Обнаружение Каракурта – злоумышленник, ориентированный на вымогательство | Блог NCC Group Research
Это исследование было проведено Саймоном Биггсом , Ричардом Футманом и Майклом Малленом автором из Группы реагирования на кибер-инциденты NCC Group. Вы можете найти больше здесь Реагирование на инциденты — NCC Group
tl;dr
Группа реагирования на кибер-инциденты (CIRT) NCC Group недавно отреагировала на несколько случаев вымогательства с участием злоумышленника Каракурта.
В ходе этих расследований группа NCC Group CIRT выявила некоторые ключевые индикаторы того, что злоумышленник взломал среду, и мы делимся этой информацией, чтобы помочь сообществу киберзащиты.
Считается, что может быть небольшое окно, чтобы отреагировать на необнаруженный взлом Karakurt до того, как произойдет эксфильтрация данных, и мы настоятельно рекомендуем всем организациям, использующим однофакторный доступ Fortinet VPN, использовать информацию из раздела обнаружения этого блога для определить, не были ли они нарушены.
Первоначальный доступ
Во всех расследованных случаях Karakurt нацеливался на однофакторные серверы Fortigate Virtual Private Network (VPN).
Было замечено, что доступ осуществлялся с использованием законных учетных данных Active Directory для среды жертвы.
Типичное время ожидания (время от доступа злоумышленника до обнаружения) составляет чуть более месяца, отчасти из-за того, что группа не шифрует свои жертвы и использует методы «жизни за счет земли», чтобы оставаться незамеченным, не используя ничего, признанного вредоносным ПО.
Неясно, как эти учетные данные были получены на данном этапе, когда рассматриваемые VPN-серверы не уязвимы для широко известных уязвимостей Fortigate, которым уделялось внимание в течение последних нескольких лет.
NCC Group настоятельно рекомендует всем организациям, использующим однофакторную аутентификацию в Fortigate VPN, выполнить поиск индикаторов компрометации, подробно описанных в конце этого блога.
Повышение привилегий
Каракурты получили доступ к привилегиям уровня администратора домена во всех исследованных случаях, но метод повышения привилегий еще точно не определен.
В одном случае попытки использования CVE-2020-1472, также известной как Zerologon, были обнаружены программным обеспечением безопасности. Фактическая среда не была уязвима для Zerologon, однако это указывает на то, что Karakurt может пытаться использовать ряд уязвимостей в рамках своей работы.
Боковое перемещение
Затем было замечено, что Karakurt перемещается вбок на основной контроллер домена своей жертвы с помощью инструмента Sysinternals PsExec, который обеспечивает множество удаленных функций.
Каракурт также использовал протокол удаленного рабочего стола (RDP) для перемещения по средам жертв.
Обнаружение
После того, как Каракурт получит доступ к основному контроллеру домена, он проведет ряд действий по обнаружению, собирая информацию о самом контроллере домена, а также о более широком домене.
Один конкретный метод включает создание экспорта зоны DNS с помощью команды Encoded PowerShell.
Эта команда оставляет ряд индикаторов в журнале событий службы Microsoft-Windows-DNS-Server-Service в форме идентификатора события 3150, DNS_EVENT_ZONE_WRITE_COMPLETED.
Этот журнал интересен как индикатор, поскольку он присутствовал во всех боях с Каракуртом, расследованных NCC Group CIRT, и во всех случаях эти события были вызваны только тем, что Каракурт выполнял экспорт зоны. Это было сделано на самом раннем этапе взлома, сразу после первоначального доступа и до того, как произошла эксфильтрация данных, что обычно происходило через две недели после первоначального доступа.
Это действие также сопровождается извлечением файла NTDS.dit, который, как считается, использовался Karakurt для получения дополнительных учетных данных в качестве средства сохранения в среде, если учетная запись, с которой они первоначально получили доступ, будет отключена.
Об этом свидетельствует наличие журналов, показывающих использование службы теневого тома.
NCC Group CIRT настоятельно рекомендует всем организациям, использующим однофакторный доступ Fortinet VPN, проверять журналы своих контроллеров домена Microsoft-Windows-DNS-Server на наличие события с идентификатором 3150. Если это присутствует в какой-либо момент с декабря, это вполне может быть индикатор пробития Каракуртом.
Подготовка данных
После завершения действий по обнаружению Каракурт покинул среду перед повторным входом и идентификацией серверов с доступом к конфиденциальным данным жертвы в общих файловых ресурсах. После того, как такой сервер был идентифицирован, был использован вторичный механизм сохранения в виде программного обеспечения для удаленного рабочего стола AnyDesk, позволяющего получить доступ к Каракурту, даже если доступ к VPN был удален.
На том же сервере, на котором установлен AnyDesk, был обнаружен Karakurt при просмотре локальных папок на сервере и в общих файловых ресурсах.
После этого на сервере были созданы архивы 7-Zip.
В расследуемых случаях не было журналов брандмауэра или других доказательств, подтверждающих, что данные были затем украдены, но на основании утверждений Каракурта вместе с текстовым файлом дерева файлов, предоставленным в качестве доказательства, существует твердое мнение, что данные были украдены во всех дела расследованы.
Подозревается, что Karakurt использует Rclone для передачи данных поставщикам облачных хостингов. Этот метод обсуждался в предыдущем блоге NCC Group «Обнаружение Rclone — эффективный инструмент для эксфильтрации»
Смягчение последствий
- Чтобы немедленно устранить угрозу, для доступа к VPN с помощью Fortinet VPN должна быть реализована многофакторная аутентификация.
- Убедитесь, что все контроллеры домена полностью исправлены, и установите исправления для критических уязвимостей в целом.
Обнаружение
- Найдите доказательства аутентификации хостов из пула VPN с соглашением об именах, используемым по умолчанию для хостов Windows, например DESKTOP-XXXXXX.
