SHARE
Security / May 17, 2021

Acompanhamento do DarkSide e de ransomwares: a perspectiva da rede

Desde que ganhou as manchetes no começo de maio de 2021, o incidente de ransomware ocorrido na Colonial Pipeline atraiu grande atenção tanto da mídia quanto dos espaços de segurança da informação, devido ao escopo e ao impacto do evento. Embora muitas informações já tenham sido registradas e continuem surgindo à medida que mais evidências são disponibilizadas, até o momento falta no debate uma perspectiva centrada na rede quanto aos comportamentos gerais e às possibilidades de detecção associadas à implantação de ransomwares. Neste artigo, a Gigamon apresenta uma visão geral do evento em questão, os comportamentos vinculados a operações de ransomware semelhantes, a importância da visibilidade da rede e as possibilidades de detecção e monitoramento de rede para confrontar esses adversários e as atividades mal-intencionadas relevantes.

Histórico

Em 7 de maio de 2021, a Colonial Pipeline sofreu um incidente de ransomware. Apesar de todas as informações disponíveis indicarem que o ransomware afetou apenas os sistemas de TI empresariais da Colonial, a companhia desligou preventivamente os sistemas de controle industrial (ICS) vinculados por precaução. A intrusão e a interrupção resultante dela foram posteriormente relacionadas a uma variante de ransomware conhecida como DarkSide. Ativo desde pelo menos agosto de 2020, o DarkSide opera sob um modelo de “ransomware como serviço” ou “afiliado”, em que o grupo oferece serviços de ransomware de “dupla extorsão” para outras entidades que executam a verdadeira violação de rede e a implantação de funcionalidade. Então, o DarkSide gerencia as negociações e o pagamento para descriptografar as informações da vítima e evitar o vazamento seletivo dos dados exfiltrados da rede alvo.

Embora a atividade relacionada ao DarkSide tenha permanecido em um estado relativamente estável desde sua descoberta em 2020, o incidente na Colonial Pipeline é relevante devido ao seu impacto abrupto. Apesar desta não ter sido a primeira intrusão cibernética significativa nos sistemas de pipeline, nem a primeira ocorrência de ransomware na infraestrutura de pipelines, o desligamento preventivo dos sistemas cruciais da Colonial interrompeu as operações da organização. Como uma das principais artérias de distribuição de produtos de petróleo refinado nas regiões leste e sudeste dos Estados Unidos, a interrupção incitou reações de pânico na compra de gasolina por meio de declarações da Casa Branca. Ainda que a Colonial tenha começado a restaurar suas operações já em 12 de maio de 2021, o abalo e os impactos de curto prazo decorrentes do evento foram sentidos tanto pelos formuladores de políticas quanto pelos grupos de segurança da informação.

Táticas operacionais contra intrusões de entidades de ransomware

O ransomware DarkSide afetou inúmeras vítimas desde sua descoberta em 2020. No entanto, embora esta carga útil final que levou à interrupção da rede (e ao roubo de dados para extorsão) seja crítica, os defensores devem se concentrar nas etapas preliminares que habilitam a execução do ransomware, em vez de envidar seus esforços na própria família do ransomware. Neste contexto, dado o “modelo de afiliado” por meio do qual os adversários implantam o DarkSide, a variante de ransomware pode ser vinculada a inúmeros perfis comportamentais.

Vários fornecedores oferecem percepções sobre o acesso inicial, a fortificação e a atividade de movimento lateral posterior vinculada à implantação do DarkSide. Entre os exemplos mais relevantes estão os seguintes:

Todas essas contribuições são valiosas para o debate sobre a implantação do DarkSide. A Gigamon recomenda que os defensores analisem esses itens para se conscientizarem e se familiarizem com esta ameaça. Contudo, todos esses itens se concentram principalmente em ações e observações baseadas em host, o que não é surpreendente, uma vez que a maioria das entidades em questão está envolvida em soluções de segurança baseadas em host. Além dessas observações, os defensores têm uma infinidade de opções para acompanhar comportamentos na rede relacionados à implantação do DarkSide, bem como outras operações de ransomware.

