0

การป้องกันภัยคุมคาม : WastedLlocker  ransomware

การป้องกันภัยคุมคาม : WastedLlocker ransomware


2020-09-16 14:20:22

การป้องกันภัยคุมคาม : WastedLlocker  ransomware


การป้องกันภัยคุกคามคือซีรีส์บล็อกใหม่ ซึ่งเป็นส่วนหนึ่งของความร่วมมือระหว่าง Talos และ Cisco Security ที่ได้รวมความรู้ของ Talos เกี่ยวกับภัยคุกคามและพอร์ตโฟลิโอของ Cisco Security ซึ่งในนั้นก็จะเน้นถึงภัยคุกคามโดยเฉพาะ และจะแสดงให้เห็นว่าการเข้าถึงแบบหลายชั้นของ Cisco Security สามารถป้องกันไม่ให้ภัยคุกคามนั้นส่งผลกระทบต่อเครือข่ายได้อย่างไร 


WastedLocker เป็นตระกูลแรมซัมแวร์ที่ผู้คุกคามยังคงใช้ในการโจมตีแบบกำหนดเป้าหมาย แต่เดิมที Cisco Talos ได้เขียนเกี่ยวกับตระกูลแรนซัมแวร์นี้ไว้ เมื่อต้นเดือนกรกฎาคม แม้ว่าการโจมตีนี้จะยังคงดำเนินต่อไปอยู่นับตั้งแต่ได้มีการเผยแพร่แล้วก็ตาม ผู้คุมคามที่อยู่เบื้องหลังตระกูลแรนซัมแวร์ดูเหมือนจะกำหนดเป้าหมายไปที่องค์กรเฉพาะเจาะจงมากกว่าพุ่งเป้าไปที่ตัวบุคคล เมื่อผู้โจมตีได้รับการตั้งหลักแล้ว มันก็กระจายตัวไปทั่วเครือข่ายโดยใช้เครื่องมือที่ใช้ได้สองทาง และไบนารีส์ที่อาศัยอยู่นอกพื้นที่ (หรือที่เรียกกันว่า LoLBins) เพื่อบุกรุกติดตั้งเพิ่มระบบ เมื่อระบบที่สำคัญตกไปอยู่ภายใต้การควบคุมของผู้โจมตีแล้ว ระบบจะเรียกใช้เพย์โหลดแรนซัมแวร์ สิ่งนี้เองทำให้เหยื่อพิการไม่สามารถใช้ข้อมูลนั้นได้ จึงเป็นการเพิ่มโอกาสที่องค์กรเป้าหมายนั้นจะพิจารณาจ่ายเงินค่าไถ่ตามที่เรียกร้อง


การส่งภัยคุกคาม

กลไกลหลักอย่างหนึ่งที่ใช้ในการแพร่ระบาดของภัยคุกคามคือการที่ผู้โจมตีบุกรุกเว็บไซต์ที่ถูกต้องตามกฎหมาย ผู้โจมตีจำนวนมากที่โจมตีเว็บไซต์เหล่านี้จะใช้การส่งมัลแวร์ที่เรียกว่า Soc Gholish ซึ่งสามารถใช้เพื่อแสดงหน้าเว็บปลอมและส่งข้อมูลของมัลแวร์ หากมีผู้ใช้เข้าเยี่ยมชมหนึ่งในหน้าเหล่านี้ มันจะแสดงการแจ้งเตือนปลอม แจ้งผู้ใช้งานว่าเบราว์เซอร์มีความล้าสมัยและสั่งให้ดาวน์โหลดการอัปเดต หากผู้ใช้งานคลิกดาวน์โหลด ระบบจะดาวน์โหลดโค้ดที่เป็นอันตรายทันที Cisco Umbrella จึงเป็นแพลตฟอร์มทางด้านความมั่นคงความปลอดภัยบนระบบ Cloud สำหรับปกป้องผู้ใช้งานจาก Malware, Ransomware สามารถป้องกันการเข้าถึงเว็บไซต์ที่เป็นอันตรายเหล่านี้ได้  Umbrella จะติดตามเว็บไซต์บุกรุกที่ให้บริการมัลแวร์และโครงสร้างพื้นฐานที่สนับสนุนของเว็บไซต์ที่เป็นอันตราย โดยทำการปิดกั้นการเข้าถึงเว็บไซต์เหล่านี้ที่ DNS วิธีนี้จะป้องกันไม่ให้ผู้ใช้งานสัมผัสกับข้อความแจ้งเตือนที่เป็นอันตรายหรือทำการดาวน์โหลดส่วนขยายของเบราว์เซอร์ปลอม หากผู้ใช้งานพยายามเข้าชมเว็บไซต์ที่เป็นอันตรายเหล่านี้ Umbrella จะแจ้งเตือนขึ้น เพื่อให้นักวิเคราะห์จากศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) ทำการตรวจสอบต่อไป การใช้ Umbrella Investigate ทำให้นักวิเคราะห์สามารถค้นหาข้อมูลเพิ่มเติมบนโดเมนได้



Cisco Umbrella จะทำการบล็อกโดเมนที่แพร่กระจายมัลแวร์ผ่านข้อความการแจ้งเตือนการอัปเดตเบราว์เซอร์ปลอม 


ไม่เพียงแค่การตรวจสอบแต่จะแสดงให้เห็นเว็บไซต์ที่เป็นอันตราย ที่เคยมีประวัติการของการให้บริการโค้ดที่เป็นอันตรายมาก่อน ซึ่งก่อนหน้านี้เกี่ยวข้องกับ SmokeLoader แต่คำสำคัญหลักและคะแนนคำศัพท์ที่สูงในความเสี่ยงของโดเมนโดยรวมยังให้รายละเอียดว่าเหตุใด Umbrella จึงบล็อกเว็บไซต์นี้ แม้ว่ามันจะไม่ได้แสดงการให้บริการโค้ดที่เป็นอันตรายในขณะนั้นก็ตาม แต่โครงสร้างของมันก็เป็นที่น่าสงสัยเป็นอย่างมาก


การเริ่มต้นในการติดไวรัส

สมมุติว่าไม่มีการป้องกัน DNS อย่าง Umbrella แล้วผู้ใช้งานเข้าชมหน้าหนึ่งของเพจพวกนี้ ผู้ใช้งานจะได้รับการแจ้งเตือนปลอมว่าเบราว์เซอร์มีความล้าสมัย แล้วให้ทำการดาวน์โหลดอัปเดตเบราว์เซอร์ใหม่ อย่างไรก็ตามไฟล์. zip ที่ได้รับแจ้งให้ดาวน์โหลดนั้นจะเป็นอันตรายในทันที AMP สำหรับ Endpoints สามารถหยุดการรับส่งข้อมูลโดย SocGholish ดังที่เห็นได้จากหลักฐานภาพหน้าจอต่อไปนี้ จากการตอบสนองต่อภัยคุกคามของ Cisco SecureX   ในกรณีนีโมดูล ไฟล์ AMP จะหยุดไฟล์. zip เนื่องจากมีการจัดการที่เป็นอันตรายและมีระดับความรุนแรง "สูง" ไฟล์จะถูกตั้งค่าสถานะโดยโมดูล AMP Global Intelligence ด้วยการผสานรวม AMP กับ Cisco Threat Grid



แผงการตอบสนองต่อภัยคุกคาม Cisco SecureX แสดงการตรวจจับไฟล์. zip ที่ส่งโดย SocGholish


ปรากฏว่าก่อนหน้านี้ ไฟล์นี้ถูกส่งไปยัง Cisco Threat Grid เพื่อทำการวิเคราะห์  หากนักวิเคราะห์ SOC ต้องการตรวจสอบเพื่อดูว่าไฟล์สามารถทำอะไรได้บ้าง พวกเขาสามารถหมุนไปที่ Cisco Threat Grid และดูได้ การทำเช่นนั้นจะแสดงคุณสมบัติบางอย่างที่ตรวจพบได้ทั้งการวิเคราะห์แบบคงที่และแบบไดนามิกขณะที่โค้ดนั้นทำงานอยู่



การวิเคราะห์ภายใน Cisco Threat Grid ของมัลแวร์ที่ใช้ในการติดไวรัสครั้งแรก


ในกรณีนี้ตัวบ่งชี้จะแสดงสิ่งที่น่าสงสัยหลายประการเกี่ยวกับไฟล์:

- มันจะถูกตั้งค่าสถานะไว้แล้วโดยบริการป้องกันไวรัสหลายรายการ

- มันสื่อสารกับโดเมนในรายการบล็อกของ Umbrella

- มันอัปโหลดไฟล์ไปยังโดเมนที่เป็นอันตราย

- มันลบตัวอย่างไฟล์ต้นฉบับ

พฤติกรรมทั้งหมดนี้นำไปสู่การสรุปได้ว่ามันเป็นไฟล์ที่เป็นอันตราย สมมุติว่าผู้โจมตีประสบความสำเร็จในการให้ผู้ใช้งานดาวน์โหลดไฟล์. zip ที่เป็นอันตรายได้แล้วและเริ่มต้นการเปิดใช้งานเพย์โหลด ผู้โจมตีที่อยู่เบื้องหลัง WastedLocker มักใช้เครื่องมือหลายอย่างในขั้นตอนนี้ ซึ่งบางอย่างเป็นอันตราย บางอย่างใช้งานแบบสองทาง เพื่อขยายการเจาะเข้าไปในองค์กร


ตัวอย่างเช่น ผู้คุกคามมักใช้ประโยชน์จาก Cobalt Strike เพื่อเคลื่อนย้ายไปด้านข้างระหว่างระบบต่างๆในเครือข่าย  ผู้คุกคามใช้เครื่องมือเหล่านี้เพื่อดำเนินสั่งเพิ่มสิทธิ์และดำเนินการแทรกกระบวนการ และ/หรือ การแอบอ้างบุคคลอื่นบนคอมพิวเตอร์ที่ถูกบุกรุก  ผู้โจมตีมักจะทิ้งข้อมูลรับรองการเข้าสู่ระบบเอาไว้เพื่อเข้าถึงระบบอื่น ๆ บนเครือข่าย AMP สำหรับ Endpoints สามารถตรวจจับกิจกรรมที่เป็นอันตรายได้ เมื่ออาจมีการใช้เครื่องมือที่ใช้งานสองทางกับอุปกรณ์ปลายทาง  แต่นอกเหนือจากอุปกรณ์ปลายทางแล้ว ทั้ง Cisco Stealthwatch และ Cisco Firewalls  ที่มี AMP สำหรับเครือข่ายที่ช่วยให้ทีมรักษาความปลอดภัยสามารถระบุได้ว่าเมื่อใดที่มีผู้โจมตีพยายามใช้เครื่องมืออุปกรณ์ปลายทางเพื่อเคลื่อนย้ายไปทั่วเครือข่าย นอกจากนี้ Cisco SecureX ได้มีรวมการค้นพบของเครื่องมือรักษาความปลอดภัยต่างๆไว้เพื่อให้สามารถระบุวิธีการที่ละเอียดอ่อนที่ผู้คุกคามขยายการแสดงตนได้ง่ายขึ้นและเร็วขึ้น


เพย์โหลดของ ransomware

เมื่อระบบสำคัญถูกบุกรุกผู้คุกคามจะปรับใช้เพย์โหลด WastedLocker  เพย์โหลดเป็นลักษณะเฉพาะของแรนซัมแวร์ มันจะเข้ารหัสไฟล์บนคอมพิวเตอร์โดยใช้ไฟล์นามสกุล  "สูญเปล่า" และลบการสำรองสำเนาข้อมูลของไฟล์ แม้ว่ามัลแวร์จะได้รับการปรับแต่งสำหรับเป้าหมาย แต่ก็ยังมีฟังก์ชันมากมายที่มัลแวร์ต้องดำเนินการเพื่อเติมเต็มให้บรรลุเป้าหมาย กิจกรรมนี้จะช่วยให้สามารถตรวจจับ ransomware ใน Cisco Threat Grid และผลักดันการตรวจจับใน AMP แม้ว่าตัว แรนซัมแวร์ จะไม่ซ้ำกันก็ตาม นักวิเคราะห์สามารถส่งแรนซัมแวร์ไปยัง Cisco Threat Grid เพื่อวิเคราะห์เพิ่มเติม   ในรายงานผลลัพธ์ไฟล์กิจกรรมจะแสดงไฟล์ที่เข้ารหัสแรนซัมแวร์ด้วยนามสกุลไฟล์ลักษณะเฉพาะอย่างชัดเจน (ในกรณีนี้คือ“ .bbawasted_info”) ภายในสภาพแวดล้อมแซนด์บ็อกซ์ของ Cisco Threat Grid


WastedLocker เข้ารหัสไฟล์ในสภาพแวดล้อมแซนด์บ็อกซ์ของ Cisco Threat Grid


ในกรณีนี้ ransomware มีความคล้ายคลึงกับตระกูล ransomware รุ่นเก่า BitPaymer  ไม่ใช่เรื่องแปลกที่จะพบกับสถานการณ์เช่นนี้ เนื่องจากมีหลายวิธีการที่จะเข้ารหัสไฟล์  ในเชิงบวก เทคนิคที่ใช้ซ้ำเช่นนี้มักช่วยอำนวยความสะดวกในการตรวจจับ   การลบข้อมูลสำรองและสำเนาเป็นอีกสองเทคนิคที่แรนซัมแวร์ใช้บ่อย  ดังนั้นจึงสามารถตรวจจับ ransomware ประเภทใหม่ที่ใช้กลอุบายแบบเดิม ๆ ได้



