Domov      Nastavenia 
RSS English Slovensky

Zahraničné zdroje
Nahlásené incidenty
1.1.2019 - 31.12.2019
 

Graf

Malvér: Emotet / Trickbot / Ryuk

18.02.2020
V súčasnom období pozorujeme vo svete rast aktivity neslávne známej trojice útočných nástrojov Emotet, Trickbot a Ryuk. Útočníci ich používajú na úspešné doručenie ransomvéru do zariadení obetí a kompromitáciu celých sietí, v ktorých sú zariadenia zapojené. V nasledujúcom článku sa pozrieme na spôsoby, akými táto kampaň funguje a na možnosti, ako sa pred ňou brániť.

 

Malvér Emotet je často používaný ako iniciátor útoku. Využíva sa najmä na šírenie prostredníctvom mail spamových kampaní. Počiatočné vektory infekcie sú dokumenty balíka Office alebo súbory JavaScript. Často sa umiestňujú na kompromitované webové servery odkazy na ktoré sa potom rozposielajú potenciálnym obetiam, alebo sa priamo pripájajú k nevyžiadanej pošte (príloha e-mailu). Emotet niekedy používa informácie ukradnuté z e-mailových schránok programu Outlook na ďalšiu distribúciu a získanie dôveryhodných adries odosielateľa a predmetových riadkov (odcudzenie vlákna e-mailu). Emotet používa tzv. fiktívny program (napríklad príloha e-mailu), ktorý po otvorení spustí na pozadí škodlivý program. Následne dôjde k vybaleniu a načíta sa skutočný malware. Emotet vie využiť aj modul wlanAPI.dll, ktorý slúži na vyhľadanie bezdrôtových WiFi sietí, na ktoré má infikovaný počítač prístup (vie sa teda za istých okolností šíriť aj cez WiFi siete). Malvér následne zaháji útok formou Brute Force na tieto WiFi zariadenia. Ak sa mu podarí do takejto siete preniknúť, pokračuje v útoku na účastnícke pracovné stanice, tiež formou Brute Force. Emotet má schopnosť maskovať sa v systéme ako proces <service>.exe, ktorý je možné odhaliť ako službu pod názvom Windows Defender System Service (nezamieňať s Microsoft Defenderom). V prípade útokov Emotet resp. v kombinácii s ransomvérom Ryuk sa zistilo, že útočníci spúšťajú niektoré komponenty Trickbot po prvotnej infekcii Emotetom.

Trickbot je veľmi modulárny malvér. Najdôležitejšie sú nasledujúce moduly:

  • Červový modul SMB Trickbot (worm.dll alebo spreadder.dll) využívajúci zraniteľnosť Eternal Blue (CVE-2017-0143 / MS17-010) na ďalšie šírenie a zvýšenie oprávnení na systémovej úrovni.
  • Modul RDP Credential Stealer (pwgrab32.dll)
  • Backdoor (Empire Powershell)
  • Zriedkavejšie sú pozorované útoky cez moduly (screenlocker.dll, systeminfo.dll, vncsrv.dll)

Pokiaľ útočník vyššie spomínanou kombináciou Emotet a Trickbot získa dostatočné privilégiá v systéme, spustí ďalšiu fázu útoku, získa prístup do siete obete. Útočník ďalej analyzuje prostredie obete (prieskum). Počas tejto fázy sa útočník tiež pokúša ukradnúť prístupové údaje a infikovať viac systémov resp. infraštruktúru, aby získal viac priestoru v sieti obete. Tu prichádza aj k nasadeniu ransomvéru Ryuk. Keď útočník infikuje dostatok systémov a/alebo získa vysoké privilégiá (napríklad admin domény Windows), spustí finálnu fázu a zašifruje údaje a/alebo zničí systémy a dáta.

Ryuk je veľmi zákerný ransomvér, ktorého charakterizuje nasledovné:

  • Ryuk má dáta pripravené pre nasadenie v 32 bit aj 64 bit platforme
  • Samotný ransomvér vie eliminovať systémové procesy bezpečnostného, antivírového a zálohovacieho softvéru, ak sú spustené na infikovanom počítači
  • Spúšťa sa s oprávneniami NT Authority / SYSTEM
  • Snaží sa neinfikovať základné procesy, ktoré by predčasne zastavili šírenie ransomvéru, napríklad lsass.exe alebo explorer.exe.
  • Na šifrovanie súborov v počítači obete používa Ryuk hybridný prístup s dvoma asymetrickými a jedným symetrickým komponentom.
  • Existuje globálny pár kľúčov pod kontrolou útočníka
  • Verejný kľúč sa používa na ochranu súkromného kľúča v zasiahnutom systéme
  • Skutočné šifrovanie súborov sa vykonáva pomocou AES. Symetrický kľúč je chránený asymetrickým šifrovaním a potom je pripojený k šifrovanému súboru
  • Za normálnych okolností majú šifrované súbory príponu .ryk
  • Po úspešnom zašifrovaní súborov vykoná operáciu súbor .bat. Jeho úlohou je odstránenie shadow copy ( vssadmin.exe delete shadows /all /Quiet )
  • Ryuk následne zobrazuje výkupné, ako textový súbor alebo súbor HTML prípadne sa zobrazujú mailové adresy pre kontaktovanie útočníkov.

 

Predpokladaný vektor útoku

Za normálnych okolností majú šifrované súbory príponu .ryk.

  1. Obeť dostane e-mail s prílohou, najčastejšie Word alebo Excel so spustiteľným makrom. Forma útoku mailom je Spear Phishing. Príloha môže mať ojedinele aj spustiteľný exe súbor v tvare <súbor>.pdf.exe (spustiteľná aplikácia).
  2. V niektorých prípadoch e-mail obsahuje odkaz na podvrhnutú stránku s JavaScript. V čase rozposielania Spear Phishing e-mailových správ môžu tieto obsahovať URL linku na legitímnu (bezpečnú) web stránku pre oklamanie mailového a bezpečnostného softvéru. Útočník až následne vloží na stránku škodlivý JavaScript kód, čím si kúpi čas na infikovanie obetí.
  3. Obeť uvidí po otvorení súboru (Excel, Word) upozornenie / žiadosť o zapnutie makra v súbore alebo prípadne povolenie spustenia JavaScript na web stránke.
  4. Spustenie makra resp. JavaScriptu na stránke aktivuje stiahnutie TrickBot komponentov z webstránky resp. vzdialených serverov.
  5. Týmto sa do pracovnej stanice stiahnu komponenty Trickbot
  6. Pokiaľ je prítomná SMB zraniteľnosť, Eternal Blue (CVE-2017-0143 / MS17-010) tak sa ním automaticky TrickBot rozšíri na ďalších klientov a celú infraštruktúru. Aktívne využíva aj RDP Credential Stealer komponent.
  7. Útočník týmto získa prístup k napadnutému systému a prebehne inštalácia Ryuk Ransomware.
  8. V tomto okamžiku nastáva fáza monitoringu a zberu dát odkopírovaním alebo aktívnym odchytávaním. Prakticky vždy je prítomná nejaká forma KeyLoggera.
  9. Šifrovanie dát napadnutej stanice resp. infraštruktúry sa vykoná po tom, čo si je útočník istý kompromitáciou prostredia, záloh resp. získania potrebných dát. Prevažne je to medzi 7 až 21 dňom od napadnutia. Tým pádom sú jediné použiteľné offline zálohy staršie, ako deň prvotnej infekcie. Ryuk si zmapuje kompletnú infraštruktúru vrátane zálohovacích procesov.
  10. Po zašifrovaní prichádza žiadosť o zaplatenie výkupného cez http stránku resp. kontaktovanie útočníkov na mailové adresy. Ak obeť odmietne zaplatiť, hrozia zverejnením údajov z napadnutých systémov.
  11. Za normálnych okolností majú šifrované súbory príponu .ryk.

[20.2.2020] IP adresy aktuálne zneužívaných serverov nájdete tu.

 

Možné protiopatrenia

  • Pravidelne zálohujte svoje údaje, napríklad na externý pevný disk. Použite rotačnú schému [denný, týždenný, mesačný] aspoň 2 generácie. Po procese zálohovania sa uistite, že ste zálohovacie médium fyzicky odpojili od počítača alebo siete. V opačnom prípade útočníci pristupujú tiež k zálohe a zašifrujú ju, alebo odstránia.
  • Pri riešeniach zálohovania v cloude by ste sa mali uistiť, že poskytovateľ používa aspoň dve verzie zálohovania, analógovú s klasickou zálohou a zálohu, ktorá nie je dostupná pre ransomvér. Pri zálohovaní kritických dát sa odporúča použiť napríklad dvojfaktorové overenie totožnosti.
  • Zálohy sa musia pravidelne testovať z hľadiska ich integrity a či sa dajú obnoviť.
  • Kritické údaje by sa mali zapisovať na WORM (Write Once Read Many).
  • Prostriedky, ktoré sú prístupné z internetu (napríklad terminálový server, RAS, VPN-prístup), chráňte dvojfaktorovou autentifikáciou.
  • Zablokujte príjem nebezpečných e-mailových príloh na svojej e-mailovej bráne napríklad: .js (JavaScript), .jar (Java), .bat (dávkový súbor), .exe (spustiteľný systém Windows), .cpl (Ovládací panel), .scr (Šetrič obrazovky), .com (súbor COM), .pif (informačný súbor o programe), .vbs (skript jazyka Visual Basic), .ps1 (Windows PowerShell).
  • Ak je to možné používajte SPF, DKIM, DMARC na hodnotenie, označovanie alebo odmietnutie prichádzajúcich e-mailov. [Aktualizácia 19.2.2020: malvér Emotet získal schopnosť obchádzať ochranu DMARC krádežou domén a falšovaním doménových kľúčov DKIM]
  • Vždy implementujte druhý faktor overenia pre akýkoľvek systém orientovaný na internet, ako aj pre všetky privilegované účty. Pri udeľovaní prístupu zvonka dodržiavajte zásadu najmenších privilégií. Čím vyššie je privilégium, tým dôležitejšia je bezpečná autentifikácia.
  • Implementujte do infraštruktúry Microsoft AppLocker
  • Využívajte Segmentáciu siete
  • Zálohy MUSIA byť uchované v režime off-line

 

Protiopatrenia pre Active Directory

Nakoľko bolo dokázané, že v prípade napadnutia klientskej doménovej stanice užívateľa prišlo za štandardných okolností ku kompromitácii doménového radiča do 20 minút od prvotnej infekcie, je dobré aj tu dodržať pár základných zásad.

  • Monitorovanie neobvyklého správania AD
  • Využívanie nástroja sysmon
  • Použitie dvojfaktorového overenia, najmä pre účty s vysokou prioritou
  • Mať izolované pracovné stanice na správu
  • Doménový radič nesmie byť dosiahnuteľný z internetu alebo mať možnosť sa pripojiť k internetu
  • Využívajte LAPS pre pracovné stanice chránené doménou

 

Odkazy

Emotet, Trickbot, Ryuk
Trickbot komponent
SMB červový modul
RDP Credential Stealer
šírenie cez WiFi
Emotet všeobecné info 1
Emotet všeobecné info 2
Emotet všeobecné info 3
Ryuk všeobecné info 1
Ryuk všeobecné info 2

Všeobecné preventívne opatrenia voči ransomvéru



<< zoznam aktualít