Mecanismos de acesso inicial

A implantação adversária do ransomware DarkSide está vinculada a uma pluralidade de mecanismos de acesso inicial, como seria esperado, considerando que várias entidades estão relacionadas ao seu uso. Com base em uma análise da literatura disponível, a Gigamon identifica os seguintes aspectos como os principais mecanismos afiliados ao DarkSide para invadir as redes das vítimas:

  • Atividade de phishing que aproveita anexos mal-intencionados
  • Ataques de reprodução de credenciais contra serviços externos, como o protocolo RDP
  • Uso de exploits divulgados ao público contra serviços externos, como vulnerabilidades em dispositivos de VPN acessíveis externamente (incluindo o CVE-2021-20016)

Embora os tópicos acima representem vetores conhecidos vinculados às operações afiliadas ao DarkSide, o mecanismo específico utilizado para se infiltrar na Colonial Pipeline não é conhecido até o momento. Ainda assim, esses mecanismos de intrusão inicial são bem alinhados às táticas operacionais comuns associadas não apenas a operações criminosas (como o ransomware), mas também a ameaças persistentes avançadas (APT) ou intrusões dirigidas por estado.

Embora um exploit de VPN específico seja mencionado na pesquisa da FireEye, a Gigamon avalia que outros exploits divulgados ao público provavelmente foram utilizados também como parte de intrusões que levaram à implantação final do ransomware de forma mais geral. Considerando o aumento relevante na divulgação e no uso posterior de exploits que têm como alvo dispositivos externos, como concentradores de VPN, os defensores da rede devem antecipar as ações rápidas de vários adversários, sejam relacionadas ao DarkSide ou não, para obter vantagem de tais pontos de entrada em potencial.

Movimento lateral e atividade de comando e controle

Uma vez dentro das redes das vítimas, as intrusões relacionadas ao DarkSide aproveitam uma combinação de ferramentas de sistema internas (como o “LoLBins”) e de ferramentas disponíveis ao público ou no mercado para diversos níveis de comunicação e funcionalidade de rede. Esses itens são implantados para se propagarem pela rede da vítima, bem como para manter o comando e o controle (C2) sobre quaisquer implantações ou ferramentas. Os exemplos incluem:

Além disso, os adversários aproveitam as ferramentas internas, como as conexões de RDP e o protocolo SMB, para habilitar a implementação de ferramentas ou recursos e o movimento lateral nos ambientes das vítimas, combinados com a coleta contínua de credenciais por meio de ferramentas como o Mimikatz.

Nesta etapa, a visibilidade relacionada ao ponto de extremidade se torna valiosa na avaliação de uma intrusão em muitos casos. Porém, mesmo a melhor visibilidade do ponto de extremidade por si só não é suficiente para acompanhar, detectar e monitorar adversários ardilosos. Este, em especial, é o caso do movimento de rede interno. Ao emparelhar o monitoramento e a visibilidade da rede com o monitoramento de segurança da rede robusta, os defensores podem garantir que todos os caminhos possíveis na operação contra os intrusos foram considerados.

Assim como os vetores de acesso inicial descritos na seção anterior, o movimento lateral e os mecanismos C2 identificados aqui dificilmente são exclusivos da implantação do DarkSide. Em vez disso, essas técnicas abrangem comportamentos também implantados por entidades que variam de APTs a outros agentes criminosos. Ao estabelecer o monitoramento para a comunicação externa vinculada às ferramentas ou técnicas mencionadas acima, ou ao examinar fluxos de comunicação interna para a atividade de movimento lateral, os defensores podem identificar comportamentos mal-intencionados mesmo quando o ponto de extremidade e a visibilidade semelhante podem ser evitados.

Exfiltração dos dados

Outro componente das operações relacionadas ao DarkSide, juntamente com algumas outras famílias de ransomware, é o uso da “dupla extorsão” para exigir pagamento. Além de criptografar os dados, as informações da vítima são roubadas com ameaça de publicação, a menos que o resgate seja pago. A identificação de uma exfiltração em curso de dados em larga escala pode ser um indicador de ações disruptivas prestes a acontecer e, se detectadas a tempo, podem permitir que os defensores reajam rapidamente para evitar mais danos. Com base em relatórios de pesquisadores da Red Canary sobre as tendências gerais neste espaço, bem como observações específicas sobre o DarkSide, as seguintes ferramentas e técnicas aparecem associadas a operações de “dupla extorsão”:

Embora não tenha sido comprovado de forma conclusiva, os relatórios de mídia indicam que, pelo menos no incidente da Colonial, os criminosos aproveitaram a infraestrutura de hospedagem na nuvemespecialmente da DigitalOcean, como uma intermediária para a exfiltração dos dados como parte desse processo.