การวิเคราะห์ WastedLocker ransomware ใน Cisco Threat Grid


บทสรุป


การโจมตีแรนซัมแวร์ที่มีการวางแผนและดำเนินการอย่างดีอาจสร้างความเสียหายได้   ข่าวดีก็คือมีหลายสิ่งที่สามารถทำได้เพื่อลดโอกาสที่การโจมตีเหล่านี้จะประสบความสำเร็จ

ในขณะที่ระบบเดินผ่านเส้นทางการติดไวรัสสำหรับ WastedLocker ransomware นี้ ระบบได้แสดงให้เห็นว่าผลิตภัณฑ์ Cisco Security สามารถตรวจจับการโจมตีหลายขั้นตอนแลป้องกันไม่ให้บรรลุเป้าหมายที่ตั้งใจไว้ในการยึดเครือข่ายเพื่อเรียกค่าไถ่ได้ แต่พลังที่แท้จริงจะเกิดขึ้นเมื่อรวมผลิตภัณฑ์เหล่านี้เข้าด้วยกันและ Cisco SecureX ซึ่งสามารถทำเช่นนั้นได้โดยนำผลิตภัณฑ์ที่ดูเหมือนแตกต่างกันมารวมไว้ในที่เดียว  นี่คือจุดแข็งที่แท้จริงของ Cisco SecureX ซึ่งเป็นแพลตฟอร์มการรักษาความปลอดภัยทางไซเบอร์ที่สามารถใช้ประโยชน์ได้เพื่อครอบคลุมโครงสร้างพื้นฐานทั้งหมดโดยใช้แพลตฟอร์มแบบเปิดและบูรณาการในตัว ซึ่งรวมสิ่งต่อไปนี้เพื่อขัดขวางภัยคุกคาม อย่าง WastedLocker 


Cisco Umbrella เพื่อบล็อกการเชื่อมต่อไปยังโดเมนที่เป็นอันตรายที่ใช้ในการเริ่มต้นการโจมตีและในกิจกรรมคำสั่งและการควบคุม (C2)

AMP สำหรับ Endpoints เพื่อตรวจจับและบล็อกโค้ดที่เป็นอันตรายที่ใช้ในการเริ่มต้นการโจมตี ขยายการแสดงตนของผู้โจมตีและเข้ารหัสระบบ

Cisco Threat Grid เพื่อทดสอบไฟล์ที่น่าสงสัย และเรียนรู้เพิ่มเติมเกี่ยวกับพฤติกรรมของผู้โจมตี

Cisco Stealthwatch เพื่อตรวจจับและป้องกันการเคลื่อนไหวข้างเคียงของผู้คุกคามภายในเครือข่ายขององค์กร

Cisco Firewalls พร้อม AMP สำหรับเครือข่าย เพื่อตรวจจับรหัสที่เป็นอันตรายที่ถูกถ่ายโอนระหว่างระบบผ่านเครือข่าย

การตอบสนองต่อภัยคุกคามของ Cisco SecureX เพื่อให้เกิดการมองเห็น และเกิดบริบทที่ช่วยให้ทีมรักษาความปลอดภัยสามารถตรวจจับ และตอบสนองต่อการโจมตีที่เป็นอันตรายได้เร็วขึ้น


นอกจากนี้ สิ่งสำคัญคือต้องตรวจสอบให้แน่ใจว่า ทีมรักษาความปลอดภัยได้สำรองข้อมูลและระบบไปยังตำแหน่งออฟไลน์  และตรวจสอบความสมบูรณ์ของการสำรองข้อมูลเหล่านั้นอย่างสม่ำเสมอ เพื่อให้แน่ใจว่าสามารถกู้คืนได้   ด้วยวิธีนี้ หากต้องเผชิญกับสถานการณ์ที่เลวร้ายที่สุด เหยื่อสามารถกู้คืนข้อมูลได้แทนที่จะจ่ายเงินค่าไถ่ การตอบสนองต่อเหตุการณ์ของ Cisco Talos สามารถช่วยองค์กรในการตอบสนองต่อการโจมตีที่ปฏิบัติการอยู่ หรือในการกู้คืนหลังจากการถูกโจมตี  การตอบสนองต่อเหตุการณ์ของ Talos นำเสนอแนวทางใหม่โดยใช้ประโยชน์จากการมีวิสัยทัศน์ที่ไม่มีใครเทียบได้นั้น ข่าวกรองภัยคุกคามที่ไม่เหมือนใครและสามารถดำเนินการได้ ความสามารถในการตอบสนองระดับสากลและเป็นหมู่คณะ ร่วมกันในข้อเสนอแบบเต็มสเปกตรัม


แปลโดย : kirz.com

อ้างอิงจาก : Cisco Blogs