El ransomware Phobos se ha convertido en una preocupación creciente debido a sus tácticas dirigidas a gobiernos estatales y territoriales. El grupo de ransomware compromete los puntos finales de Windows utilizando el phishing como método principal para obtener la entrada inicial, implementando cargas útiles encubiertas como SmokeLoader y Cobalt Strike. Además, los atacantes explotan las redes vulnerables mediante el escaneo y la fuerza bruta de los servicios abiertos de Protocolo de escritorio remoto (RDP) para implementar el ransomware Phobos.
Phobos ransomware opera estableciendo persistencia en los sistemas, aprovechando técnicas de inyección de procesos para ejecutar código malicioso y evadir la detección. También modifica el Registro de Windows para mantener la persistencia dentro de entornos comprometidos.
Esta publicación de blog explora cómo usar Wazuh para detectar y responder a los ataques de ransomware Phobos en terminales de Windows.
Comportamiento del ransomware Phobos
Phobos ransomware muestra varios comportamientos cuando infecta un terminal de Windows. Estos comportamientos incluyen lo siguiente:
- Se replica a sí mismo en una ubicación oculta del sistema en el
%AppData%
directorioC:\Users\*\AppData\Local\phobos.exe
. - Phobos ransomware se coloca en la carpeta Inicio y agrega claves de registro para persistencia.
- El ransomware desactiva el firewall del sistema mediante el
netsh
símbolo del sistema:
- Utiliza los
vssadmin
comandoswmic
, ywbadmin
para eliminar instantáneas de volumen y catálogos, evitando así que sus víctimas recuperen sus archivos cifrados.
- Modifica el registro de arranque e impide la capacidad de recuperación del sistema mediante el
bcdedit
comando.
- Utiliza el binario nativo de Windows
mshta.exe
para mostrar la nota de rescate a las víctimas.
Archivo IoC analizado
Infraestructura
Utilizamos la siguiente infraestructura para demostrar la detección del ransomware Phobos con Wazuh,
- Un Wazuh OVA 4.7.3 prediseñado y listo para usar. Siga esta guía para descargar la máquina virtual.
- Un punto final de víctima de Windows 11 con el agente Wazuh 4.7.3 instalado e inscrito en el servidor Wazuh. Consulte la guía de instalación para instalar el agente Wazuh.
Detección con Wazuh
Utilizamos las siguientes técnicas para detectar el ransomware Phobos en el punto final de Windows infectado:
- Uso de reglas de detección para detectar las actividades del ransomware Phobos.
- Usar la capacidad de respuesta a incidentes para escanear y eliminar archivos con patrones maliciosos.
Reglas de detección
Usamos Sysmon para monitorear varios eventos del sistema en el punto final de Windows y crear reglas en el servidor Wazuh para detectar las actividades maliciosas del ransomware Phobos.
Punto final de Windows
Realice los siguientes pasos para configurar el agente Wazuh para capturar y enviar registros de Sysmon al servidor Wazuh para su análisis.
1. Descargue Sysmon desde la página de Microsoft Sysinternals .
2. Usando Powershell con privilegios de administrador, cree una Sysmon
carpeta en la C:\
carpeta del punto final:
3. Extraiga el archivo Sysmon comprimido a la carpeta creada anteriormente C:\Sysmon
.
Reemplace <PATH>
con la ruta donde Sysmon.zip
se descargó.
4. Descargue el archivo de configuración de Sysmon – sysmonconfig.xml para C:\Sysmon
usar el siguiente comando de Powershell:
5. Cambie al directorio con el ejecutable de Sysmon y ejecute el siguiente comando para instalar e iniciar Sysmon usando PowerShell con privilegios de administrador:
6. Agregue la siguiente configuración dentro del <ossec_config>
bloque del C:\Program Files (x86)\ossec-agent\ossec.conf
archivo:
7. Reinicie el agente Wazuh para aplicar los cambios de configuración ejecutando el siguiente comando de PowerShell como administrador:
servidor wazuh
Creamos reglas personalizadas para generar alertas cuando se detectan actividades de ransomware Phobos en el punto final de Windows. Realice los siguientes pasos para crear reglas de detección en el servidor Wazuh.
1. Cree un archivo de reglas personalizado phobos_ransomware_rules.xml
en /var/ossec/etc/rules/ directory
:
2. Agregue las reglas personalizadas para el ransomware Phobos a continuación a /var/ossec/etc/rules/phobos_ransomware_rules.xml
:
A continuación se muestra la lista de ID de reglas que se activan cuando se detecta actividad asociada con el ransomware Phobos:
- El ID de regla
100201
se activa cuando el ransomware crea una copia de sí mismo en el%APPDATA%
directorio. - El ID de regla
100202
se activa cuando se agrega una nueva clave de ejecución al registro. - El ID de regla
100203
se activa cuando se agrega un archivo ejecutable a la carpeta de inicio. - La ID de regla
100204
se activa cuando el ransomware desactiva el firewall de Windows. - Los ID de las reglas
100205
se100206
activan cuando las instantáneas se eliminan en el punto final de la víctima. - El ID de regla
100207
se activa cuando se modifica la política de estado de inicio. - El ID de regla
100208
se activa cuando la recuperación del sistema en el endpoint está deshabilitada. - El ID de regla
100209
se activa cuando se elimina el catálogo de copias de seguridad del sistema. - El ID de regla
100210
se activa cuando hay cambios en la extensión del archivo en el punto final de Windows después del cifrado.
