] a la red de la agencia (cuentas válidas [T1078]). Primero, el actor de amenazas inició sesión en la cuenta O365 de un usuario desde la dirección de Protocolo de Internet (IP) 91.219.236 [.] 166 y luego buscó páginas en un sitio de SharePoint y descargó un archivo (Datos de repositorios de información: SharePoint [T1213.002]). El actor de la amenaza cibernética se conectó varias veces mediante el Protocolo de control de transmisión (TCP) desde la dirección IP 185.86.151 [.] 223 al servidor de red privada virtual (VPN) de la organización víctima (Exploit Public-Facing Application [T1190]).

Los analistas de CISA no pudieron determinar cómo el actor de amenazas cibernéticas obtuvo inicialmente las credenciales. Es posible que el actor cibernético haya obtenido las credenciales de un servidor VPN de agencia sin parches al explotar una vulnerabilidad conocida — CVE-2019-11510 — en Pulse Secure (Explotación para acceso de credenciales [T1212]). En abril de 2019, Pulse Secure lanzó parches para varias vulnerabilidades críticas, incluida CVE-2019-11510, que permite la recuperación remota y no autenticada de archivos, incluidas las contraseñas. [1] CISA ha observado una amplia explotación de CVE-2019-11510 en todo el gobierno federal. [2]

Después del acceso inicial, el actor de amenazas realizó Discovery [TA0007] iniciando sesión en una cuenta de correo electrónico de O365 de la agencia desde 91.219.236 [.] 166 y viendo y descargando archivos adjuntos de correo electrónico de la mesa de ayuda con «Acceso a la intranet» y «Contraseñas de VPN» en la línea de asunto. , a pesar de tener acceso privilegiado (Colección de correo electrónico [T1114], Credenciales no seguras: Credenciales en archivos [T1552.001]). (Nota: estos correos electrónicos no contenían contraseñas). El actor inició sesión en la misma cuenta de correo electrónico a través del Protocolo de escritorio remoto (RDP) desde la dirección IP 207.220.1 [.] 3 (Servicios remotos externos [T1133]). El actor enumeró la clave de la directiva de grupo y de Active Directory y cambió una clave de registro para la directiva de grupo (manipulación de cuentas [T1098]). Inmediatamente después, el actor de amenazas usó procesos comunes de línea de comandos de Microsoft Windows (conhost, ipconfig, net, query, netstat, ping y whoami, plink.exe) para enumerar el sistema y la red comprometidos (Command and Scripting Interpreter [T1059], System Descubrimiento de configuración de red [T1016]).

El actor de la amenaza cibernética intentó varias veces conectarse al servidor privado virtual (VPS) IP 185.86.151 [.] 223 a través de un cliente de Windows Server Message Block (SMB). Aunque se conectaron y desconectaron varias veces, las conexiones finalmente tuvieron éxito. Durante el mismo período, el actor utilizó un alias de cuenta de identificador seguro que había creado previamente para iniciar sesión en VPS 185.86.151 [.] 223 a través de un recurso compartido SMB. El atacante luego ejecutó plink.exe en un servidor de archivos de la víctima (Command and Scripting Interpreter [T1059]). (plink.exe es una versión de línea de comandos de PuTTy que se utiliza para la administración remota).

El actor de amenazas cibernéticas estableció Persistencia [TA0003] y Comando y Control [TA0011] en la red de la víctima al (1) crear un túnel / proxy SOCKS inverso de Secure Socket Shell (SSH) persistente, (2) ejecutar inetinfo.exe (un único, malware de varias etapas utilizado para eliminar archivos) y (3) configurar un recurso compartido remoto montado localmente en la dirección IP 78.27.70 [.] 237 (Proxy [T1090]). El recurso compartido de archivos montado permitió al actor moverse libremente durante sus operaciones y dejar menos artefactos para el análisis forense. Consulte la sección Malware de actor de amenazas para obtener más información sobre el túnel SSH / proxy SOCKS inverso e inetinfo.exe.

El actor de ciberamenazas creó una cuenta local, que utilizó para la recopilación de datos [TA0009], la filtración [TA0010], la persistencia [TA0003] y el comando y control [TA0011] (Crear cuenta [T1136]). El actor de la ciberamenaza utilizó la cuenta local para:

Busque directorios en un servidor de archivos de la víctima (Datos de la unidad de red compartida [T1039]).
Copie un archivo desde el directorio de inicio de un usuario a su recurso compartido remoto montado localmente (Data Staged [T1074]).
Los analistas de CISA detectaron que el actor de amenazas cibernéticas interactuaba con otros archivos en los directorios de inicio de los usuarios, pero no pudieron confirmar si fueron exfiltrados.
Cree un proxy SMB SOCKS inverso que permitiera la conexión entre un VPS controlado por un actor de amenazas cibernéticas y el servidor de archivos de la organización víctima (consulte la sección Malware del actor de amenazas para obtener más información) (Proxy [T1090]).
Interactúe con el módulo de PowerShell Invoke-TmpDavFS.psm (consulte la sección Malware de actor de amenazas para obtener más información).
Extraiga datos de un directorio de cuentas y un directorio de servidor de archivos usando tsclient (tsclient es un cliente de Microsoft Windows Terminal Services) (datos del sistema local [T1005], datos de la unidad compartida de red [T1039]).
Cree dos archivos Zip comprimidos con varios archivos y directorios (Archivar datos recopilados [T1560]); Es probable que el actor de la amenaza cibernética haya exfiltrado estos archivos Zip, pero esto no se puede confirmar porque el actor enmascaró su actividad.

Malware de actor de amenazas
Túnel SSH persistente / proxy SOCKS inverso
Mientras estaba conectado como «Administrador», el actor de la amenaza cibernética creó dos tareas programadas (consulte la tabla 1) que funcionaron en conjunto para establecer un túnel SSH persistente y un proxy SOCKS inverso. El proxy permitía conexiones entre un servidor remoto controlado por un atacante y uno de los servidores de archivos de la organización víctima (Tarea / Trabajo programado [T1053], Proxy [T1090]). El proxy SOCKS inverso se comunicó a través del puerto 8100 (puerto no estándar [T1571]). Este puerto normalmente está cerrado, pero el malware del atacante lo abrió.

Dropper Malware: inetinfo.exe
El actor de amenazas creó una Tarea programada para ejecutar inetinfo.exe (Tarea programada / Trabajo [T1053]). inetinfo.exe es un malware único de varias etapas que se utiliza para eliminar archivos (figura 2). Eliminó los archivos system.dll y 363691858 y una segunda instancia de inetinfo.exe. El system.dll de la segunda instancia de inetinfo.exe descifró 363691858 como binario de la primera instancia de inetinfo.exe. El binario 363691858 descifrado se inyectó en la segunda instancia de inetinfo.exe para crear y conectarse a un túnel con nombre local. El binario inyectado luego ejecutó el código de shell en la memoria que se conectó a la dirección IP 185.142.236 [.] 198, lo que resultó en la descarga y ejecución de una carga útil.

El actor de la amenaza cibernética pudo superar la protección antimalware de la agencia e inetinfo.exe escapó de la cuarentena. Los analistas de CISA determinaron que el actor de la amenaza cibernética accedió a la clave de licencia del software y la guía de instalación del producto anti-malware y luego visitó un directorio utilizado por el producto para el análisis de archivos temporales. Después de acceder a este directorio, el actor de amenazas cibernéticas pudo ejecutar inetinfo.exe (Impedir defensas: Desactivar o modificar herramientas [T1562.001]).

Proxy inverso SMB SOCKS
La secuencia de comandos de PowerShell HardwareEnumeration.ps1 creó un proxy SMB SOCKS inverso que permitió la conexión entre el VPS IP 185.193.127 [.] 18 controlado por el atacante y el servidor de archivos de la organización víctima a través del puerto 443 (Intérprete de comandos y secuencias de comandos: Power Shell [T1059.001], Proxy [T1090]). El script de PowerShell HardwareEnumeration.ps1 se ejecutó diariamente a través de una Tarea programada (Tarea programada / Trabajo [T1053]).

HardwareEnumeration.ps1 es una copia de Invoke-SocksProxy.ps1, una herramienta gratuita creada y distribuida por un investigador de seguridad en GitHub. [3] Invoke-SocksProxy.ps1 crea un proxy inverso desde la máquina local a la infraestructura del atacante a través del puerto SMB TCP 445 (puerto no estándar [T1571]). Es probable que el guión se haya modificado con las necesidades de configuración del actor de amenazas cibernéticas.

Módulo de PowerShell: invoke-TmpDavFS.psm
invoke-TmpDavFS.psm es un módulo de PowerShell que crea un servidor Web Distributed Authoring and Versioning (WebDAV) que se puede montar como un sistema de archivos y se comunica a través del puerto TCP 443 y el puerto TCP 80. invoke-TmpDavFS.psm se distribuye en GitHub.

Solución
Indicadores de compromiso
Los analistas de CISA identificaron varias direcciones IP involucradas en las múltiples etapas del ataque descrito.

185.86.151 [.] 223 – Mando y Control (C2)
91.219.236 [.] 166 – C2
207.220.1 [.] 3 – C2
78.27.70 [.] 237 – Exfiltración de datos
185.193.127 [.] 18 – Persistencia
Supervisar el tráfico de red para detectar actividad inusual
CISA recomienda que las organizaciones monitoreen el tráfico de la red para detectar la siguiente actividad inusual.

Puertos abiertos inusuales (por ejemplo, puerto 8100)
Grandes archivos salientes
Protocolos inesperados y no aprobados, especialmente salientes a Internet (por ejemplo, SSH, SMB, RDP)
Si los defensores de la red notan alguna de las actividades anteriores, deben investigar.

Prevención
CISA recomienda que las organizaciones implementen las siguientes recomendaciones para protegerse contra la actividad identificada en este informe.

Implementar un firewall empresarial
Las organizaciones deben implementar un firewall empresarial para controlar lo que está permitido dentro y fuera de su red.

Si la organización elige no implementar un firewall empresarial, debe trabajar con su proveedor de servicios de Internet para asegurarse de que el firewall esté configurado correctamente.

Bloquear puertos no utilizados
Las organizaciones deben realizar una encuesta del tráfico dentro y fuera de su empresa para determinar los puertos necesarios para las funciones organizativas. Luego deben configurar su firewall para bloquear puertos innecesarios. La organización debe desarrollar un proceso de control de cambios para realizar cambios de control en esas reglas. Cabe destacar que los puertos SMB, SSH y FTP que no se utilicen deben bloquearse.

Recomendaciones adicionales
CISA recomienda que las organizaciones implementen las siguientes mejores prácticas.

Implemente la autenticación de múltiples factores, especialmente para cuentas privilegiadas.
Utilice cuentas administrativas independientes en estaciones de trabajo de administración independientes.
Implementar el principio de privilegio mínimo en el acceso a los datos.
Asegure RDP y otras soluciones de acceso remoto utilizando autenticación multifactor y «cajas de salto» para el acceso.
Implemente y mantenga herramientas de defensa de endpoints en todos los endpoints.
Mantenga el software actualizado.

Fuente: CISA