Операторы Ryuk осуществили весь цикл атаки всего за 5 часов
21 октября 2020 года
Операторы вымогательского ПО Ryuk совершили очередную кибератаку, однако в этот раз преступники перешли от отправки фишинговых электронных писем до полной компрометации среды и шифрования систем жертвы всего за 5 часов. Такая скорость атаки была достигнута в основном благодаря эксплуатации уязвимости повышения привилегий Zerologon ( CVE-2020-1472 ) менее чем через два часа после первого этапа.
Уязвимость Zerologon связана с использованием ненадежного криптографического алгоритма в механизме аутентификации Netlogon. С ее помощью атакующий может имитировать любой компьютер в сети при аутентификаци на контроллере домена, отключить функции безопасности Netlogon или изменить пароль в базе данных Active Directory контроллера домена.
По словам специалистов проекта DFIR, атака началась с фишингового письма, содержащего версию загрузчика Bazar. Злоумышленники выполнили стандартное сопоставление домена с помощью встроенных утилит Windows, таких как Nltest. Однако им нужно было повысить свои привилегии на системе с целью нанести реальный ущерб, поэтому они использовали недавно обнаруженную уязвимость Zerologon.
Получив повышенные права администратора, киберпреступники смогли сбросить пароль основного контроллера домена. Затем они перешли на дополнительный контроллер домена, выполняя больше операций через сеть и модуль PowerShell Active Directory.
Как отметили специалисты, перемещение по сети осуществлялось посредством передачи файлов по протоколу Server Message Block (SMB) и использование маяков Cobalt Strike с помощью Windows Management Instrumentation (WMI). Cobalt Strike принадлежит к группе инструментов двойного назначения, которые обычно используются для выполнения задач как во время эксплуатации уязвимости, так после.
По результатам анализа атаки, примерно через 4 часа 10 минут группировка перешла с основного контроллера домена, используя RDP для подключения к резервным серверам. Затем с помощью AdFind была проведена дополнительная проверка домена.
На заключительном этапе атаки операторы Ryuk сначала развернули исполняемый файл программы-вымогателя на серверах резервного копирования. После этого вредоносная программа была загружена на другие серверы среды, а затем и на рабочие станции.
Как писал ранее SecurityLab, атака с использованием вымогательского ПО Ryuk прежде занимала 29 часов – начиная от отправки жертве электронного письма и заканчивая полной компрометацией среды и шифрованием систем. Однако использование Zerologon значительно упростило действия киберпреступников, поскольку атака не была нацелена на пользователя с высокими привилегиями.
Источники править
Эта статья содержит материалы из статьи «Операторы Ryuk осуществили весь цикл атаки всего за 5 часов», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.