آژانسهای امنیتی، FBI ، CISA ، NSA، CSE ، ACSC در یک مشاوره امنیتی، هشدارهایی در خصوص فعالیت هکرهای ایرانی منتشر کردن.
در این مشاوره اعلام شده که هکرهای ایرانی با استفاده از حملاتی مانند Brute force و تکنیکهای دیگه، حملاتی رو به سازمانهای مختلف در بخشهای مختلف حیاتی و زیرساختی از جمله مراقبتهای بهداشتی، دولتی، فناوری اطلاعات، مهندسی و بخش های انرژی انجام دادن.
هدف بازیگران از این حملات، احتمالا بدست آوردن اعتبارنامه ها و اطلاعاتی در خصوص محیط شبکه قربانیان و فروش اون به سایر بازیگران تهدید هستش.
طبق این مشاوره این حملات از اکتبر 2023 شروع شده.
در یک مشاوره دیگه که در آگوست منتشر شده بود، ایالات متحده نسبت به یک بازیگر تهدید مستقر در ایران و احتمالا تحت حمایت دولت، مبنی بر دسترسی اولیه به شبکه های متعلق به آمریکا هشداری صادر کرده بود. این بازیگر تهدید از نام مستعار Br0k3r و نام کاربری xplfinder در شبکه های ارتباطی استفاده میکرد. Br0k3r در بخش خصوصی با نامهای Pioneer Kitten, Fox Kitten, UNC757, Parisite, RUBIDIUM, Lemon Sandstorm شناخته میشه و با افیلیت های گروه های باج افزاری برای کسب درصدی از باج دریافتی همکاری میکرده.
دسترسی اولیه و ماندگاری:
بازیگران تهدید از اکانتهای ایمیل کاربران و گروه های معتبر که اغلب از طریق تکنیکهای Brute force مانند Password Spraying بدست اومده برای دسترسی اولیه استفاده میکنن.
البته یسری دسترسی اولیه به سیستم های Microsoft 365 و Azure و Citrix هم داشتن که مشخص نیست چطوری انجام شده.
در برخی موارد که سیستمها از طریق MFA محافظت میشدن، بازیگران تهدید برای دور زدن اون، از تکنیک MFA fatigue یا push bombing استفاده کردن. در این تکنیک بازیگران تهدید با ارسال زیاد اعلان به گوشی قربانی، اصطلاحا بمباران قربانی، باعث میشن تا قربانی بصورت تصادفی یا برای توقف اعلانها، درخواست رو تایید کنه.
بعد از اینکه دسترسی اولیه رو تونستن بدست بیارن، اغلب دستگاههای خودشون رو در MFA ثبت میکنن تا دسترسی خودشون رو به محیط از طریق اکانت معتبر از دست ندن.
برای این کار، در دو مورد، از طریق ثبت نام باز یک کاربر آسیبپذیر برای MFA، برای ثبت دستگاه خودشون برای دسترسی به محیط استفاده کردن.
در یک مورد دیگه هم، بازیگران از یک ابزار بازنشانی رمز عبور خودکار (SSPR) مرتبط با سرویس Active Directory Federation Service (ADFS) عمومی، برای بازنشانی حسابهای دارای رمز عبور منقضی شده و بعدش ثبت نام MFA از طریق Okta برای اکانتهای آسیبپذیر بدون MFA، استفاده کردن.
بازیگران معمولا فعالیتهای خودشون رو با استفاده از یک VPN انجام میدن. چندین IP که از فعالیتهای بازیگران تهدید بدست اومده مرتبط با سرویس Private Internet Access VPN بودن.
حرکت جانبی:
برای حرکات جانبی معمولا از RDP استفاده میکنن. در یک مورد هکرها با استفاده از Microsoft Word، پاورشل رو برای اجرای mstsc.exe (باینری RDP) اجرا کردن.
دسترسی به اعتبارنامه ها:
بازیگران تهدید احتمالا از ابزارهای متن باز برای جمع آوری اعتبارنامه ها استفاده میکنن. بازیگران تهدید، شمارش Kerberos Service Principal Name (SPN) چندین اکانت سرویس رو انجام دادن و تیکتهای Kerberos رو دریافت کردن.
در یک مورد، بازیگران از PowerShell API مربوط به Active Directory (AD) Microsoft Graph Application استفاده کردن که احتمالاً یک دامپ دایرکتوری از تمام اکانتهای اکتیودایرکتوری داده.
همچنین، بازیگران احتمالاً برای انجام Password Spraying، ابزار DomainPasswordSpray.ps1 رو استفاده کردن که در گیتهاب بطور عمومی در دسترس هستش.
هکرها همچنین از دستور Cmdkey /list استفاده کردن، احتمالاً برای نمایش نامهای کاربری و اعتبارنامهها.
