Par Bhabesh Raj Rai, Associate Security Analytics Engineer
Le 6 mai 2021, la CISA a publié un rapport sur une nouvelle variante de ransomware appelée FiveHands, qui a été utilisée lors d’une récente cyberattaque réussie contre une entreprise. Auparavant, le 29 avril, Mandiant avait divulgué des détails sur un groupe plutôt agressif et motivé financièrement, UNC2447, qui exploitait une vulnérabilité zero-day dans SonicWall VPN afin de déployer le ransomware FiveHands avec un malware sophistiqué précédemment appelé SombRAT.
Comment l’acteur malveillant UNC2447 a obtenu un accès pour déployer FiveHands ?
Le 23 janvier 2021, SonicWall a publié une alerte concernant une vulnérabilité zero-day (CVE-2021-20016) dans ses appareils SonicWall Secure Mobile Access (SMA). Cette vulnérabilité sérieuse, en utilisant l’injection SQL, permettait à un attaquant non authentifié de récupérer à distance les identifiants des périphériques affectés. L’acteur malveillant UNC2447 a utilisé cette faille zero-day (T1190) comme vecteur d’accès initial afin d’accéder à l’entreprise ciblée.
L’acteur malveillant a utilisé de nombreux outils accessibles au public tels que RouterScan et Rclone lors des phases de découverte du réseau, d’accès aux identifiants et d’exfiltration. UNC2447 a également déployé un cheval de Troie d’accès à distance(RAT) personnalisé appelé SombRAT pour télécharger et exécuter des charges virales malveillantes. L’équipe BlackBerry Research & InteCostaRictolligence a déjà signalé l’utilisation de SombRAT dans la campagne d’espionnage . Pour éviter d’être détecté par les outils de sécurité (TA0005), UNC2447 a utilisé des fichiers batch (T1059.003) et texte pour exécuter et appeler des scripts PowerShell (T1059.001) qui ont ensuite décodé le loader SombRAT.
Ransomware FiveHands : les faits marquants
• Découvert en janvier 2021
• Déployé par l’acteur malveillant UNC2447
• UNC2447 a constamment utilisé des capacités avancées pour échapper à la détection
• Déployé avec SombRAT
FiveHands utilise une approche agressive de double extorsion
Les acteurs malveillants utilisant FiveHands mettent en œuvre la tristement célèbre tactique de double extorsion pour exercer une pression maximale sur les victimes afin qu’elles paient la rançon. Ces derniers chiffrent les données volées et menacent de manière agressive les victimes de divulguer cette violation dans la presse et de vendre les données sur des forums de hackers s’ils ne paient pas la rançon demandée pour récupérer leurs fichiers. Le rapport Attack Landscape Update de F-Secure a montré que près de 40% des variantes de ransomware découvertes en 2020, ainsi que plusieurs autres plus anciennes, avaient déjà utilisé des capacités d’exfiltration de données fin 2020. Lorsque les acteurs malveillants sont capables d’exfiltrer les données, ils peuvent utiliser la tactique de double extorsion pour augmenter leurs gains. Le rapport a également révélé qu’à la fin 2020, plus de 15 groupes de ransomwares utilisaient une technique de double extorsion. A titre de comparaison en 2019, seule la famille de ransomwares Maze utilisait cette approche agressive.
Nous nous concentrerons sur la manière avec laquelle les administrateurs de sécurité peuvent utiliser LogPoint pour détecter facilement les Tactiques, Techniques et Procédures (TTP) d’UNC2447 pour déployer le ransomware FiveHands.
Détection de FiveHands à l’aide de LogPoint
Le vecteur d’infection initial était une faille zero-day présente dans les appareils SonicWall SMA100. Cependant, le groupe qui a identifié cette vulnérabilité zero-day ne souhaite pas divulguer plus de détails sur la façon de détecter une éventuelle exploitation car il ne veut pas aider les attaquants à monter leurs propres PoC, comme dans les récents cas de F5 et Citrix. Malgré le manque de détails, nous pouvons toujours procéder à la détection de FiveHands au niveau d’autres étapes de la Kill Chain.
Pour la reconnaissance, UNC2447 a utilisé SoftPerfect Network Scanner (netscan.exe) pour collecter les noms d’hôte et identifier les services réseau (T1046). Nous pouvons facilement rechercher l’exécution de cet outil à partir des événements de création de processus de Sysmon.
norm_id=WindowsSysmon label="Process" label=Create vendor="SoftPerfect Pty Ltd" description="Application for scanning networks"
L’outil génère alors un rapport regroupant les résultats de sa recherche appelé netscan.xml ou plus généralement .xml. Si Sysmon a été configuré pour enregistrer les créations de fichiers XML, cette possibilité vous servira comme méthode alternative pour détecter l’exécution de l’utilitaire.
[ norm_id=WindowsSysmon label="Process" label=Create -image IN ["C:\Windows\*", "C:\Program Files*"] | norm on image <image_name:'[^\\]+'><:'(?i)\.exe'> ] as s1 followed by[ norm_id=WindowsSysmon event_id=11 file="*.XML" | norm on file <file_name:'\S+'><:'(?i)\.xml'> ] as s2 on s1.image_name=s2.file_name
De même, UNC2447 a utilisé l’utilitaire RouterScan pour identifier les routeurs réseau et les serveurs proxy sur le réseau. La dernière version de RouterScan contient une liste de noms d’administrateur et de mots de passe courants pouvant être utilisés pour lancer une attaque de type dictionnaire (T1110.001) afin d’accéder à un routeur. Elle permet également d’identifier les vulnérabilités courantes et d’utiliser les exploits mis en œuvre pour cibler de nombreux routeurs populaires (T1595.002). L’utilitaire peut également analyser n’importe quel sous-réseau et n’importe quel port/protocole particulier (T1046). La détection de l’utilitaire RouterScan est simple via les événements de création de processus de Sysmon.
norm_id=WindowsSysmon label="Process" label=Create application="Router Scan by Stas'M"
Alternativement, nous pouvons rechercher la suppression des DLL, dont RouterScan a besoin pour fonctionner via les événements de création de fichiers de Sysmon.
norm_id=WindowsSysmon event_id=11 file IN ["librouter.dll", "libeay32.dll"]
UNC2447 a également utilisé l’outil d’administration à distance populaire de Microsoft PsExec pour exécuter à distance sa charge virale sur différents hôtes. Vous pouvez détecter PsExec via les événements Windows natifs ainsi que les événements pipe de Sysmon comme indiqué ci-dessous.
norm_id=WinServer event_id=4697 service=PSEXESVC| chart count() by host, user, service, file
norm_id=WindowsSysmon event_id IN [17, 18] pipe IN ["*-stdin", "*-stderr", "*-stdout"]
Les administrateurs de sécurité peuvent consulter notre blog pour obtenir plus d’informations sur la manière de traquer de manière exhaustive les exécutions PsExec dans leurs environnements.
Nous pouvons également détecter l’exécution de l’utilitaire Rclone, un outil de gestion de stockage Cloud open source, via les événements de création de processus de Sysmon.
norm_id=WindowsSysmon label="Process" label=Create description="Rsync for cloud storage"
De même, UNC2447 a installé une version gratuite du programme S3 Browser pour uploader et télécharger des données vers/depuis un compte Cloud (T1567.002). Nous pouvons détecter l’installation de S3 Browser à partir du registre de Sysmon et nous pouvons détecter son exécution à partir des événements de création de processus.
norm_id=WindowsSysmon label=Registry label=Value label=Set detail="*\S3 browser\s3browser-con.exe"norm_id=WindowsSysmon label="Process" label=Create vendor="NetSDK Software, LLC" application="S3 Browser"
Comme indiqué précédemment, UNC2447 utilise des fichiers batch et txt (dans les sous-répertoires de %PROGRAMDATA%) pour appeler des scripts PowerShell qui décodent le loader SombRAT. Nous pouvons rechercher la suppression de ces artefacts via les événements de création de fichiers de Sysmon.
norm_id=WindowsSysmon event_id=11 path="C:\ProgramData*" file IN ["WwanSvc.*"]
Si Microsoft Defender est configuré dans l’environnement, recherchez les menaces suivantes associées à UNC2447.
norm_id=WinServer label=Threat label=Detect threat IN ["Trojan:Win32/Casdet!rfn", "Trojan:BAT/Somrat", "Ransom:Win32/CryptoLocker!MSR", "Ransom:Win32/Filecoder.PA!MTB"]
Détecter les premières phases annonçant des attaques de ransomware est essentiel
Dans le paysage actuel des menaces, de nombreux acteurs malveillants tels qu’UNC2447, UNC1878 et REvil utilisent en permanence plusieurs outils accessibles au public tels qu’Advanced IP Scanner, Rclone et ADFind dans leurs campagnes. D’autres acteurs pourraient probablement rejoindre cette tendance qui consiste à utiliser des outils largement disponibles afin de réduire les ressources consacrées à la création de leur propre arsenal. L’utilisation d’outils publics courants présente également l’avantage supplémentaire de compliquer la vie des analystes en Threat Intelligence lors de la phase d’attribution des incidents.
Ainsi, les défenseurs des entreprises devraient avoir des détections en place pour repérer l’utilisation de ces outils dans la mesure où ces derniers sont utilisés par des acteurs agressifs malveillants ayant une très petite fenêtre de tir pour atteindre leur objectif. Si votre entreprise utilise les outils susmentionnés pour des tâches administratives légitimes, il est peut être préférable de passer à un autre framework comme PowerShell et de traiter toutes les exécutions de ces outils comme malveillantes. Les entreprises doivent détecter l’exécution des outils publics utilisés par les adversaires au cours de premières phases de déploiement afin d’éviter des demandes de rançon ultérieures.