اخبار

خبر

گزارش تحلیلی مرکز MSSP شرکت امن پردازان کویر (APK) از شناسایی باج‌افزار Ryuk Ransomware

گزارش تحلیلی مرکز MSSP شرکت امن پردازان کویر (APK) از شناسایی باج‌افزار Ryuk Ransomware

Ryuk Ransomware

MSSP یا Managed Security Service Provider یک مرکز با استانداردهای امنیتی و فیزیکی بسیار پیشرفته برای مانیتورینگ و مدیریت سیستم‌ها و تجهیزات امنیتی است که امکان برون‌سپاری این خدمات به شرکت‌های متخصص را برای سازمان‌ها فراهم می‌کند.

مرکز MSSP شرکت امن پردازان کویر (APK) نیز  با هدف یاری رساندن به شرکت‌ها و سازمان‌ها جهت غلبه بر چالش‌ها در مدیریت 360 درجه رخدادهای امنیتی، به عنوان یکی از پیشتازان حوزه امنیت در کشور، علاوه بر فراهم نمودن مکان فیزیکی مورد نیاز و نیروی متخصص و حرفه‌ای برای مرکز عملیات امنیت مشتریان خود، پکیج کاملی از خدمات مدیریتی پیشرفته امنیتی از قبیل مدیریت امنیت، خدمات تهدیدات پیشرفته، مانیتورینگ امنیتی و مدیریت آسیب‌پذیری‌ها را به صورت 7*24 ارائه می‌نماید.

آن بخش از خدماتی که مرکز MSSP شرکت امن‌پردازان کویر در راستای شناسایی تهدیدات ارائه می‌نماید به شرح زیر است:

1-    شناسایی تهدیدات و انجام به موقع اقدامات دفاعی جهت جلوگیری از آسیب‌رسانی به سیستم‌های هدف

2-    مستندسازی آسیب‌پذیری‌ها، باج‌افزارها، بدافزارها و حملات جدید توسط تیم دانش مرکز MSSP

3-    اطلاع‌رسانی زود‌هنگام آسیب‌پذیری‌ها به سازمان‌ها جهت پیشگیری و کنترل آسیب

  • شناسایی باج‌افزار Ryuk Ransomware

در پی شناسایی باج‌افزار Ryuk Ransomware در مرکز MSSP این شرکت و با توجه به حملات گسترده صورت گرفته بر روی زیرساخت های کشور و اطلاعیه مرکز ماهر درباره این باج‌افزار،  مطلب زیر جهت اطلاع‌رسانی تهیه گردیده است.

این باج‌افزار از طریق ایمیل‌های Phishing وارد سازمان شده و سپس  با استفاده از آسیب‌پذیری Zerologon

(CVE-2020-1472) دسترسی خود را افزایش می‌دهد (Privilege Esclation). از این آسیب‌پذیری برای دسترسی High Privilege به Primary Domain Controller استفاده شده، در ادامه برای Lateral Movement و دسترسی به سایر سرورها، از ابزارهایی مانند Cobaltstrike، ADfind، WMI و Powershell  بهره‌برداری می‌کند.

مهاجمان با استفاده از ابزارهای Builtin در ویندوز مانند Nltest نام Domain را پیدا کرده و با استفاده از Zerologon اقدام به ریست کردن Computer Account Primary Domain Controller می‌کنند.

 در این حمله، Lateral Movement  با استفاده از SMB File Transfer و WMI ابزار Cobalt انجام می‌شود. با بررسی مموری مشخص شد که از نسخه Trial کبالت و DLL های Beacon استفاده شده است.

در مرحله بعد، Reconnasainssenceهای بعدی با استفاده از AdFind انجام می‌شود. سپس این باج‌افزار از طریق RDP به Backup سرور متصل شده و به اجرای Ransomware بر روی سرورها می‌پردازد.

در تصویر زیر Timeline این باج‌افزار مشخص شده است.

گزارش تحلیلی مرکز MSSP شرکت امن پردازان کویر (APK) از شناسایی باج‌افزار Ryuk Ransomware

  • تحلیل فنی

استفاده از Zerologon و ریست کردن پسورد DC Computer Account

گزارش تحلیلی مرکز MSSP شرکت امن پردازان کویر APK از شناسایی باجافزار Ryuk Ransomware

Cobalt Strike name pipe escalation

از شناسایی باجافزار Ryuk Ransomware 2

DLL Execution (defense evation sql.dll)

از شناسایی باجافزار Ryuk Ransomware 3

Dropped via RDP and executed via rundll32 on the second domain controller

از شناسایی باجافزار Ryuk Ransomware 5

Shortly after, the DLL was called again via regsrv32.

از شناسایی باجافزار Ryuk Ransomware 6

Then a 2nd DLL was dropped and executed in a similar manner on the 2nd DC.

از شناسایی باجافزار Ryuk Ransomware 8

Discovery

از شناسایی باجافزار Ryuk Ransomware9

 

از شناسایی باجافزار Ryuk Ransomware 10

They then ran the following looking for host names, operating systems and last logon dates of all AD systems

از شناسایی باجافزار Ryuk Ransomware11

After already completing the above discovery work and having already pivoted to their 2nd domain controller, the threat actors moved on to AdFind for further domain reconnaissance.

از شناسایی باجافزار Ryuk Ransomware 12

The first lateral movement occurred to the domain controller not affected by the use of CVE-2020-1472. An executable was transferred to it via SMB using a domain administrator account.

از شناسایی باجافزار Ryuk Ransomware 13

After transferring the exe, the threat actors utilized WMI from the beachhead host to execute the file

از شناسایی باجافزار Ryuk Ransomware 14

Shortly there after we saw a Cobalt Strike DLL transferred via the RDP connection.

از شناسایی باجافزار Ryuk Ransomware 15

Network and C&C

                                                                                            

از شناسایی باجافزار Ryuk Ransomware 16

Suggested Rule Logic:

از شناسایی باجافزار Ryuk Ransomware 17

محصولات و خدمات حوزه امنیت اطلاعات و امنیت شبکه

دارای تاییدیه از مراجع معتبر داخلی و خارجی | نصب در مراکز معتبر | با افتخار تولید ایران


مشاوره با کارشناسان امنیت اطلاعات و امنیت شبکه

شرکت APK (امن پردازان کویر) در راستای اهداف خود آماده است تا به سازمانها ، شرکتها و واحدهای صنعتی مشاوره تخصصی در حوزه امنیت اطلاعات و امنیت شبکه را بصورت رایگان ارایه نماید

نظرات (0)

هیچ نظری در اینجا وجود ندارد

نظر خود را اضافه کنید.

  1. ارسال نظر بعنوان یک مهمان ثبت نام یا ورود به حساب کاربری خود.
0 کاراکتر ها
پیوست ها (0 / 3)
مکان خود را به اشتراک بگذارید

شبکه‌های اجتماعی

عضویت در خبرنامه

مطالب شگفت انگیز ، در صندوق ورودی شما

تهران - بلوار كشاورز، خيابان شهيد نادري پائين تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵
۷۳ ۴۲۲ (۰۲۱)
۴۲۲۳۸۰۰۰ (۰۲۱)
۱۴۱۶۶۱۳۶۶۹
info{at}apk-group.net
یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان
۳۶۲۹۰۹۹۰ (۰۳۵)
۸۹۱۶۷۱۵۹۵۷

 امن پردازان کویر

Search