Os comportamentos acima oferecem várias possibilidades de detecção. Os exemplos incluem o acompanhamento simples de fluxos de tráfego grandes e anômalos, indicativos de exfiltração dos dados em larga escala para utilização de serviços específicos e combinações de destino (como WinSCP para um Número de Sistema Autônomo (ASN) associado a um provedor de nuvem).

Visibilidade e monitoramento de rede

Os mecanismos identificados acima não são distintos para a implantação do DarkSide. Eles oferecem um benefício considerável aos defensores, pois a identificação de técnicas gerais associadas a tais intrusões habilitará uma cobertura defensiva sobre muitos adversários em potencial. Além disso, tendo em conta os esforços de entidades relacionadas ao DarkSide (bem como várias outras ameaças) para evitar soluções de detecção e resposta de ponto de extremidade (EDR) como parte da tática operacional indispensável, o aumento da visibilidade centrada no host com monitoramento de rede robusto pode permitir que as organizações detectem tais operações em várias fases da Cadeia de Ataque.

A implantação da visibilidade e do monitoramento da rede, não somente na extremidade da rede, mas também em seu tráfego interno, pode permitir respostas defensivas avançadas, que abrangem vários tipos de ameaças. Observando os comportamentos identificados nas seções anteriores, diversos mecanismos de defesa e alerta surgem do acesso inicial por meio do movimento lateral e da execução de código.

Monitoramento externo

Pode ser difícil monitorar a varredura externa ou a atividade de autenticação por força bruta devido ao grande volume de atividades de vários serviços, agentes mal-intencionados e outras entidades. No entanto, ter a capacidade de diferenciar um “sinal” importante do ponto de vista da segurança a partir do “ruído” de fundo é crucial para articular uma defesa de rede relevante e sustentável.

Por exemplo, a identificação da atividade de varredura do exploit, tal como para a vulnerabilidade da VPN vinculada à implantação do DarkSide acima, pode rapidamente resultar em diversos alarmes em vários scanners comerciais ou acadêmicos que tentam identificar instâncias vulneráveis. Em vez de tentar alcançar cada varredura de vulnerabilidade potencial, os defensores devem procurar detecções com mais qualidade e menos volume para garantir operações focadas e eficientes.

Ao exibir os eventos de segurança da rede não como objetos atômicos e discretos, mas como itens interrelacionados e vinculados ao longo do tempo e da execução, surgem ótimas possibilidades para detecção e análise. Por exemplo, a identificação de atividades vinculadas, como uma varredura de vulnerabilidade de um serviço externo (ou uma tentativa nítida de explorar esse serviço), seguida por uma varredura ou atividade de autenticação do host da vítima para outro, os hosts internos na rede podem sinalizar possíveis ações de intrusão inicial e tentativas adversárias de expandir o acesso. Ao vincular as observações discretas a uma análise complexa e de alta confiança do comportamento mal-intencionado, os defensores podem não somente garantir a resposta apenas a eventos de alta gravidade e confiança, mas também alertar sobre a tática operacional vinculada a vários agentes de ameaça.

Metodologias semelhantes se aplicam a atividades de preenchimento de credenciais, força bruta e detecção. Novamente, uma variedade de scanners e outros itens provavelmente estarão incluídos em tal atividade diariamente. No entanto, a identificação de instâncias de varredura dedicada ou força bruta a partir de uma única fonte, ou tais atividades seguidas por tráfego de rede anômalo do destinatário dessas atividades, pode limitar as observações a prováveis cenários de comprometimento. Os defensores podem então envidar esforços e recursos apropriadamente para esses eventos, com o intuito de iniciar as operações de resposta a incidentes, diminuindo o tempo de detecção e de recuperação.

