VOLT TYPHOON – ‘Living off-the-Land’ – Taktyki, Techniki i Procedury
23. maja CISA, wraz z innymi agencjami ds. bezpieczeństwa cybernetycznego wydały wspólne ostrzeżenie dotyczące cyberbezpieczeństwa, aby zwrócić uwagę na niedawno odkryty klaster działań związanych z państwowym aktorem zagrożenia cybernetycznego z Republiki Chińskiej (PRC), znanym również jako Volt Typhoon.
Według dostępnych informacji Volt Typhoon pojawił się w połowie 2021 roku i uczestniczył w ukierunkowanych działaniach przeciwko organizacjom krytycznej infrastruktury na Guamie oraz w różnych częściach Stanów Zjednoczonych. Dotknięte sektory obejmują komunikację, produkcję, usługi publiczne, transport, budownictwo, technologie morską, sektor rządowy, technologię informacyjną i edukację.
Niedawno zauważone działania obejmują te same sektory, a wiodące agencje ds. bezpieczeństwa cybernetycznego są zdania, że ten aktor może zastosować te same techniki przeciwko tym sektorom i innym krajom na całym świecie.
Obserwowane zachowanie Volt Typhoon wskazuje na skoncentrowanie się na szpiegostwie, mające na celu zbieranie poufnych informacji i unikanie wykrycia przez dłuższy czas. Jego intencją wydaje się być utrzymanie trwałego dostępu do skompromitowanych systemów i sieci.
Jedną z głównych taktyk, technik i procedur (TTP) tego aktora jest tzw. “living off the land” (korzystanie z istniejących zasobów).
Living off-the-land
„Living off the land” odnosi się do zestawu taktyk, których złośliwi aktorzy używają do przeprowadzania ataków cybernetycznych, wykorzystując legalne narzędzia i oprogramowanie już obecne w skompromitowanym systemie, zamiast polegać na specjalnie przygotowanym złośliwym oprogramowaniu.
Celem technik „living off the land” jest utrudnienie wykrycia i blokowania szkodliwych działań przez środki bezpieczeństwa. Poprzez wykorzystanie zaufanych aplikacji i istniejących narzędzi systemowych, atakujący mogą wtapiać się w normalne działania systemu Windows i sieci, unikając wykrycia przez produkty reagujące na wykrywanie i odpowiedź na zagrożenia (EDR), które wykryłyby wprowadzenie aplikacji stron trzecich na host oraz ograniczają ilość aktywności, która jest rejestrowana w domyślnych konfiguracjach logowania.
Kilka powszechnych przykładów technik „living off-the-land” to:
- Nadużywanie poleceń PowerShella: PowerShell to legalne środowisko skryptowe obecne w systemach Windows. Atakujący mogą wykorzystać PowerShell do wykonania złośliwych poleceń, pobierania dodatkowych ładunków lub przeprowadzania innych szkodliwych działań.
- Nadużywanie WMI (Windows Management Instrumentation): WMI to framework zarządzania w systemach Windows, który dostarcza administratorom potężne możliwości. Jednak atakujący mogą nadużywać WMI do wykonywania poleceń, zbierania informacji, a nawet ustanawiania trwałości na skompromitowanym systemie.
- Wyłudzanie poświadczeń: Atakujący mogą używać narzędzi takich jak Mimikatz do wydobywania poświadczeń z zainfekowanych systemów. Skradzione dane logowania mogą być następnie wykorzystane do przemieszczania się po sieci lub uzyskiwania nieautoryzowanego dostępu do innych systemów.
- Nadużycie powłoki sieciowej
Ponadto, Volt Typhoon stosuje techniki maskowania swoich działań w ramach normalnego ruchu sieciowego. Polega to na kierowaniu swojej komunikacji przez skompromitowane urządzenia sieciowe małych biur domowych (SOHO), takie jak routery, zapory sieciowe i urządzenia VPN. Wykorzystując te zainfekowane urządzenia, dąży do uniknięcia podejrzeń i wtapiania się w prawidłowe zachowanie sieci.
