AF!
De modo a informar os nossos leitores, a seguir apresentamos, teoricamente, uma tabela resumo, de alguns modos de ataque com Ransomware. Este trabalho é apresentado em duas fases.
Nesta segunda fase os ID das técnicas em causa estarão com links para os artigos, em inglês, mais completos sobre os respetivos assuntos de modo a permitir aos mais interessados um maior aprofundamento sobre as matérias em causa. Depois desta informação teórica, prometo um exemplo prático!
|
Acesso inicial [1] |
|||
|
Tipo |
Técnica |
ID |
Descrição |
| 1 | Contas válidas | T1078 | Os piratas obtiveram acesso não autorizado às redes das vítimas por meio de credenciais roubadas do Protocolo de Área de Trabalho Remota
(RDP – Remote Desktop Protocol) |
| 2 | Phishing: Anexo de Spearphishing | T1566.001 | O Conti[3] ransomware[4] pode ser distribuído usando o malware TrickBot[5], que é conhecido por usar um e-mail com uma folha do Excel contendo uma macro maliciosa para implantar o malware. |
| 3 | Phishing: Link de Spearphishing | T1566.002 | Conti ransomware pode utilizar opções de linha de comando para permitir que um invasor controle como ele verifica e criptografa dos arquivos. |
[1] O Acesso Inicial consiste em técnicas que usam vários vetores de entrada para obter sua posição inicial dentro de uma rede. As técnicas usadas para ganhar uma posição incluem spearphishing[2] direcionado e exploração de pontos fracos em servidores da Web voltados para o público. Os pontos de apoio obtidos por meio do acesso inicial podem permitir acesso contínuo, como contas válidas e uso de serviços remotos externos, ou podem ser de uso limitado devido à alteração de senhas.
[2] Spearphishing é uma tentativa direcionada de roubar informações confidenciais, como credenciais da conta ou informações financeiras de uma vítima específica, geralmente por motivos maliciosos. Isso é obtido adquirindo detalhes pessoais da vítima, como amigos, cidade natal, empregador, locais que frequenta e o que comprou online recentemente. Os invasores disfarçam-se de amigo ou entidade confiável para obter informações confidenciais, geralmente por e-mail ou outras mensagens online.
[3] O Conti é um Ransomware-as-a-Service (RaaS) que foi observado pela primeira vez em dezembro de 2019. O Conti foi implantado via TrickBot[4] e usado contra grandes corporações e agências governamentais, principalmente na América do Norte. Assim como em outras famílias de ransomware, os piratas que usam o Conti roubam arquivos e informações confidenciais de redes comprometidas e ameaçam publicar esses dados, a menos que o resgate seja pago.
[4] Ransomware (“ransom”= resgate). Ransomware é um software de extorsão que pode bloquear ou encriptar os ficheiros do seu computador e depois exigir um resgate para desbloqueá-lo ou desencriptar os seus ficheiros. Dentro destes dois grupos de ransomware, há várias variantes.
[5] O TrickBot é um programa de spyware Trojan[5] escrito em C++ que surgiu pela primeira vez em setembro de 2016 como um possível sucessor do Dyre. O TrickBot foi desenvolvido e inicialmente usado pelo Wizard Spider para segmentar sites bancários na América do Norte, Austrália e em toda a Europa; desde então, ele tem sido usado contra todos os setores em todo o mundo como parte de campanhas de ransomware de “caça ao grande jogo”.
[6] O que são trojans e quais tipos circulam no ciberespaço? | Kaspersky
|
Execução [7] |
|||
| Tipo |
Técnica |
ID |
Descrição |
| 4 | Comando e interpretador de scripts: Windows Command Shell | T1059.003 | Conti ransomware pode utilizar opções de linha de comando para permitir que um invasor controle, verifique e criptografa arquivos. |
| 5 | Interface de programação de aplicativos nativa
(API – Native Application Programming Interface) |
T1106 | Conti ransomware usou chamadas de API durante a execução. |
[7] A execução consiste em técnicas que resultam na execução de código controlado pelo pirata num sistema local ou remoto. As técnicas que executam códigos maliciosos geralmente são combinadas com técnicas de todas as outras táticas para atingir objetivos mais amplos, como explorar uma rede ou roubar dados. Por exemplo, um pirata pode utilizar uma ferramenta de acesso remoto para executar um script do PowerShell que faz a descoberta remota do sistema.