افزایش امتیاز:
در یک مورد، هکرها تلاش کردن تا خودشون رو بعنوان domain controller جا بزنن، احتمالاً با اکسپلویت آسیبپذیری افزایش امتیاز Netlogon که به Zerologon هم شناخته میشه و شناسه CVE-2020-1472 داره.
شناسایی:
بازیگران تهدید از leverage living off the land (LOTL) برای بدست آوردن اطلاعاتی از سیستمها و شبکه های قربانی استفاده کردن. هکرها از دستورات کامندلاینی ویندوزی زیر برای جمع آوری اطلاعاتی در خصوص domain controllerها، دامنه های مورد اعتماد، لیست مدیران دامنه و مدیران سازمانی استفاده کردن:
|
1 2 3 4 5 |
Nltest /dclist Nltest /domain_trusts Nltest /domain_trusts/all_trusts Net group “Enterprise admins” /domain Net group “Domain admins” /domain |
در مرحله ی بعد بازیگران از کوئری های Lightweight Directory Access Protocol (LDAP) در پاورشل برای جستجوی اکتیودایرکتوری برای نامهای کامپیوتر، سیستم عاملها، توضیحات و نامهای متمایز استفاده کردن.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
$i=0 $D= [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain() $L='LDAP://' . $D $D = [ADSI]$L $Date = $((Get-Date).AddDays(-90).ToFileTime()) $str = '(&(objectcategory=computer)(operatingSystem=*serv*)(|(lastlogon>='+$Date+')(lastlogontimestamp>='+$Date+')))' $s = [adsisearcher]$str $s.searchRoot = $L.$D.distinguishedName $s.PropertiesToLoad.Add('cn') > $Null $s.PropertiesToLoad.Add('operatingsystem') > $Null $s.PropertiesToLoad.Add('description') > $Null $s.PropertiesToLoad.Add('distinguishedName') > $Null Foreach ($CA in $s.FindAll()) { Write-Host $CA.Properties.Item('cn') $CA.Properties.Item('operatingsystem') $CA. Properties.Item('description') $CA.Properties.Item('distinguishedName') $i++ } Write-host Total servers: $i |
C2:
در یک مورد، هکرها احتمالا با استفاده از msedge.exe به زیرساخت Cobalt Strike Beacon C2، متصل شدن.
استخراج و جمع آوری:
در چندین مورد، بازیگران بعد از اینکه به اکانت قربانی لاگین کردن، فایلهای مربوط به دسترسی از راه دور و موجودی سازمان رو دانلود کردن. این کار احتمالا برای ماندگاری بیشتر در شبکه قربانی و فروش داده صورت گرفته.
تشخیص فعالیتهای مخرب:
برای تشخیص فعالیتهای Brute force، آژانسها توصیه کردن لاگهای احرازهویت رو برای لاگین های ناموفق و متعدد به سیستم و برنامه های کاربردی مرتبط با اکانتهای معتبر رو بررسی کنید.
برای تشخیص استفاده از اعتبارنامههای به خطر افتاده، آژانسها مراحل زیر رو توصیه کردن:
- به دنبال “لاگینهای غیرممکن” باشید، مانند لاگینهای مشکوک با تغییر نام کاربری، رشتههای user agent و محتوای آدرس IP یا لاگینهایی که آدرس IP با مکان جغرافیایی مورد انتظار کاربر مطابقت نداره.
- دنبال آدرسهای IP بگردید که در چندین اکانت مورد استفاده قرار گرفته. البته اکانتهای مورد انتظار رو حذف کنید. مثلا تیم های IT ممکنه برای حل مشکلات، با یک IP به چندین اکانت لاگین کنن.
- دنبال “impossible travel” باشید. این حالت زمانی اتفاق می افته که یک کاربر از چندین آدرس IP با فاصله جغرافیایی قابل توجه لاگین کنه. البته VPN رو هم در نظر بگیرید.
- دنبال رجیسترهای MFA با MFA در مکانهای غیرمنتظره یا از دستگاههای ناآشنا باشید.
- دنبال آرگومانهای خط فرمان اجرای پروسس ها و برنامه ها باشید که ممکنه نشون دهنده ی دامپ اعتبارنامه باشه، بویژه تلاشها برای دسترسی یا کپی کردن فایل ntds.dit از یک کنترلکننده دامنه.
- دنبال استفاده مشکوک از اکانتهای دارای امتیاز بعد از بازنشانی رمز عبور یا اعمال اقدامات کاهش اکانت کاربری باشید.
- دنبال فعالیت غیرمعمول در اکانتهای معمولاً راکد باشید.
