En este post hablaremos de los ataques a Políticas de Grupo, basando la caza de amenazas en una investigación de ransomware llevada a cabo por el equipo de Respuesta a Incidentes de Sophos X-Ops a principios de este año. Cubriremos los comportamientos maliciosos asociados a los ataques contra Active Directory y Políticas de Grupo, mostrándote cómo investigar y remediar algunas de estas amenazas.
Gran parte del material de este post también se trata en el vídeo “Identifying Group Policy Attacks “, que se muestra en nuestro nuevo canal de YouTube de Sophos X-Ops. El vídeo muestra una caza y su reparación (utilizando Sophos Live Response, una función clave de Sophos Intercept X Advanced con XDR, nuestra herramienta de investigación estándar, aunque los cazadores pueden reproducir estos pasos en cualquier shell de Windows).
Este post repasa el mismo material, pero ofrece la información en pantalla en un formato fácil de leer.
El caso
En el caso del ransomware Cyclops que estamos analizando, el actor de la amenaza obtuvo acceso inicial al entorno aprovechando una vulnerabilidad de ProxyShell para violar un servidor Exchange sin parchear. Cuatro días después de conseguir el acceso inicial, el actor de la amenaza comenzó a ejecutar su ataque utilizando comandos PowerShell codificados desde el shell web del servidor Exchange.
El atacante procedió a desactivar la protección de Endpoints como técnica de evasión de la defensa, y a borrar los registros de eventos de Windows y el historial del navegador de Internet. A continuación, el atacante aprovechó el Protocolo de Escritorio Remoto (RDP) para realizar movimientos laterales a otras máquinas de la red. Tanto el malware de comando y control Cobalt Strike como el software de acceso remoto AnyDesk se instalaron en varias máquinas para mantener el acceso. Un día después, el atacante utilizó su acceso a la red para exfiltrar datos a varios proveedores de alojamiento de almacenamiento en la nube.
Después, el atacante aprovechó la directiva de grupo de Active Directory para distribuir el binario del ransomware Cyclops a las máquinas del dominio, creando también una directiva de grupo para ejecutar el binario del ransomware mediante tareas programadas. En la fase final del ataque, el atacante eliminó las copias de seguridad de las instantáneas de volumen. Las máquinas del dominio ejecutaron la tarea programada, ejecutando el binario del ransomware Cyclops, cifrando los archivos y dejando notas de rescate.
¿Por qué atacar Políticas de Grupo?
Los ataques a Políticas de Grupo son un indicio de un ataque mayor al Directorio Activo. En un ataque a la Política de Grupo, los actores de la amenaza pueden aprovechar los Objetos de la Política de Grupo existentes, como la ruta UNC, para ejecutar cargas maliciosas desde ubicaciones menos seguras preestablecidas en un GPO, o la interceptación de contraseñas de usuario establecidas a través de la Política de Grupo con el atributo vulnerable cpassword.
Una vez que el actor de la amenaza ha escalado privilegios, a menudo crea GPO para lograr objetivos a escala, como la desactivación de software y funciones de seguridad básicos, incluidos firewalls, antivirus, actualizaciones de seguridad y registro. También pueden utilizar los GPO para desplegar herramientas maliciosas mediante la creación de tareas programadas, scripts de inicio o inicio de sesión, o servicios para mantener la persistencia y ejecutar el malware.
Feliz cacería
Los investigadores comienzan un proceso de investigación y reparación de ransomware recopilando los testimonios de las víctimas y los datos forenses disponibles. Utilizando las herramientas a su alcance, buscan indicadores de compromiso en los artefactos forenses estándar, como los registros de eventos de Windows, el historial de PowerShell, los elementos de inicio, los shellbags, las tareas programadas, la caché de shim, etc.
Al realizar un análisis, si se encuentran pruebas sincronizadas o recurrentes, puede ser un indicio clave de un ataque a la directiva de grupo. Por ejemplo, cuando se observa la ejecución de una tarea programada o de un archivo en varias máquinas, indica una ejecución remota o el uso de la Política de Grupo. Cuando no hay registros del sistema que indiquen el uso de herramientas de despliegue de software o de Windows Management Instrumentation, sirve como indicio de que la Política de Grupo ha sido probablemente comprometida. Este uso de sincronización maliciosa es especialmente evidente durante el triaje, cuando las tareas programadas persistentes reaparecen en los sistemas después de haber sido eliminadas.
Una vez que se sospecha de un ataque a la directiva de grupo, los investigadores deben examinar los objetos de directiva de grupo en el controlador de dominio, utilizando el comando de PowerShell get-GPO -All para listarlos todos.
Get-GPO -All | Sort-Object ModificationTime -Descending | Format-Table DisplayName, ModificationTime, CreationTime
Filtrar esos resultados permite al investigador ver las horas de modificación y creación, buscando intersecciones con otros hechos del caso. Ordenar por la fecha en que se modificaron por última vez los archivos puede conducir a cualquier GPO creado o modificado por el actor de la amenaza. Llegados a este punto, es útil que el investigador genere un informe de GPO para seguir investigando.
Get-GPOReport -All -ReportType Html -Path "C:\Windows\Temp\Sophos_GPOReport.html”
Examinando el informe GPO podemos discernir la finalidad de cualquier objeto de directiva de grupo con nombres sospechosos. En el caso Cyclops anonimizado para nuestro vídeo, identificamos tres GPO de aspecto sospechoso, que a efectos de anonimización llamamos “Pawn”, “Rook”, y “Queen”.
- En el caso de Pawn, el atacante utilizó la GPO para instalar una tarea programada en los ordenadores del dominio para ejecutar el programa rook.exe.
- El GPORook se utiliza para copiar el archivo rook.exe a los equipos unidos al dominio desde un recurso compartido administrativo del servidor de archivos. Como tendría sentido que el atacante hiciera exactamente eso con el malware, acudimos inmediatamente al sistema local para ver si todavía hay una copia disponible, utilizando Get-ItemProperty “C:\Windows\rook.exe”. Si está disponible, un investigador puede obtener el valor hash de este archivo (utilizando Get-FileHash “C:\Windows\rook.exe”) y comprobarlo en VirusTotal para ver si se sabe que es malicioso; este hash también proporciona los medios para bloquear el archivo en el entorno. Por supuesto, es aconsejable conservar una muestra del malware para su posterior análisis forense.
- El GPO de Queen configura los estados del Firewall de Windows en Desactivado. También parece que Queen desactiva las protecciones antimalware de Windows Defender, incluida la capacidad de análisis en tiempo real.
Haciéndolo mejor
Una vez identificados los comportamientos maliciosos en tu entorno, la contención y la reparación pueden comenzar a través de la herramienta Gestión de directivas de grupo en el servidor de gestión de Active Directory.
En primer lugar, dirígete a Queen, que está socavando las operaciones del Firewall de Windows y de Windows Defender. Desactivar esta política impedirá que estas configuraciones anulen la configuración local predeterminada de Windows.
A continuación, le toca el turno a Rook. Desactivar esta política impedirá que el malware rook.exe se copie en cualquier otra máquina de la red. El ejecutable del malware también debe incluirse en la lista negra de la configuración global de toda la red. Esto eliminará la capacidad de ejecución del malware en el futuro, por ejemplo, ante un nuevo intento de ataque o en caso de que una copia de seguridad infectada intente volver a cargar el ejecutable. (La buena higiene de las copias de seguridad es un tema importante que los defensores deben tener en cuenta, pero queda un poco fuera del alcance de este artículo).
Por último, repara la tarea programada maliciosa llamada Pawn. Desactivar este GPO impide que se desplieguen más tareas programadas en los ordenadores del dominio. Seguir estos pasos de corrección ayudará a evitar la propagación de la actividad maliciosa por la red.
Estos tres pasos implican desactivar las GPO maliciosas, pero eso no es suficiente; una reparación adecuada implicará tomar medidas que realicen la(s) acción(es) opuesta(s) a la(s) realizada(s) por las GPO maliciosas. Esto puede hacerse a escala con GPO u otras plataformas de gestión de dispositivos. Otra opción, que algunas empresas pueden preferir, es la reversión. Si eliges esta última, se recomienda encarecidamente inspeccionar el material archivado en busca de infecciones o alteraciones no deseadas.
Agradecimientos
Karla Soler, Syed Zaidi, Elida Leite y Rajat Wason han contribuido a esta investigación.
Dejar un comentario