Yakın tarihli bir olay, bir tehdit aktörünün, popüler bir uç nokta tespiti ve yanıt (EDR) ajanını kendi saldırı altyapısına kurarak tüm operasyonel iş akışını yanlışlıkla ortaya çıkardığını ortaya çıkardı.
Rakip, çeşitli güvenlik platformlarını değerlendirirken, Huntress analistlerinin olağandışı telemetri verilerini araştırmasına neden olan uyarıları tetiklediğinde senaryo ortaya çıktı.
Sistem etkinliğinin ve tarayıcı tarihinin ilk gözlemleri, sofistike keşif çabalarını ima ederek araştırmacıların EDR sistemi tarafından toplanan artefaktları daha derinlemesine araştırmalarını istedi.
Dağıtımdan sonraki saatler içinde, ajan kötü niyetli niyetin gösterdiği bir dizi etkileşim kaydetti.
Huntress analistleri, benzersiz makine tanımlayıcısının önceki uzlaşma soruşturmalarında ortaya çıktığını ve ev sahibini hemen düşman olarak işaretlediğini belirtti.
Kimlik doğrulama günlüklerinin ve telemetri verilerinin daha sonra korelasyonu, kimlik bilgisi hırsızlığı kalıplarını, oturum jeton yenilemelerini ve otomatik takım yürütmeyi ortaya çıkardı.
Araştırmacılar, döndürülmüş oturum belirteçlerine erişme girişimlerini belirlediler ve ısmarlama senaryolar aracılığıyla düzenlenen otomatik kimlik avı kampanyalarının kanıtını buldular.
Bu kazara kurulumun etkisi abartılamaz. Savunucular ilk kez, canlı bir tehdit operatörünün günlük rutinlerine, keşiften aktif sömürüye kadar ayrıntılı görünürlük kazandı.
.webp)
Tehdit Aktör Günü tipik olarak pasif dış tarama ile başladı ve daha sonra tanımlanan kuruluşların hedefli sömürüsüne geçti.
Ayrıntılı tarayıcı geçmişi girişleri, keşif için hem kamuya açık hem de abonelik tabanlı hizmetlerin yanı sıra trafiği anonimleştirmek ve algılamadan kaçınmak için konut vekalet hizmetlerinin konuşlandırılmasını gösterdi.
Üç aylık bir süre boyunca, EDR telemetri saldırganın iş akışında net bir evrim yakaladı.
İlk faaliyetler bankacılık kurumlarını ve üçüncü taraf satıcılarını araştırmaya odaklanırken, daha sonraki aşamalar, kimlik avı mesajı için otomatik iş akışlarının benimsenmesini ortaya koymuştur.
.webp)
Huntress araştırmacıları, operasyonel verimliliği artırmak için rakip komut dosyası tekrarlayan görevleri ile daha fazla programlı araç kullanımına doğru kademeli bir kayma belirlediler.
Enfeksiyon mekanizması ve kalıcılık taktikleri
Enfeksiyon mekanizmasına daha derin bir bakış, tehdit oyuncusunun ilk erişimi nasıl elde ettiğini ve hedef ortamlarda bir dayanak sağladığını ortaya çıkarır.
.webp)
Telegram masaüstü çerez dosyalarından basit bir python betiği kullanılarak çıkarılan düşmandan kaldırılmış çalıntı oturum çerezleri. Script,:-
from roadtx import PrtAuth
auth = PrtAuth(token_file="victim_cookie.json")
session = auth.acquire()
print(session)Bu, saldırganın Microsoft Entra ve Office 365 hizmetleri için birincil yenileme jeton çıkarma işlemini otomatik olarak ortaya koyuyor.
Geçerli jetonlar elde edildikten sonra, çok faktörlü kimlik doğrulamasını tetiklemeden veya uç nokta savunmalarını uyarmadan mağdur hesaplarına kimlik doğrulaması yapmak için kullanıldı.
Kalıcılık, düzenli olarak yenilenen oturum jetonlarını ve keşif senaryolarını yürüten planlanmış görevlerin konuşlandırılmasıyla kalıcılık elde edildi. Bu görevler, meşru süreçlerle karıştırmak için göze çarpmayan adlar altında Windows Görev Zamanlayıcısına kaydedildi.
.webp)
Huntress analistleri bu girişleri belirledi ve devam eden kontrolü doğrulayarak saldırgan kontrollü C2 sunucularına periyodik giden bağlantılar gözlemledi.
Gerçek dünyadaki tehdit aktör davranışına bu nadir görülme, savunucular için paha biçilmez bilgiler sağladı. Güvenlik ekipleri, enfeksiyon ve kalıcılık tekniklerini inceleyerek hedeflenen algılama kuralları oluşturabilir ve benzer belirteç tabanlı saldırılara karşı kimlik doğrulama iş akışlarını sertleştirebilir.
Telemetri güdümlü analiz ve manuel eser incelemesi arasındaki işbirliği, modern güvenlik operasyonlarında kapsamlı EDR çözümlerinin öneminin altını çizmektedir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.