Aby zwiększyć skuteczność swoich tajnych operacji, Volt Typhoon wykorzystuje zmodyfikowane wersje narzędzi o otwartym kodzie źródłowym. Te dostosowane narzędzia umożliwiają im ustanowienie kanału komunikacji i kontroli (C2) przez serwer pośredniczący, co dodatkowo utrudnia wykrycie i umożliwia utrzymanie niezauważonej obecności.
Ostrzeżenie (The Advisory)
Ostrzeżenie ma na celu pomóc obrońcom sieci w wyszukiwaniu tego rodzaju działań na swoich systemach. Zawiera wiele artefaktów sieciowych i hostowych związanych z działalnością, która ma miejsce po początkowym naruszeniu integralności sieci, ze szczególnym uwzględnieniem linii poleceń używanych przez aktora zagrżenia cybernetycznego.
Należy jednak zachować ostrożność, ponieważ w przypadku technik „living off the land” istnieje możliwość, że niektóre linie poleceń mogą pojawić się na systemie w wyniku niegroźnej aktywności i mogą dawać fałszywe sygnały wskazujące na szkodliwą działalność. Obrońcy muszą ocenić zgodności, aby określić ich znaczenie, wykorzystując swoją wiedzę na temat systemu i jego zachowania bazowego.
Aby uzyskać pełną listę przykładów artefaktów sieciowych i hostowych oraz podsumowanie wskaźników kompromitacji (IOCs), proszę kliknąć w link w sekcji „Informacje o tym artykule” pod artykułem.
Działania zaradcze
Agencje odpowiedzialne za przygotowanie raportu zalecają, aby organizacje wdrożyły poniższe środki zaradcze w celu poprawy bezpieczeństwa cybernetycznego organizacji na podstawie działań aktora zagrożenia:
- Obrońcy powinni zabezpieczyć kontrolery domeny i monitorować dzienniki zdarzeń w poszukiwaniu procesów takich jak ntdsutil.exe. Dodatkowo, wszelkie wykorzystanie uprawnień administratora powinno być rejestrowane i sprawdzane, aby potwierdzić legalność wykonanych poleceń.
- Administratorzy powinni ograniczyć korzystanie z proxy portów w środowiskach i włączać je tylko na określony czas, gdy są potrzebne.
- Obrońcy powinni zbadać nietypowe adresy IP i porty w liniach poleceń, wpisach w rejestrze i dziennikach zapory ogniowej w celu identyfikacji innych hostów, które mogą być zaangażowane w działania aktora zagrożenia.
- Oprócz zmian na poziomie hosta, obrońcy powinni przejrzeć konfiguracje zapory sieciowej na granicy, aby wykryć nieautoryzowane zmiany i/lub wpisy, które mogą umożliwiać zewnętrzne połączenia do wewnętrznych hostów.
- Obrońcy powinni również szukać nieprawidłowej aktywności kont, takiej jak logowania poza normalnymi godzinami pracy i niemożliwe logowania z różnych odległych lokalizacji w tym samym czasie.
- Obrońcy powinni przekazywać pliki dzienników do zabezpieczonego, scentralizowanego serwera dzienników, najlepiej na segmentowanej sieci.
Podsumowanie
Techniki „living off the land” stanowią wyzwanie dla obrońców, ponieważ wykorzystują zaufane zasoby, co utrudnia ich wykrycie przy użyciu tradycyjnych kontroli bezpieczeństwa. Organizacje muszą stosować zaawansowane środki bezpieczeństwa, takie jak monitorowanie oparte na zachowaniach, wykrywanie anomalii i solidna ochrona endpointów, aby zminimalizować ryzyko takich ataków.
Ważne jest, aby być na bieżąco z najnowszymi praktykami z zakresu cyberbezpieczeństwa oraz utrzymywać silne stanowisko w zakresie bezpieczeństwa, aby chronić się przed technikami „living off the land” i innymi ewoluującymi metodami ataków.
0 komentarzy