- دنبال رشتههای user agent غیرمعمول باشید، مانند رشتههایی که معمولاً با فعالیت عادی کاربر مرتبط نیستن، که ممکنه نشون دهنده فعالیت یک بات باشه.
اقدامات کاهشی:
آژانس های شرکت کننده در این مشاوره، همچنین یسری اقدامات کاهشی براساس TTPهای این هکرها منتشر کردن.
- مدیریت رمز عبور IT helpdesk مرتبط با رمزهای عبور اولیه، بازنشانی رمز عبور برای قفل شدن کاربر و اکانتهای مشترک رو بررسی کنید. ممکنه رویههای رمز عبور IT helpdesk با سیاست شرکت برای تأیید کاربر یا قدرت رمز عبور همسو نباشه و یک شکاف امنیتی ایجاد کنه. از رمزهای عبور رایج (مانند “Spring2024” یا “Password123!”) خودداری کنید.
- اکانتهای کارکنان جدا شده رو غیرفعال کنید و دسترسی به منابع سازمانی رو برای اونا محدود کنید. غیرفعال کردن این اکانتها، باعث میشه دسترسی به این سیستمها محدود بشه و گزینههایی رو که بازیگران میتونن برای ورود به سیستم از اونا استفاده کنن رو هم حذف میکنه. اکانتهای کاربران جدید رو تا حد ممکن نزدیک به تاریخ شروع کار کارمند جدید ایجاد کنید.
- MFA مقاوم در برابر فیشینگ رو پیادهسازی کنید. (راهنما)
- تنظیمات MFA رو بطور مداوم بررسی کنید تا پوشش تمام پروتکلهای فعال و در سمت اینترنت رو تضمین کنه تا هیچ سرویس قابل اکسپلویتی در معرض خطر قرار نگیره.
- آموزش امنیت سایبری پایه رو برای کاربران ارائه بدید، که مفاهیمی مانند موارد زیر رو پوشش میده:
- تشخیص تلاشهای ناموفق ورود به سیستم
- اینکه کاربران درخواستهای MFAای رو که ایجاد نکردن، رد کنن.
- اطمینان از اینکه کاربران دارای اکانتهای فعال MFA، MFA رو به درستی تنظیم کردن.
- اطمینان حاصل کنید که سیاستهای رمز عبور، با آخرین دستورالعملهای هویت دیجیتال NIST مطابقت دارن.
- با ایجاد یک رمز عبور با استفاده از 8-64 کاراکتر غیر استاندارد و عبارات طولانی، در صورت امکان، حداقل قدرت رمز عبور رو برآورده کنید.
- استفاده از RC4 رو برای احراز هویت Kerberos، غیرفعال کنید.
آژانسهای مشاور، همچنین به تولیدکنندگان نرمافزار توصیه کردن که اصول طراحی و تاکتیکهای ایمن رو در شیوه های توسعه نرمافزار خودشون قرار بدن تا از مشتریاشون در برابر عواملی که از اعتبارنامه های در معرض خطر استفاده میکنن محافظت کنن و در نتیجه وضعیت امنیتی مشتریاشون رو تقویت کنن. (راهنما)
اعتبارسنجی کنترلهای امنیتی
علاوه بر اعمال اقدامات کاهشی، آژانسهای مشاور توصیه کردن که برنامه های امنیتی سازمان رو در برابر رفتارهای تهدید ترسیم شده در چارچوب MITRE ATT&CK برای این مشاوره، تمرین، تست و اعتبارسنجی کنید.
آژانسهای مشاور، توصیه کردن موجودی کنترلهای امنیتی خودتون رو تست کنید تا عملکرد اونارو در برابر تکنیکهای ATT&CK ارائه شده در این مشاوره ارزیابی کنید.
برای شروع:
- یک تکنیک ATT&CK توصیف شده در این مشاوره رو انتخاب کنید (راهنما).
- فناوریهای امنیتی خودتون رو در برابر تکنیک همسو کنید.
- فناوریهای خودتون رو در برابر تکنیک تست کنید.
- عملکرد فناوریهای تشخیص و پیشگیری خودتون رو آنالیز کنید.
- این فرآیند رو برای تمام فناوریهای امنیتی تکرار کنید تا مجموعهای از دادههای عملکرد جامع بدست بیارید.
- برنامه امنیتی خودتون رو، از جمله افراد، فرایندها و فناوریها، بر اساس دادههای تولید شده توسط این فرآیند تنظیم کنید.
آژانسهای مشاور، توصیه کردن که برنامه امنیتی خودتون رو بطور مداوم، در مقیاس، در یک محیط تولید تست کنید تا عملکرد بهینه در برابر تکنیکهای MITRE ATT&CK شناسایی شده در این مشاوره رو تضمین کنن.
منابع: