Phòng Chống Mã Độc Tống Tiền Phobos Dựa Trên Giải Pháp BAS của SafeBreach
Ngày 29/2, Cơ quan An ninh cơ sở hạ tầng và an ninh mạng (CISA) đã ban hành khuyến cáo liên quan đến hành vi độc hại của các tác nhân đe dọa AA24-060A liên quan đến Phobos Ransomware, thông tin chi tiết về các mối đe dọa này và các IOC và TTP liên quan có thể được xem trên các liên kết sau:
Bài viết này sẽ chia sẻ tổng quan về cả các mối đe dọa và phạm vi giải pháp BAS của SafeBreach có thể tận dụng để bảo vệ hệ thống liên quan đến mối đe dọa này. Với Cơ sở dữ liệu về các cuộc tấn công hiện tại lớn nhất thế giới (hơn 30.000 Attack Method), Các khách hàng của SafeBreach, sẽ có quyền truy cập vào tất cả các cuộc tấn công trong đó có các kịch bản tấn công liên quan đến Phobos Ransomware để xác thực các biện pháp kiểm soát bảo mật của tổ chức giúp chống lại các mối đe dọa nâng cao này.
AA24-060A – Phần mềm tống tiền Phobos
Cảnh báo về mã độc tống tiền Phobos được Cục Điều tra Liên bang (FBI), CISA và Trung tâm Phân tích và Chia sẻ Thông tin Đa quốc gia (MS-ISAC) phối hợp phát hành và nêu bật các IOC và TTP liên quan đến ransomware Phobos được quan sát gần đây nhất là vào tháng 2/2024. Phobos thường được tận dụng trong mô hình ransomware-as-a-service (RaaS) bởi các chi nhánh của nó, những người thường được biết là nhắm mục tiêu vào chính quyền tiểu bang, địa phương, bộ lạc và lãnh thổ (SLTT). Bằng cách nhắm mục tiêu vào chính quyền thành phố và quận, các dịch vụ khẩn cấp, giáo dục, chăm sóc sức khỏe cộng đồng và các cơ sở hạ tầng quan trọng khác, các chi nhánh ransomware Phobos đã thành công trong việc trích xuất tiền chuộc trị giá vài triệu đô la Mỹ.
Theo thông tin hiện có, ransomware Phobos có khả năng được kết nối với nhiều biến thể (bao gồm Elking, Eight, Devos, Backmydata và Faust ransomware) do các TTP tương tự được quan sát thấy trong các vụ xâm nhập Phobos. Các tác nhân đe dọa tận dụng Phobos thường sử dụng nó cùng với các công cụ nguồn mở như Smokeloader, Cobalt Strike và Bloodhound do các công cụ này dễ dàng có sẵn và khả năng hoạt động trong nhiều môi trường mạng khác nhau. Chi tiết về hành vi của mối đe dọa này có thể được nhìn thấy dưới đây:
- Recon và truy cập ban đầu – Các tác nhân đe dọa có được quyền truy cập ban đầu bằng cách tận dụng lừa đảo để đưa những payload độc hại hoặc bằng cách tận dụng các công cụ quét giao thức internet (IP), chẳng hạn như Angry IP Scanner (cho các kết nối RDP dễ bị tấn công). Khi họ phát hiện ra kết nối RDP dễ bị tấn công, họ có quyền truy cập ban đầu thông qua brute force. Các tác nhân đe dọa sau đó triển khai các công cụ truy cập từ xa để thiết lập kết nối với mạng nạn nhân. Ngoài ra, họ cũng có thể sử dụng email giả mạo để gửi payload độc hại ẩn thông qua trojan backdoor. Những payload độc hại này sau đó có thể được sử dụng để trích xuất dữ liệu nhạy cảm từ hệ thống mạng của nạn nhân.
