WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Nhóm tội phạm Ryuk khét tiếng khai thác thành công lỗ hổng Zerologon
Các nhà nghiên cứu cho biết chỉ trong vòng 5 giờ nhóm tin tặc Ryuk đã nhanh chóng biến cuộc tấn công phishing (lừa đảo) ban đầu thành mã hóa hoàn toàn domain mục tiêu.
Tốc độ vũ bão của cuộc tấn công một phần đến từ việc tin tặc đã khai thác thành công lỗ hổng leo thang đặc quyền Zerologon (CVE-2020-1472).
Theo Microsoft, lỗ hổng Zerologon cho phép kẻ tấn công truy cập được vào máy chủ Domain Controller mà không cần thông tin đăng nhập và toàn quyền điều khiển dịch vụ xác thực danh tính Active Directory. Tuy bản vá đã được phát hành vào tháng 8, nhưng nhiều tổ chức vẫn đứng trước nguy cơ bị tấn công bởi lỗ hổng nghiêm trọng này.
Sau khi khai thác thành công lỗ hổng Zerologon, nhóm Ryuk đã sử dụng nhiều công cụ như Cobalt Strike, AdFind, WMI và PowerShell để đạt được mục đích cuối cùng của mình.
Giai đoạn đầu của cuộc tấn công
Cuộc tấn công bắt đầu bằng một email lừa đảo chứa trình tải Bazar. Từ đó, kẻ tấn công thực hiện mapping tên miền, sử dụng các tiện ích Windows tích hợp sẵn như Nltest. Tuy nhiên, vì cần nâng cao đặc quyền, chúng đã khai thác lỗ hổng Zerologon được tiết lộ gần đây.
Theo phân tích của các chuyên gia, khi có được quyền quản trị cao hơn, nhóm tội phạm mạng này có thể đặt lại mật khẩu đăng nhập máy chủ domain controller chính.
Sau đó, nhóm này chuyển sang máy chủ domain controller phụ, do thám sâu hơn vào tên miền thông qua Net và modul PowerShell Active Directory.
Các nhà nghiên cứu cho biết: “Từ đây, dường như kẻ tấn công sử dụng module leo thang đặc quyền được đặt tên mặc định trên máy chủ. Tại thời điểm này, kẻ tấn công sử dụng giao thức RDP để kết nối từ domain controller phụ đến domain controller đầu tiên, thông qua tài khoản quản trị viên tích hợp sẵn”.
Cobalt Strike
Các nhà nghiên cứu cho biết nhóm này cũng khai thác lỗ hổng Server Message Block (SMB) và Windows Management Instrumentation (WMI) để thực thi phần mềm Cobalt Strike. SMB là một giao thức chia sẻ tệp trong Windows 10 hỗ trợ việc đọc và ghi tệp vào các thiết bị mạng. Trong khi đó, WMI có chức năng quản lý dữ liệu và hoạt động trên hệ điều hành dựa trên nền tảng Windows.
Cobalt Strike thường được dùng cho các tác vụ khai thác và hậu khai thác. Theo Cisco, PowerShell Empire, Powersploit và Metasploit cũng là các công cụ đang bị giới tin tặc lợi dụng để khai thác.
“Từ phân tích bộ nhớ, chúng tôi có thể kết luận kẻ tấn công đang sử dụng phiên bản thử nghiệm của Cobalt Strike với chuỗi EICAR có trong cấu hình mạng để tải beacon. Cả hai beacon có thể thực thi và DLL đều được sử dụng”, các nhà nghiên cứu cho biết thêm.
Khi đã nắm quyền điều khiển domain controller chính, beacon của Cobalt Strike được bổ sung.
Phân tích cuộc tấn công cho thấy sau khoảng 4 giờ 10 phút, nhóm Ryuk đã kết nối với các máy chủ dự phòng thông qua giao thức RDP.
“Sau đó, hoạt động do thám tên miền sâu hơn được thực hiện thông qua công cụ AdFind. Khi đã hoàn thành, kẻ tấn công đã sẵn sàng cho mục tiêu cuối cùng của mình”, theo báo cáo của DFIR.
Giai đoạn sau cùng: Mã độc tống tiền Ryuk
Vào giai đoạn cuối của cuộc tấn công, nhóm chạy ransomware Ryuk lên các máy chủ dự phòng. Sau đó, phần mềm độc hại này sẽ lây lan trên các máy chủ khác và các máy trạm.
Ryuk là một phần mềm độc hại mạnh mẽ khét tiếng, đứng sau một loạt các vụ tấn công gần đây, trong đó có cuộc tấn công khiến công ty UHS sở hữu mạng lưới bệnh viện trên toàn nước Mỹ phải đóng cửa.
Lỗ hổng Zerologon giúp tội phạm mạng thực hiện tấn công dễ dàng hơn nhiều, vì không cần phải nhắm vào người dùng có đặc quyền cao có cơ chế bảo mật chặt chẽ hơn.
Trên thực tế, phần khó khăn nhất của cuộc tấn công là giai đoạn đầu - cài đặt thành công Bazar từ email lừa đảo phải có tương tác của người dùng. Các nhà nghiên cứu nhấn mạnh người dùng ở đây là Người dùng miền và không có bất kỳ quyền nào khác - nhưng điều đó được chứng minh đã không còn là vấn đề, thông qua Zerologon.
Cuộc tấn công cho thấy các tổ chức cần phải phản ứng nhanh hơn nữa khi phát hiện bất kỳ hoạt động độc hại nào.
“Bạn phải hành động trong vòng chưa đến 1 giờ để đảm bảo có thể phá vỡ cuộc tấn công của tin tặc”, theo các chuyên gia.
Theo Microsoft, lỗ hổng Zerologon cho phép kẻ tấn công truy cập được vào máy chủ Domain Controller mà không cần thông tin đăng nhập và toàn quyền điều khiển dịch vụ xác thực danh tính Active Directory. Tuy bản vá đã được phát hành vào tháng 8, nhưng nhiều tổ chức vẫn đứng trước nguy cơ bị tấn công bởi lỗ hổng nghiêm trọng này.
Sau khi khai thác thành công lỗ hổng Zerologon, nhóm Ryuk đã sử dụng nhiều công cụ như Cobalt Strike, AdFind, WMI và PowerShell để đạt được mục đích cuối cùng của mình.
Giai đoạn đầu của cuộc tấn công
Cuộc tấn công bắt đầu bằng một email lừa đảo chứa trình tải Bazar. Từ đó, kẻ tấn công thực hiện mapping tên miền, sử dụng các tiện ích Windows tích hợp sẵn như Nltest. Tuy nhiên, vì cần nâng cao đặc quyền, chúng đã khai thác lỗ hổng Zerologon được tiết lộ gần đây.
Theo phân tích của các chuyên gia, khi có được quyền quản trị cao hơn, nhóm tội phạm mạng này có thể đặt lại mật khẩu đăng nhập máy chủ domain controller chính.
Sau đó, nhóm này chuyển sang máy chủ domain controller phụ, do thám sâu hơn vào tên miền thông qua Net và modul PowerShell Active Directory.
Các nhà nghiên cứu cho biết: “Từ đây, dường như kẻ tấn công sử dụng module leo thang đặc quyền được đặt tên mặc định trên máy chủ. Tại thời điểm này, kẻ tấn công sử dụng giao thức RDP để kết nối từ domain controller phụ đến domain controller đầu tiên, thông qua tài khoản quản trị viên tích hợp sẵn”.
Cobalt Strike
Các nhà nghiên cứu cho biết nhóm này cũng khai thác lỗ hổng Server Message Block (SMB) và Windows Management Instrumentation (WMI) để thực thi phần mềm Cobalt Strike. SMB là một giao thức chia sẻ tệp trong Windows 10 hỗ trợ việc đọc và ghi tệp vào các thiết bị mạng. Trong khi đó, WMI có chức năng quản lý dữ liệu và hoạt động trên hệ điều hành dựa trên nền tảng Windows.
Cobalt Strike thường được dùng cho các tác vụ khai thác và hậu khai thác. Theo Cisco, PowerShell Empire, Powersploit và Metasploit cũng là các công cụ đang bị giới tin tặc lợi dụng để khai thác.
“Từ phân tích bộ nhớ, chúng tôi có thể kết luận kẻ tấn công đang sử dụng phiên bản thử nghiệm của Cobalt Strike với chuỗi EICAR có trong cấu hình mạng để tải beacon. Cả hai beacon có thể thực thi và DLL đều được sử dụng”, các nhà nghiên cứu cho biết thêm.
Khi đã nắm quyền điều khiển domain controller chính, beacon của Cobalt Strike được bổ sung.
Phân tích cuộc tấn công cho thấy sau khoảng 4 giờ 10 phút, nhóm Ryuk đã kết nối với các máy chủ dự phòng thông qua giao thức RDP.
“Sau đó, hoạt động do thám tên miền sâu hơn được thực hiện thông qua công cụ AdFind. Khi đã hoàn thành, kẻ tấn công đã sẵn sàng cho mục tiêu cuối cùng của mình”, theo báo cáo của DFIR.
Giai đoạn sau cùng: Mã độc tống tiền Ryuk
Vào giai đoạn cuối của cuộc tấn công, nhóm chạy ransomware Ryuk lên các máy chủ dự phòng. Sau đó, phần mềm độc hại này sẽ lây lan trên các máy chủ khác và các máy trạm.
Ryuk là một phần mềm độc hại mạnh mẽ khét tiếng, đứng sau một loạt các vụ tấn công gần đây, trong đó có cuộc tấn công khiến công ty UHS sở hữu mạng lưới bệnh viện trên toàn nước Mỹ phải đóng cửa.
Lỗ hổng Zerologon giúp tội phạm mạng thực hiện tấn công dễ dàng hơn nhiều, vì không cần phải nhắm vào người dùng có đặc quyền cao có cơ chế bảo mật chặt chẽ hơn.
Trên thực tế, phần khó khăn nhất của cuộc tấn công là giai đoạn đầu - cài đặt thành công Bazar từ email lừa đảo phải có tương tác của người dùng. Các nhà nghiên cứu nhấn mạnh người dùng ở đây là Người dùng miền và không có bất kỳ quyền nào khác - nhưng điều đó được chứng minh đã không còn là vấn đề, thông qua Zerologon.
Cuộc tấn công cho thấy các tổ chức cần phải phản ứng nhanh hơn nữa khi phát hiện bất kỳ hoạt động độc hại nào.
“Bạn phải hành động trong vòng chưa đến 1 giờ để đảm bảo có thể phá vỡ cuộc tấn công của tin tặc”, theo các chuyên gia.
Theo Threatpost