Ryuk Ransomware
MSSP یا Managed Security Service Provider یک مرکز با استانداردهای امنیتی و فیزیکی بسیار پیشرفته برای مانیتورینگ و مدیریت سیستمها و تجهیزات امنیتی است که امکان برونسپاری این خدمات به شرکتهای متخصص را برای سازمانها فراهم میکند.
مرکز MSSP شرکت امن پردازان کویر (APK) نیز با هدف یاری رساندن به شرکتها و سازمانها جهت غلبه بر چالشها در مدیریت ۳۶۰ درجه رخدادهای امنیتی، به عنوان یکی از پیشتازان حوزه امنیت در کشور، علاوه بر فراهم نمودن مکان فیزیکی مورد نیاز و نیروی متخصص و حرفهای برای مرکز عملیات امنیت مشتریان خود، پکیج کاملی از خدمات مدیریتی پیشرفته امنیتی از قبیل مدیریت امنیت، خدمات تهدیدات پیشرفته، مانیتورینگ امنیتی و مدیریت آسیبپذیریها را به صورت ۷*۲۴ ارائه مینماید.
آن بخش از خدماتی که مرکز MSSP شرکت امنپردازان کویر در راستای شناسایی تهدیدات ارائه مینماید به شرح زیر است:
۱- شناسایی تهدیدات و انجام به موقع اقدامات دفاعی جهت جلوگیری از آسیبرسانی به سیستمهای هدف
۲- مستندسازی آسیبپذیریها، باجافزارها، بدافزارها و حملات جدید توسط تیم دانش مرکز MSSP
۳- اطلاعرسانی زودهنگام آسیبپذیریها به سازمانها جهت پیشگیری و کنترل آسیب
-
شناسایی باجافزار Ryuk Ransomware
در پی شناسایی باجافزار Ryuk Ransomware در مرکز MSSP این شرکت و با توجه به حملات گسترده صورت گرفته بر روی زیرساخت های کشور و اطلاعیه مرکز ماهر درباره این باجافزار، مطلب زیر جهت اطلاعرسانی تهیه گردیده است.
این باجافزار از طریق ایمیلهای Phishing وارد سازمان شده و سپس با استفاده از آسیبپذیری Zerologon
(CVE-2020-1472) دسترسی خود را افزایش میدهد (Privilege Esclation). از این آسیبپذیری برای دسترسی High Privilege به Primary Domain Controller استفاده شده، در ادامه برای Lateral Movement و دسترسی به سایر سرورها، از ابزارهایی مانند Cobaltstrike، ADfind، WMI و Powershell بهرهبرداری میکند.
مهاجمان با استفاده از ابزارهای Builtin در ویندوز مانند Nltest نام Domain را پیدا کرده و با استفاده از Zerologon اقدام به ریست کردن Computer Account Primary Domain Controller میکنند.
در این حمله، Lateral Movement با استفاده از SMB File Transfer و WMI ابزار Cobalt انجام میشود. با بررسی مموری مشخص شد که از نسخه Trial کبالت و DLL های Beacon استفاده شده است.
در مرحله بعد، Reconnasainssenceهای بعدی با استفاده از AdFind انجام میشود. سپس این باجافزار از طریق RDP به Backup سرور متصل شده و به اجرای Ransomware بر روی سرورها میپردازد.
در تصویر زیر Timeline این باجافزار مشخص شده است.
- تحلیل فنی
استفاده از Zerologon و ریست کردن پسورد DC Computer Account
Cobalt Strike name pipe escalation
DLL Execution (defense evation sql.dll)
Dropped via RDP and executed via rundll32 on the second domain controller
Shortly after, the DLL was called again via regsrv32.
Then a 2nd DLL was dropped and executed in a similar manner on the 2nd DC.
Discovery
They then ran the following looking for host names, operating systems and last logon dates of all AD systems
After already completing the above discovery work and having already pivoted to their 2nd domain controller, the threat actors moved on to AdFind for further domain reconnaissance.
The first lateral movement occurred to the domain controller not affected by the use of CVE-2020-1472. An executable was transferred to it via SMB using a domain administrator account.
After transferring the exe, the threat actors utilized WMI from the beachhead host to execute the file
Shortly there after we saw a Cobalt Strike DLL transferred via the RDP connection.
Network and C&C
Suggested Rule Logic: