Bir Sonicwall VPN cihazı aracılığıyla ilk erişimi kazanan bir tehdit oyuncusu, bir kullanıcının masaüstünde bir düz metin dosyasında kaydedilen Huntress kurtarma kodlarını bularak saldırılarını artırabildi.
Bu, saldırganın müşterinin güvenlik portalına giriş yapmasına izin verdi ve burada olay raporlarını düzeltmeye ve güvenlik temsilcilerini yollarını kapsayacak şekilde kaldırmaya çalıştılar.
Bu olay, Akira fidye yazılımlarının birden fazla kurban ortamında hızlı bir şekilde konuşlandırılmasına yol açan Sonicwall VPN’leri hedefleyen daha geniş bir kampanyanın bir dalıdır.
Bu özel durum, hassas kimlik bilgilerini kolayca erişilebilir formatlarda saklama riskini vurgulamaktadır.
APAC bölgesindeki Huntress Güvenlik Operasyon Merkezi (SOC), birden fazla idari kullanıcı, bir kuruluş içindeki çeşitli ana bilgisayarlarda gölge kopyalarını silmek için komutlar yürütmeye başladığında şüpheli etkinlik tespit etti. Buna karşılık, analistler tehdidi içerecek şekilde sistemlerin kitlesel izolasyonu başlattılar.
Soruşturma, Akira fidye yazılımı ikili W.EXE’nin bir kullanıcının masaüstünden yürütüldüğünü ve bu iş istasyonunun şifrelemesine yol açtığını ortaya koydu.
Bununla birlikte, hızlı muhafaza fidye yazılımlarının tüm ortam boyunca yayılmasını engelledi.
SOC analisti Michael olay günlüğü analizi yoluyla, tehlikeye atılan kullanıcı hesaplarına 192.168.xx aralığında dahili IP adreslerinden erişildiğini doğruladı.
Bu IP’ler muhtemelen DHCP aracılığıyla, kuruluşun Sonicwall VPN’sini tehlikeye attıktan sonra Akira tehdit aktörleri tarafından kontrol edilen sistemlere atanmıştır.
Bu teknik, saldırganların meşru ağ trafiğiyle karışmasına izin vererek, Rogue sistemlerine güvenlik ajanları yüklü olmadığından ve etkinliklerinin güvenilir bir dahili kaynaktan kaynaklandığı için uç nokta algılama ve yanıt (EDR) çözümlerini atlayarak izin verir.
Huntress SoC, Sonicwall VPN’yi olası giriş noktası olarak tanımlayan ve kitle izolasyon tepkisini haklı çıkaran resmi bir olay raporu yayınladı.
Ekip daha sonra partnere aktif tehdit konusunda kapsamlı bir istihbarat sağlamak için daha derin bir analiz için tehdit avı ve müdahale ekibi ile işbirliği yaptı.
Sertifika İhracatı ve Kötüye Kullanım
Etki Alanı Denetleyicisinin (DC) araştırılması sırasında analistler, yerel sertifika deposundan sertifikaları listelemek ve dışa aktarmak için uzlaşmış kullanıcı yürütme komutlarını gözlemlediler.
Saldırgan özellikle kullanıldı certutil -store My Kişisel mağazada kimlik doğrulama, şifreleme veya imzalama için hassas anahtarlar içerebilen sertifikaları numaralandırmak.
Daha sonra, saldırgan hem kamu hem de özel anahtarları içeren PFX formatında bir sertifika dışa aktardı.
Böyle bir sertifikadan ödün vermek, kullanıcı veya cihaz kimlik doğrulaması için kullanılırsa, bir saldırganın meşru kullanıcıları veya makineleri taklit etmesine, kimlik bilgisi hırsızlığı ve yanal hareketi kolaylaştırmasına izin verebilir.
Bu etkinlik, kalıcı erişim için hazırlıkların güçlü bir göstergesi olsa da, bu özel eylemin temel nedeni olay sırasında belirlenemedi.
DC’den idari hisse senetlerini numaralandırırken, tehdit oyuncusu bir dahili güvenlik mühendisinin masaüstünde bir düz metin dosyasını keşfetti ve erişti. Huntress_recovery_codes-.
Bu kodlar, çok faktörlü kimlik doğrulamayı (MFA) atlamak için bir yedekleme görevi görür. Onların uzlaşmaları, bir saldırgana avlanma konsoluna tam erişim sağlayarak algılama ve yanıt yeteneklerine karşı kurcalamalarını sağlar.
Huntress analistleri, bir güvenlik mühendisi hesabının, devam eden olay göz önüne alındığında anormal olan Huntress portalında aktif olay raporlarını çözmeye başladığını fark etti.
SOC ekibi endişelerini hızla artırdı ve ortak, etkinliğin personeli tarafından gerçekleştirilmediğini doğruladı.
Portal etkinliğinin gözden geçirilmesi, bilinen bir kötü amaçlı IP adresinin 104.238.221[.]Daha önce diğer Sonicwall tavizleriyle ilişkili olan 69, çalınan kurtarma kodlarını kullanarak portala erişmişti.
Saldırgan daha sonra olay raporlarını manuel olarak kapattı ve görünürlüğü bastırmak ve yanıtı engellemek için avcı temsilcilerinin uzlaşmış sistemlerden kaldırılmasını başlattı.
Bu olaylar dizisi, bir saldırganın MFA’yı atlamasına ve ayrıcalıklı erişim kazanmasına izin vererek, uygunsuz olarak saklanan kurtarma kodlarının nasıl tek bir başarısızlık noktası haline gelebileceğini vurgular.
Bu durumda, saldırgan güvenilir bir kullanıcıyı taklit edebildi, güvenlik portalına erişebildi, uyarıları bastırabildi ve uç nokta korumasını kaldırmaya çalışabildi.
Düz metin halinde depolanan kimlik bilgilerinin tehlikeleri
Kimlik bilgilerinin ve kurtarma kodlarının düz metinte depolanması önemli bir güvenlik riski oluşturmaktadır. Aldıktan sonra, ana bilgisayarlardan ödün vermek ve kritik üçüncü taraf uygulamalarına ve güvenlik platformlarına erişmek için kullanılabilirler.
Bu erişim, savunmaları devre dışı bırakmak ve daha fazla kötü niyetli işlem yapmak için silahlandırılabilir.
Kuruluşlar, kurtarma kodlarını ayrıcalıklı hesap şifreleriyle aynı güvenlik seviyesine sahip olmalıdır. Önerilen uygulamalar şunları içerir:
- Düz metin depolamasından kaçının: Kurtarma kodlarını korumasız metin dosyalarında veya paylaşılan sürücülerden kaydetmeyin.
- Bir şifre yöneticisi kullanın: Kodları ve kimlik bilgilerini güçlü bir ana şifreye sahip şifreli bir şifre yöneticisinde depolayın.
- Çevrimdışı Depolama Şifreleme: Çevrimdışı depolama kullanıyorsanız, dosyanın şifreli bir sürücüde şifrelendiğinden ve şifre korumalı olduğundan emin olun.
- Döndür ve Monitör: Kurtarma kodlarını periyodik olarak yenileyin ve olağandışı giriş etkinliğini izleyin.
Uzlaşma göstergeleri
| Öğe | Tanım |
|---|---|
w.exe |
Fidye Yazılımı Yürütülebilir |
SHA256: 6f1192ea8d20d8e94f2b140440bdfc74d95987be7b3ae2098c692fdea42c4a69 |
Fidye Yazılımı Yürütülebilir |
104.238.221[.]69 |
Huntress platformuna erişen saldırgan IP |
cert.pfx |
Sertifika Dışarı |
Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free