|
Persistência [8] |
|||
| Tipo |
Técnica |
ID |
Descrição |
| 5 | Contas válidas | T1078 | Os piratas obtiveram acesso não autorizado às redes das vítimas por meio de credenciais roubadas do Protocolo de Área de Trabalho Remota
(RDP – Remote Desktop Protocol) |
| 6 | Serviços Remotos Externos | T1133 | Os adversários podem aproveitar os serviços remotos voltados para o exterior para ter acesso, inicialmente, a uma rede. Serviços remotos, como redes privadas virtuais (VPNs), Citrix e outros mecanismos de acesso, permitem que os usuários se liguem a recursos internos da rede corporativa a partir de locais externos. Muitas vezes, existem gateways de serviço remoto que gerem as ligações e autenticação de credenciais para esses serviços. Serviços como, a Gestão do Acesso Remoto do Windows, também podem ser usados externamente. |
[8] A persistência consiste em técnicas que os piratas utilizam para manter o acesso aos sistemas entre reinicializações, alterações de credenciais e outras interrupções que podem interromper o acesso. As técnicas utilizadas para a persistência incluem qualquer acesso, ação ou alterações de configuração que permitem que eles mantenham sua posição nos sistemas, como substituição ou sequestro de código ou adição de código de inicialização.
| Tipo |
Técnica |
ID |
Descrição |
| 7 | Injeção de processo: Injeção de biblioteca de link dinâmico | T1055.001 | O Conti ransomware carregou uma biblioteca de vínculo dinâmico (DLL) criptografada na memória e a executou. |
[9] É o ato de explorar um erro, uma falha de projeto ou um descuido na configuração num sistema operacional ou software de aplicação para obter acesso superior a recursos que normalmente são protegidos de um aplicativo ou utilizador. O resultado é que um aplicativo, com mais privilégios que pretendido pelo programador do aplicativo ou pelo administrador do sistema, é capaz de executar ações que não são autorizadas.
|
Defesa de evasão [10] |
|||
| Tipo |
Técnica |
ID |
Descrição |
| 8 | Arquivos ou informações ofuscadas | T1027 | O Conti ransomware criptografou DLLs e usou ofuscação para ocultar chamadas de API do Windows. |
| 9 | Injeção de processo: Injeção de biblioteca de link dinâmico | T1055.001 | O Conti ransomware carregou uma DLL criptografada na memória e a executou. |
| 10 | Decodificar arquivos ou informações | T1140 | O Conti ransomware descodificou a sua carga útil usando uma chave AES-256 codificada. |
[9] Partes de arquivos podem ser codificadas para ocultar as sequências de texto sem formatação que, de outra forma, ajudariam os defensores na descoberta. As cargas podem ser divididas em arquivos separados, aparentemente benignos, que só revelam funcionalidade maliciosa quando remontados.
|
Tipo |
Técnica |
ID |
Descrição |
| 11 | Força bruta | T1110 |
Os piratas usam ferramentas para verificar e forçar brutalmente os roteadores e dispositivos de armazenamento ligados à rede com interfaces da web. |
| 12 | Roubar ou falsificar etiquetas do Kerberos: Kerberoasting [12] | T1558.003 | Os piratas usam ataques Kerberos para tentar obter o hash Admin. |
[11] Credencias de acesso consiste em técnicas para roubar credenciais, como nomes de contas e senhas. As técnicas usadas para obter credenciais incluem keylogging[13] ou despejo de credenciais. O uso de credenciais legítimas pode dar aos adversários acesso aos sistemas, torná-los mais difíceis de detetar e oferecer a oportunidade de criar mais contas para ajudar a atingir seus objetivos.
[12] Kerberoasting é uma técnica de ataque pós-exploração que tenta obter um hash de senha de uma conta do Active Directory[14] que possui um nome principal de serviço (“SPN”).
Nesse tipo de ataque, um usuário do domínio autenticado solicita uma etiqueta Kerberos para um SPN. A etiqueta Kerberos recuperada é criptografada com o hash da senha da conta do serviço afiliada ao SPN. (Um SPN é um atributo que vincula um serviço a uma conta de usuário dentro do AD). O adversário então trabalha off-line para quebrar o hash da senha, muitas vezes usando técnicas de força bruta.
[13] Keyloggers, ou keyloggers, são ferramentas que registam o que uma pessoa digita em um dispositivo. Embora existam usos legítimos e legais para keyloggers, muitos usos para keyloggers são maliciosos. Em um ataque de keylogger, o software keylogger regista todas as teclas digitadas no dispositivo da vítima e as envia ao invasor.