3. Reinicie el servidor Wazuh para que los cambios surtan efecto:
Resultados de la detección
La siguiente captura de pantalla muestra las alertas generadas en el panel de Wazuh cuando se ejecuta el ransomware Phobos en el punto final de Windows de la víctima. Desde la pestaña Módulos en su panel de Wazuh, haga clic en Agentes para seleccionar el punto final de Windows, luego seleccione la pestaña Eventos de seguridad para ver las alertas generadas.
Detectar y eliminar Phobos ransomware con VirusTotal y Active Response
VirusTotal es una plataforma que proporciona una API que puede detectar amenazas a la seguridad consultándola con URL, direcciones IP, dominios o hashes de archivos. Puede configurar Wazuh para enviar automáticamente solicitudes a la API de VirusTotal con los hashes de los archivos creados o modificados en el punto final monitoreado.
Configuramos el módulo de monitoreo de integridad de archivos Wazuh y VirusTotal para detectar y escanear archivos que se agregan o modifican en directorios específicos en el endpoint de Windows. Además, configuramos el módulo de respuesta activa de Wazuh para eliminar cualquier archivo que VirusTotal haya identificado como malicioso.
Punto final de Windows
Configure el módulo Wazuh FIM y cree un script de respuesta activa siguiendo los pasos a continuación.
Configurando el módulo FIM
1. Para monitorear la intrusión del archivo de ransomware Phobos, agregue la siguiente configuración al C:\Program Files (x86)\ossec-agent\ossec.conf
archivo. En nuestro caso configuramos el módulo FIM para monitorear la Downloads
carpeta:
2. Reinicie el agente Wazuh para aplicar los cambios ejecutando el siguiente comando de PowerShell como administrador:
Configuración del script Python de respuesta activa
Creamos un script de respuesta activa para eliminar el ransomware Phobos cuando VirusTotal lo identifica como una amenaza.
1. Descargue la última versión de Python y ejecute el instalador. Seleccione las casillas de verificación Usar privilegios de administrador al instalar py.exe y Agregar Python.exe a la RUTA en el cuadro de diálogo del instalador.
2. Ejecute el siguiente comando con privilegios administrativos para instalar Pyinstaller a través del símbolo del sistema:
3. Cree un script de respuesta activo remove-threat.py
en el terminal de Windows con el siguiente contenido:
La os.remove()
función en el script Python de respuesta activa maneja la eliminación del archivo malicioso:
4. Convierta el script de Python remove-threat.py
en un archivo ejecutable ejecutando el siguiente comando:
5. Mueva el archivo ejecutable remove-threat.exe
de la \dist
carpeta bajo su directorio de trabajo actual a C:\Program Files (x86)\ossec-agent\active-response\bin
.
6. Reinicie el agente Wazuh para aplicar los cambios ejecutando el siguiente comando de PowerShell como administrador:
Servidor wazuh
Configuramos VirusTotal para escanear los archivos monitoreados por el punto final de Windows contra motores de malware públicos en busca de comportamiento malicioso. En consecuencia, configuramos el módulo de respuesta activa de Wazuh para ejecutar automáticamente el ejecutable de Python cuando VirusTotal marca los archivos escaneados como maliciosos.
Configuración de VirusTotal
1. Agregue la siguiente configuración al /var/ossec/etc/ossec.conf
archivo para escanear los archivos con VirusTotal:
Nota: Reemplace <API_KEY>
con su clave API de VirusTotal
Configuración de respuesta activa
1. Agregue la siguiente configuración al /var/ossec/etc/ossec.conf
archivo:
2. Agregue las siguientes reglas al /var/ossec/etc/rules/local_rules.xml
archivo para generar alertas cuando el módulo de respuesta activa elimine con éxito los archivos maliciosos o no.
Dónde:
- Rule ID
200201
genera una alerta cuando el módulo de respuesta activo elimina con éxito la amenaza. - Rule ID
200202
genera una alerta cuando el módulo de respuesta activo no logra eliminar la amenaza.
3. Reinicie el administrador de Wazuh para aplicar los cambios de configuración:
Resultado de respuesta activa
Se agrega una variante del ransomware Phobos a la Download
carpeta del terminal de Windows para probar la configuración. La siguiente captura de pantalla muestra el monitoreo de la integridad del archivo y las alertas de respuesta activa en el panel de Wazuh.
Conclusión
En esta publicación de blog, mostramos cómo detectar y responder al ransomware Phobos en un endpoint de Windows con Wazuh. Utilizamos la integración de Sysmon para enriquecer los registros de eventos de Windows desde el punto final de la víctima y luego creamos reglas para detectar actividades maliciosas asociadas con el ransomware Phobos. También combinamos VirusTotal con la respuesta Wazuh Active para escanear y eliminar el archivo del ransomware Phobos del punto final de la víctima.
Wazuh es una plataforma de seguridad empresarial gratuita y de código abierto para la detección de amenazas, respuesta a incidentes y cumplimiento. Wazuh se integra perfectamente con soluciones y tecnologías de terceros. Wazuh también tiene una comunidad en constante crecimiento donde se apoya a los usuarios. Para obtener más información sobre Wazuh, consulte nuestra documentación y publicaciones de blog .
Fuente: wazuh.com
No hay comentarios.:
Publicar un comentario