Há outras possibilidades relacionadas a serviços e protocolos específicos. Por exemplo, em operações do DarkSide, as partes implantam um túnel de RDP por meio do TOR para mascarar as operações. Embora evitem tentar identificar conexões de RDP externas, elas ainda exigem comunicação com os nós do TOR. O acompanhamento e a identificação de nós do TOR e o tráfego relacionado podem auxiliar como uma forma potencialmente avançada de habilitar um monitoramento mais robusto ou, se bloqueado, reduzir a superfície de ataque à rede. Da mesma forma e conforme mencionado acima, ao identificar combinações de atividades, como fluxos de tráfego de rede indicativos de movimentação ou exfiltração de dados em larga escala para uma infraestrutura de rede ou ASNs não confiável ou desconhecida, as principais partes do modelo de “dupla extorsão” podem ser sinalizadas antes da conclusão.

Comunicação de rede interna

O monitoramento e a defesa da rede não terminam no perímetro. Para lidar com as ameaças atuais (sejam agentes criminosos ou APTs), a visibilidade e a resposta devem se expandir até as comunicações da rede interna. Ao aproveitar uma malha de visibilidade ou ao implementar sensores dedicados dentro do perímetro para acompanhar o tráfego de host para host e os fluxos semelhantes, os defensores podem obter uma visibilidade oportuna do comportamento adversário, que pode identificar intrusões em curso que o monitoramento de limites ou as soluções de EDR não conseguem.

Por exemplo, a implementação do DarkSide, juntamente com vários outros comportamentos de agentes, sempre utiliza o roubo de credenciais seguido pelo mapeamento de um compartilhamento por SMB para transferir arquivos e, em seguida, executá-los meio de uma ferramenta como o PSExec. A identificação de comportamentos concretos por trás dessa atividade e a criação de alertas quando esses eventos são identificados em sequência (autenticação para host, compartilhamento de SMB mapeado para outro host, seguido pela transferência de arquivo de um objeto executável ou de script para o host recém-mapeado) pode revelar instâncias de movimento lateral. Embora seja possível que tais ações possam identificar atividades legítimas do administrador do sistema em ambientes bem orquestrados, essas instâncias podem ser rapidamente dispostas, enquanto a existência de uma análise que identifique esses eventos específicos da rede pode sinalizar ações relacionadas a diversos agentes de ameaça.

Oportunidades adicionais incluem o monitoramento dos fluxos de tráfego e das atividades de autenticação, tais como quando um adversário implanta ferramentas legítimas, como o RDP. Nesses casos, a identificação de várias tentativas de autenticação, com ou sem êxito, de um único host para vários hosts dentro da rede pode indicar que um adversário está tentando sair de uma posição segura inicial da rede. Uma visibilidade maior, incluindo a capacidade de acompanhar precisamente quais credenciais ou contas de usuário estão sendo usadas, pode revelar contas comprometidas e outras informações importantes de resposta.

No geral, o objetivo é estabelecer uma associação de visibilidade nos fluxos de tráfego interno da rede e combiná-la a um entendimento da tática operacional e das operações adversárias para gerar alertas de alta confiança sobre a atividade observada. Quando emparelhados com o monitoramento de rede externa e a defesa do ponto de extremidade, os defensores de rede podem impedir as operações adversas, garantindo inúmeros pontos de detecção em potencial durante todo o ciclo de vida do invasor.

Qual função o Gigamon desempenha na defesa contra ransomwares?

Visibilidade do tráfego de rede e detecção e resposta da rede

Embora os SIEMs e os EDRs tenham aumentado a eficiência da equipe de SOC e de resposta a incidentes (IR) na identificação de infecções ativas, as lacunas de visibilidade em dispositivos, redes e tráfego permanecem. O resultado é que os analistas ficam às cegas ao tentar identificar todas as atividades adversárias descritas na estrutura MITRE ATT&CK.

