باج افزار BlackByte 2.0 طیف وسیعی از ابزارها را در 5 روز به کار می گیرد

جولای 7, 2023 by بدون دیدگاه
باج افزار BlackByte 2.0 طیف وسیعی از ابزارها را در 5 روز به کار می گیرد

ظهور سریع و پیچیدگی باج‌افزار، عوامل تهدید را قادر می‌سازد تا حملات بیشتری را انجام دهند و کسب‌وکارها و سازمان‌هایی را که فاقد آمادگی کافی هستند، مختل کنند.

محققان در مایکروسافت Incident Response اخیراً نفوذی را بررسی کردند که در آن پیشرفت سریع حمله عامل تهدید بود که باعث ایجاد اختلالات بزرگ در سازمان قربانی فقط در پنج روز شد.

CSN

برای دستیابی به اهداف خود، طیف گسترده ای از ابزارها و تکنیک ها توسط عامل تهدید در طول آن پنج روز برای استقرار باج افزار BlackByte 2.0 استفاده شد.

TTP های استفاده شده

در اینجا ما تمام TTP های مورد استفاده توسط عامل تهدید را ذکر کرده ایم:

  • استفاده از سرورهای Microsoft Exchange ناامن که به صورت آنلاین در دسترس هستند.
  • فعال کردن دسترسی از راه دور با استقرار یک پوسته وب.
  • استفاده از ابزارهای موجود برای تداوم و جمع آوری اطلاعات به صورت مخفیانه.
  • برای فرمان و کنترل (C2)، راه اندازی چراغ های Cobalt Strike.
  • ترکیب توخالی فرآیند با استفاده از محرک‌های آسیب‌پذیر برای فرار از مکانیسم‌های دفاعی.
  • برای فعال کردن ماندگاری طولانی مدت، استقرار درهای پشتی که به صورت سفارشی طراحی شده اند.
  • استقرار ابزارهای توسعه یافته سفارشی برای جمع آوری و استخراج داده ها.

زنجیره حمله

عامل تهدید با بهره‌برداری از آسیب‌پذیری‌های ProxyShell زیر، از طریق سرورهای Microsoft Exchange که اصلاح نشده‌اند، به محیط قربانی دسترسی اولیه پیدا کرد:

زنجیره حمله BlackByte (منبع – مایکروسافت)

با بهره برداری از این آسیب پذیری ها، عامل تهدید به توانایی های زیر دست یافت:

  • دسترسی مدیریتی به میزبان Exchange در معرض خطر به دست آورید.
  • داده‌های LegacyDN و SID کاربر را از طریق درخواست‌های کشف خودکار بازیابی کنید.
  • برای دسترسی به باطن Exchange PowerShell، یک توکن احراز هویت معتبر بسازید.
  • استفاده از cmdlet New-MailboxExportRequest برای ایجاد پوسته وب و تقلید از کاربران مدیریت دامنه.

پس از دسترسی به دستگاه، عامل تهدید کلیدهای اجرای رجیستری را برای اجرای بارهای پس از ورود کاربر در هر بار ایجاد کرد. در اینجا در زیر به آن کلیدهای اجرای رجیستری اشاره کرده ایم:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

در اینجا، برای دستیابی به پایداری، عامل تهدید از Cobalt Strike استفاده کرد و آنتی ویروس Microsoft Defender، sys.exe را به عنوان Trojan:Win64/CobaltStrike!MSR، که از temp(.)sh (hxxps://temp(.)sh/szAyn/ دانلود شده بود، علامت گذاری کرد. sys.exe) که به عنوان Cobalt Strike Beacon شناسایی شد.

عوامل تهدید از ابزارهای دسترسی از راه دور قانونی برای ادغام استفاده می‌کنند و در این مثال، برای پایداری و حرکت جانبی، از AnyDesk استفاده شد.

این ابزار به عنوان یک سرویس نصب شده است که از مسیرهای زیر اجرا می شود:

  • C:\systemtest\anydesk\AnyDesk.exe
  • C:\Program Files (x86)\AnyDesk\AnyDesk.exe
  • C:\Scripts\AnyDesk.exe

فایل لاگ AnyDesk ad_svc.trace ارتباطات موفقیت آمیزی را با آدرس های IP سرویس ناشناس مرتبط با:

این توسط عوامل تهدید معمولاً برای پنهان کردن محدوده IP منبع خود استفاده می شود. علاوه بر این، تحلیلگران امنیتی استفاده از NetScan، یک ابزار کشف شبکه، توسط عامل تهدید برای انجام شمارش شبکه را شناسایی کردند.

با استفاده از دستور زیر، مهاجم آنتی ویروس Microsoft Defender را غیرفعال کرد و به آنها اجازه داد فایل Trojan:Win64/WinGoObfusc.LK!MT را اجرا کنند:-

تحلیلگران دریافتند که explorer.exe ExByte است، ابزاری مبتنی بر GoLang که در حملات باج‌افزار BlackByte برای جمع‌آوری و سرقت فایل‌ها از شبکه‌های قربانی پس از مهندسی معکوس استفاده می‌شود.

قابلیت های باج افزار BlackByte 2.0

در زیر به قابلیت‌های باج‌افزار BlackByte 2.0 اشاره کرده‌ایم:

  • دور زدن آنتی ویروس
  • حفره شدن فرآیند
  • تغییر/غیرفعال کردن فایروال ویندوز
  • اصلاح نسخه های سایه حجم
  • تغییر کلیدها/مقدارهای رجیستری
  • عملکرد اضافی

توصیه ها

در زیر، ما تمام توصیه‌های ارائه شده توسط محققان امنیتی در Microsoft Incident Response را ذکر کرده‌ایم:

  • وصله کردن دستگاه‌های در معرض اینترنت را در اولویت قرار دهید و یک فرآیند مدیریت وصله قوی ایجاد کنید.
  • Microsoft Defender را برای Endpoint، یک راه حل EDR، برای مشاهده بلادرنگ فعالیت های مخرب در سراسر شبکه خود به کار ببرید.
  • حفاظت مبتنی بر ابر را فعال کنید و راه حل آنتی ویروس خود را برای جلوگیری از تهدیدات با اطمینان از به روز رسانی منظم برای محافظت از آنتی ویروس پیکربندی کنید.
  • برای محافظت در برابر غیرفعال شدن اجزای آنتی ویروس Microsoft Defender، حتماً محافظت از دستکاری را فعال کنید.
  • اطمینان حاصل کنید که تمام ترافیک IP هایی که در IoC لیست شده اند را مسدود کنید.
  • اطمینان حاصل کنید که دسترسی سرویس‌های VPN عمومی غیرمجاز و ترافیک ورودی از گره‌های خروج TOR را مسدود کرده‌اید.
  • برای جلوگیری از تغییرات مجاز در سیستم، امتیازات اداری را محدود کنید.

«اقدامات امنیتی ایمیل مبتنی بر هوش مصنوعی از کسب و کارتان در برابر تهدیدات ایمیل محافظت کنید!» – درخواست نسخه ی نمایشی رایگان.

#باج #افزار #BlackByte #طیف #وسیعی #از #ابزارها #را #در #روز #به #کار #می #گیرد