- Thực thi và leo thang đặc quyền – Bằng cách chạy các tệp thực thi như 1saas.exe hoặc cmd.exe, các tác nhân đe dọa triển khai các payload bổ sung đã được bật đặc quyền nâng cao. Các hoạt động của Phobos có quy trình ba pha tiêu chuẩn để giải mã payload cho phép các tác nhân đe dọa triển khai phần mềm độc hại phá hoại bổ sung. Trong giai đoạn đầu tiên, bằng cách thao tác các chức năng API VirtualAlloc hoặc VirtualProtect, các tác nhân đe dọa có thể tiêm các đoạn mã vào các quy trình đang chạy, cho phép phần mềm độc hại trốn tránh hệ thống phòng thủ mạng. Trong giai đoạn thứ hai, một quá trình tàng hình được sử dụng để làm xáo trộn hoạt động chỉ huy và kiểm soát (C2) bằng cách tạo ra các yêu cầu đến các trang web hợp pháp. Giai đoạn thứ ba cho phép các tác nhân đe dọa giải nén chu trình xóa chương trình khỏi bộ nhớ được lưu trữ, sau đó được gửi để trích xuất từ hàm băm SHA 256 dưới dạng payload.
- Persistence and Privilege Escalation – Các chi nhánh của Phobos đã được quan sát bằng cách sử dụng các thư mục Windows Startup và Chạy các khóa đăng ký như C: / Users \ Admin \ AppData \ Local \ directory để duy trì sự bền bỉ trong môi trường bị xâm nhập. Ngoài ra, bằng cách tận dụng các chức năng API được tích hợp sẵn trong Windows, chúng ăn cắp mã thông báo, bỏ qua kiểm soát truy cập và tạo các quy trình mới để leo thang đặc quyền bằng cách lợi dụng quy trình SeDebugPrivilege.
- Khám phá và truy cập thông tin xác thực – Những kẻ tấn công Phobos cũng sử dụng các công cụ mã nguồn mở như Bloodhound và Sharphound để liệt kê thư mục hoạt động. Ngoài ra, Mimikatz và NirSoft, cũng như Remote Desktop Passview cũng đã được sử dụng để xuất thông tin đăng nhập máy khách của trình duyệt.
- Exfiltration – Các liên kết của Phobos thường sử dụng WinSCP và Mega.io để lọc tệp chúng cài đặt Mega.io và sử dụng nó để xuất các tệp nạn nhân trực tiếp sang nhà cung cấp dịch vụ lưu trữ đám mây. Dữ liệu bị đánh cắp thường được lưu trữ dưới dạng .rar hoặc .tập tin zip . Các tài liệu được nhắm mục tiêu và thường bị đánh cắp bao gồm tài liệu pháp lý, hồ sơ tài chính, tài liệu kỹ thuật (bao gồm kiến trúc mạng) và cơ sở dữ liệu cho phần mềm quản lý mật khẩu thường được sử dụng.
- Tác động sau Exfil – Sau khi giai đoạn lọc hoàn tất, các tác nhân Phobos tìm kiếm các bản sao lưu bằng cách sử dụng tiện ích dòng lệnh vssadmin.exe và Windows Management Instrumentation (WMIC) để khám phá và xóa các volume shadow copies trong môi trường Windows. Điều này ngăn nạn nhân khôi phục các tệp sau khi mã hóa đã diễn ra.
- Tống tiền – Tống tiền thường xảy ra qua email. Một số chi nhánh thậm chí đã sử dụng các cuộc gọi thoại để liên lạc với nạn nhân và yêu cầu tiền chuộc. Các tác nhân đe dọa cũng được biết là sử dụng các công cụ nhắn tin tức thời như ICQ, Jabber và QQ để liên lạc với nạn nhân.
Các tấn công mới dựa trên cảnh bảo của US-CERT liên quan đến Phobos ransomware đã được SafeBreach thêm vào playbook để có thể chạy
Ngay sau khi thông tin chi tiết được cung cấp, các nhóm SafeBreach Labs đã thêm các cuộc tấn công mới dựa trên lời khuyên và lập bản đồ các cuộc tấn công hiện có trong Playbook của hacker với các cảnh báo US-CERT này ngay lập tức. Điều quan trọng cần lưu ý là các khách hàng hiện tại của SafeBreach đã có thể tận dụng các IOC và TTP để bảo vệ hệ thống của mình. Các khách hàng của SafeBreach có thể chạy/chạy lại các cuộc tấn công được liệt kê bên dưới để đảm bảo môi trường của mình được bảo vệ chống lại các TTP này.