Visibilidade do Gigamon Hawk e malha analítica

No núcleo de uma postura de segurança eficaz está a visibilidade que, neste caso, representa o acesso a todo o tráfego da rede. A malha de visibilidade da Gigamon coleta e agrega todos os dados em trânsito e elimina os pontos cegos:

  • Único ponto de acesso a qualquer infraestrutura: física, virtual e na nuvem, incluindo o tráfego de contêiner
  • Agregação de tráfego coletado por TAPs físicos e virtuais pela rede
  • Distribuição de tráfego Flow Mapping® e GigaStream®, remoção e tunelamento de base para enviar o tráfego para qualquer destino
  • Bypass embutido e bypass físico para acesso ao tráfego à prova de falhas, encaminhamento de tráfego e operação de ferramenta de segurança em linha
  • Transformação e otimização de tráfego, tal como eliminação de duplicação de pacotes, geração de NetFlow, divisão de pacotes e fluxos, etc.

Descriptografia de TLS do Gigamon

Os adversários aproveitam cada vez mais os canais criptografados de SSL/TLS para C2 e atividades semelhantes, e muitas das técnicas de detecção mencionadas acima exigem acesso ao tráfego descriptografado. A maioria das empresas citadas na Fortune 1000 e agências governamentais confiam no Gigamon para inspeção de TLS:

  • Descriptografa uma vez e compartilha todas as ferramentas de segurança e monitoramento, com suporte para
  • Detecção automática de SSL e TLS em qualquer porta TCP, com suporte de interface de 10 Mb a 100 Gb
  • Suporte criptográfico constante, incluindo Diffie-Hellman Ephemeral, curvas elípticas e Poly1305/ChaCha20
  • Todas as codificações avançadas, incluindo TLS 1.3 com Perfect Forward Secrecy
  • Diffie-Hellman Ephemeral, curvas elípticas e criptografia Poly1305/ChaCha20
  • Ataque embutido ou man-in-the-middle e descriptografia passiva ou fora de banda
  • Privacidade de descriptografia seletiva baseada em políticas, suporte para categorização de URL e certificado FIPS 140-2 nível 2

Gigamon ThreatINSIGHT

A sinergia entre a inspeção SSL/TLS e as técnicas de detecção e resposta de rede é um recurso eficiente para enfrentar esse vetor de ameaça e recuperar a visibilidade sobre as operações adversárias. O NDR de SaaS guiado Gigamon ThreatINSIGHT™ é uma tecnologia desenvolvida por e para respondentes de incidentes, que:

  • Fornece visibilidade próxima ao nível do pacote e gravação de:
    • Qualquer dispositivo: Gerenciado/não gerenciado/IOT
    • Quaisquer redes: Principal/na nuvem/remota/WFH
    • Qualquer tráfego: Norte-Sul, Leste-Oeste e criptografado
  • Oferece metodologia e técnicas de detecção adversária de alta fidelidade e é
    • Eficiente: Inteligência contra ameaças proprietárias de alta fidelidade e garantia de qualidade
    • Efetiva: ML e análise comportamental de atividades exclusivamente mal-intencionadas
    • Colaborativa: Para descobrir ameaças ocultas e emergentes
  • Inclui contexto de ameaça:
    • Metadados enriquecidos com contexto próximo ao nível do pacote
    • Indexado para pesquisa e investigação avançadas
    • Opções de retenção flexíveis de 7 dias, 30 dias e dias ilimitados
  • Incorpora recomendações para analistas e respondentes:
    • Guiada: Próximas etapas específicas para resposta a ameaças
    • Guiada: A busca avançada por ameaças e os fluxos de trabalho completos de gestão de investigação/incidentes têm como objetivo expandir sua visibilidade além dos registros e alertas de segurança da linha de frente em SIEMS e além das soluções de EDR

Featured Webinars

Hear from our experts on the latest trends and best practices to optimize your network visibility and analysis.

CONTINUE THE DISCUSSION

People are talking about this in the Gigamon Community’s Security group.

Share your thoughts today

RELATED CONTENT

CALCULATOR
Customers have saved millions in IT costs. How much can you save?
REPORT
Learn how 1,200 of your IT security peers plan to fight cyberattacks
DEMO
See how to finally achieve visibility to reduce costs and remove complexity
WHITEPAPER
TLS Versions: North-South and East-West Traffic Analysis

Back to top