CSIRT Story: Jeg elsker lukten av løsepengevirus om morgenen.

Les mer om hvordan CSIRT-teamet til Orange Cyberdefense bisto for å hjelpe en kunde i Vietnam.

Løsepengevirus-angrep i Vietnam

En kunde tok kontakt med Orange Cyberdefense etter at et av datterselskapene i Vietnam ble rammet av et løsepengevirus-angrep. I samarbeid med Orange Business Services som sørget for en tekniker på stedet, var det mulig for CSIRT-ekspertene å komme i gang med jobben bare noen få timer etter at hendelsen ble oppdaget.

Det startet med et smell

Angriperen fikk sitt første fotfeste på en RDP-server. Med en han gang var inne, droppet han sitt verktøysett: nettverksskanner, nettleserpassord-ekstraherer, minneutforsker, og deaktiverer antivirus på serveren.

Kongen på haugen

Ti minutter etter innbruddet utførte angriperen nettverksrekognosering og skaffer seg brukerkontoen til en domeneadministrator. Til slutt koblet han seg til domenekontrolleren og benyttet et verktøy for å hente ut brukerkontoer for alle brukere i klartekst.

Utsikt fra toppen

Straks angriperen hadde kontroll på domeneserveren koblet han opp forskjellige filområder han hadde oppdaget på domenekontrolleren. Angriperen hadde tydeligvis planer om å lete etter sikkerhetskopier og tilbrakte en og en halv time på dette.

Skjuler sine spor

Når han hadde klart å få fotfeste i en betydelig del av nettverket og sørget for at det primære målet var under kontroll, slettet han alle Windows-logger på alle kompromitterte maskiner, et forsøk på å gjøre etterforskning etter angrepet vanskelig. Heldigvis er ikke logger den eneste kilden til innhenting og analyse av informasjon i forbindelse med en etterforskning.

Løsepengevirus

Fire timer etter sin første innlogging på RDP-serveren distribuerte angriperen en variant av Phobos på alle maskinene.

Gjenoppretting av rene sikkerhetskopier

Etter å ha funnet ut av angrepshistorikken, løsepengevirus som ble brukt og operasjonsmodus, var det mulig å gjenopprette rene sikkerhetskopier av de infiserte systemene og få dem tilbake på luften. For videre straffeforfølgelse og forebygging av ytterligere angrep ble det gitt en fullstendig og detaljert rapport til kunden.

Hva som lurer i skyggen

Vi begynte denne historien med angriperen som dukket opp på en RDP-server uten å fortelle deg hvordan. Når logger blir slettet, vet vi aldri helt hvordan angriperen fikk tak i kontoen. Allikevel, gitt det faktum at i løpet av de to timene etter slettingen, ble mer enn åtte tusen påloggingsforsøk logget fra hele verden, virker det som brute-force-angrep er et ganske naturlig forslag.

Hva kan vi lære av denne historien

• Akkurat som den metaforiske kjeden, er et usegmentert nettverk bare så sterkt som det svakeste endepunktet. Endepunkts-beskyttelse og deteksjon er nøkkelen til å identifisere angrep på et tidlig stadium og minimere skaden.
• Nettverksegmentering kan bidra til å effektivt minimere angrepsomfanget ved å begrense det til en atskilt del av nettverket. Viktige enheter som RDP-servere bør i tillegg beskyttes innenfor sitt segment.
• Brute-force angrep er relativt enkle å oppdage og redusere. Flere tusen påloggingsforsøk hadde sannsynligvis mislyktes før en var vellykket. Lenge før dette, kunne deteksjon blitt trigget og utløst alarm – og automatiske mottiltak, beskyttelsestiltak eller en SOC hadde vært på plass på stedet eller som en ekstern tjeneste.
• Til slutt, å skjule angrepsprosedyrer og aktivitet ved å slette logger er ineffektivt hvis loggene samles i en SIEM for analyse. Sikkerhetslogger blir ikke bare sikkerhetskopiert effektivt, men gjør det også mulig for detaljert etterforskning å identifisere angrepsvektorer, og fjerne benyttede sårbarheter for å unngå fremtidige angrep.