Các cuộc tấn công Playbook hiện có liên quan đến AA24-060A
- # 192 – Tấn công vũ phu qua giao thức RDP (chuyển động bên)
- # 794 – Trích xuất thông tin đăng nhập bằng MimiKatz (cấp máy chủ)
- # 911 – Thêm đặc quyền SE_DEBUG_NAME (cấp máy chủ)
- # 2173 – Thực thi mã bằng Mshta
- # 1693 – Thu thập dữ liệu hệ thống Windows bằng CMD (cấp máy chủ)
- # 2188 – Giải nén Danh sách Quy trình bằng Lệnh Windows (cấp máy chủ)
- # 2221 – Sửa đổi khóa Registry Run (cấp máy chủ)
- # 6372 – Sửa đổi Bản sao bóng âm lượng (VSS) (cấp máy chủ)
- # 2273 – Chuyển Hash qua SMB bằng Mimikatz (chuyển động bên)
- # 2389 – Sửa đổi Quy tắc tường lửa bằng cách sử dụng netsh.exe (cấp máy chủ)
- # 3829 – Chạy Mimikatz bị xáo trộn trên máy chủ (cấp máy chủ)
- # 5833 – Trích xuất thông tin đăng nhập bằng MimiKatz DCSync (cấp máy chủ)
- # 6473 – Chuyển động bên không cần tác nhân thông qua RDP (cấp máy chủ)
- # 6578 – Khám phá người dùng miền bằng phương pháp LDAP (cấp máy chủ)
- # 6802 – Thu thập thông tin xác thực bằng Mimikatz DCSync với thông tin đăng nhập người dùng (cấp máy chủ)
- # 7169 – Kết xuất cơ sở dữ liệu SAM từ sổ đăng ký (Windows) (cấp máy chủ)
- # 7220 – Process Injection – Thread Execution Hijacking (cấp máy chủ)
- # 8359 – Tiêm quy trình – Cuộc gọi thủ tục không đồng bộ (cấp máy chủ)
- # 9456 – Trích xuất thông tin đăng nhập SAM từ sổ đăng ký (cấp máy chủ)
Các cuộc tấn công Playbook mới liên quan đến AA24-060A
- # 9543 – Ghi ransomware Phobos (7069ed) vào đĩa
- # 9544 – Giai đoạn tiền thực thi của ransomware Phobos (7069ed) (Windows)
- # 9545 – Chuyển ransomware Phobos (7069ed) qua HTTP / S
- # 9546 – Chuyển ransomware Phobos (7069ed) qua HTTP / S
- # 9547 – Email Phobos (7069ed) ransomware dưới dạng tệp đính kèm nén
Làm sao để chạy các tấn công này vào trong hạ tầng CNTT của mình để xác thực các biện pháp bảo mật đã hiệu quả.
Khách hàng của SafeBreach hiện có thể xác thực các biện pháp kiểm soát bảo mật của mình đối với các TTP này theo nhiều cách.
Phương pháp 1 – Truy cập trang “Kịch bản vi phạm an toàn” và chọn kịch bản AA24-060A (Phobos Ransomware) từ danh sách các kịch bản có sẵn.
Phương pháp 2 – Từ Playbook Attack, chọn và lọc các cuộc tấn công liên quan đến US-CERT Alert AA24-060A (Phobos Ransomware). Ngoài ra, bạn cũng có thể tham khảo danh sách trên để đảm bảo mức độ bao phủ toàn diện.
Phương pháp 3 – Từ báo cáo Chuỗi tấn công đã biết, chọn báo cáo Cảnh báo AA24-060A (Phobos Ransomware của US-CERT và chọn Chạy mô phỏng, tất cả các phương thức tấn công theo kịch bản sẽ được chạy một cách tự động.
Chi tiết xin liên hệ:
Công ty cổ phần giải pháp công nghệ Sonic
Địa chỉ: Tầng 2, Tòa 29T1, Đường Hoàng Đạo Thúy, P. Trung Hòa, Q. Thanh Xuân, TP. Hà Nội
Tel: 02466.564.587
Email: sales@sonic.com.vn