[14] Active Directory: A consola de Usuários e Computadores do Active Directory é a principal ferramenta para gerir contas de utilizadores, grupos e computadores associados a um domínio num ambiente do Active Directory.
|
Descoberta [15] |
|||
| Tipo |
Técnica |
ID |
Descrição |
| 13 | Descoberta de configuração de rede do sistema | T1016 | O Conti ransomware pode recuperar o cache ARP do sistema local usando a chamada de API GetIpNetTable() e verificar se os endereços IP aos quais ele se conecta, se são para sistemas locais fora da Internet. |
| 14 | Descoberta de Ligações de Rede do Sistema | T1049 | Conti ransomware pode enumerar ligações de rede de rotina de um host[16] comprometido. |
| 15 | Descoberta de processos | T1057 | Conti ransomware pode enumerar todos os processos abertos para procurar qualquer um que tenha a string sql com o seu nome de processo. |
| 16 | Descoberta de arquivos e diretórios | T1083 | Conti ransomware pode descobrir arquivos no sistema local. |
| 17 | Descoberta de partilha de rede | T1135 | Conti ransomware pode enumerar partilhas de rede de bloco de mensagem de um servidor aberto remoto (SMB) usando NetShareEnum(). |
[15] A descoberta consiste em técnicas que o pirata pode utilizar para obter conhecimento sobre o sistema e a rede interna. Essas técnicas ajudam os piratas a observar o ambiente e a se orientar antes de decidir como agir. Eles também permitem que os piratas explorem o que podem controlar e o que está ao redor de seu ponto de entrada para descobrir como isso pode beneficiar seu objetivo atual. As ferramentas nativas do sistema operacional são frequentemente usadas para esse objetivo de coleta de informações pós-compromisso.
[16]O arquivo Hosts é usado pelo sistema operacional para mapear nomes de host amigáveis para endereços IP (Protocolo de Internet) numéricos que identificam e localizam um host em uma rede IP (C:\Windows\System32\drivers\etc\)
|
Movimento lateral [17] |
|||
| Tipo |
Técnica |
ID |
Descrição |
| 18 | Serviços remotos: partilhas administrativas SMB/Windows | T1021.002 | Conti ransomware pode-se espalhar via SMB e criptografar arquivos em diferentes hosts, potencialmente comprometendo uma rede inteira. |
| 19 | Contaminar conteúdo partilhado | T1080 | O Conti ransomware pode-se espalhar infetando outras máquinas remotas por meio de unidades partilhadas de rede. |
[17] O Movimento Lateral consiste em técnicas que os piratas utilizam para entrar e controlar sistemas remotos. O seu objetivo principal requer explorar a rede para encontrar o seu alvo e, posteriormente, obter acesso a ele. Atingir seu objetivo geralmente envolve girar através de vários sistemas e contas. Os piratas podem instalar as suas próprias ferramentas de acesso remoto para realizar o Movimento Lateral ou usar credenciais legítimas com ferramentas nativas de rede e sistema operacional, que podem ser mais furtivas.
|
Impacto [18] |
|||
| Tipo |
Técnica |
ID |
Descrição |
| 20 | Dados criptografados para impacto | T1486 | O Conti ransomware pode usar CreateIoCompletionPort(), PostQueuedCompletionStatus() e GetQueuedCompletionPort() para criptografar arquivos rapidamente, excluindo aqueles com extensões .exe, .dll e .lnk. Ele usou uma chave de criptografia AES-256 diferente por arquivo com uma chave de criptografia pública RAS-4096 agrupada que é exclusiva para cada vítima. O Conti ransomware pode usar o “Windows Restart Manager” para garantir que os arquivos sejam desbloqueados e abertos para criptografia. |
| 21 | Paragem do serviço | T1489 | Conti ransomware pode interromper até 146 serviços do Windows relacionados a soluções de segurança, backup, banco de dados e e-mail por meio do uso do net stop. |
| 22 | Inibir Recuperação do Sistema | T1490 | Conti ransomware pode excluir cópias de sombra de volume do Windows usando vssadmin. |
[18] O impacto consiste em técnicas que os piratas utilizam para interromper a disponibilidade ou comprometer a integridade por meio da manipulação de processos comerciais e operacionais. As técnicas usadas para impacto podem incluir a destruição ou adulteração de dados. Em alguns casos, os processos de negócios podem parecer bons, mas podem ter sido alterados para beneficiar os objetivos dos piratas. Essas técnicas podem ser usadas por piratas para atingir o seu objetivo final ou para fornecer cobertura para uma violação de confidencialidade.
Descubra mais sobre Funchal Notícias
Assine para receber nossas notícias mais recentes por e-mail.