Consulta técnica sobre FortiEDR
Descripción
El 21 de marzo de 22, CASA publicó un aviso sobre AvosLocker [1] . AvosLocker es una nueva pandilla de extorsión y ransomware que aparece en la escena del ransomware a fines de 2021. Se sabe que AvosLocker se dirige a organizaciones responsables de administrar infraestructura crítica. Los objetivos de la pandilla se localizan principalmente en los EE. UU., pero se han observado en todo el mundo. AvosLocker sigue la tendencia continua de ‘profesionalización’ del delito de ransomware proporcionando un logotipo y, en algunos casos, un centro de llamadas para respaldar el pago de las víctimas.
Como se describe en el aviso, AvosLocker ha realizado una cantidad significativa de ataques exitosos al atacar las vulnerabilidades ProxyLogon y ProxyShell en los servidores de Microsoft Exchange durante los últimos 12 meses. Las intrusiones de AvosLocker siguen patrones similares a otros ataques basados en ransomware antes de la implementación del propio ransomware; entrega mediante solicitud web maliciosa a servidores vulnerables de Microsoft Exchange, explotación de vulnerabilidades conocidas, implementación de herramientas de código abierto para volcado de credenciales (mimikatz) y exfiltración de datos (rclone), persistencia a través del registro y comando y control a través de Cobalt Strike y/o AnyDesk software administrativo remoto. El grupo AvosLocker implementa su propio ransomware (AvosLocker ransomware) que afirman ser el más rápido del mercado.
FortiEDR puede detectar y mitigar la ejecución del ransomware AvosLocker desde el primer momento a través de detecciones basadas en firmas y comportamiento. Las mitigaciones proporcionadas a través de FortiEDR evitan la ejecución del ransomware AvosLocker (ejecución previa) y bloquean el comportamiento malicioso que lleva a cabo durante la ejecución (ejecución posterior). Los detalles de las mitigaciones y el comportamiento bloqueado se describen en el siguiente artículo.
Figura 1. Página de fugas de AvosLocker donde AvosLocker publica detalles sobre las víctimas. Esta página web también sirve como mercado de datos extraídos si las víctimas no pagan el rescate a tiempo. La víctima en la parte superior izquierda, por ejemplo, tiene sus datos disponibles para la venta.
Detección previa a la ejecución
FortiEDR integra el aprendizaje automático, el sandboxing en línea y FortiGuard Threat Intelligence en su análisis de ejecutables en un punto final protegido. Estas integraciones pueden detectar la ejecución de archivos maliciosos conocidos y archivos desconocidos pero sospechosos antes de su ejecución. En el caso de AvosLocker, FortiGuard rastrea nuevas variantes de AvosLocker bajo los siguientes nombres de firma [2] :
W32/Cryptor.OHU!tr.ransom
W32/Filecoder.OHU!tr.ransom
ELF/Encoder.A811!tr.ransom
Linux/Filecoder_AvosLocker.A!tr
La detección de la muestra analizada en este artículo puede verse marcada como W32/Filecoder.OHU!tr.ransom en el panel de clasificación que se muestra en la Figura 2.
Detección posterior a la ejecución
Para demostrar las capacidades de detección de FortiEDR contra la muestra de AvosLocker, FortiEDR se movió al «modo de simulación» y se ejecutó la muestra. En este modo, el comportamiento se registra pero no se bloquea; sin embargo, cada evento de seguridad registrado resalta el comportamiento que se bloquearía cuando el ‘modo de protección’ de FortiEDR está habilitado.
Como se puede ver a continuación en la Figura 2, la ejecución del ransomware AvosLocker marca múltiples eventos (6) bajo la configuración predeterminada. El comportamiento detectado y bloqueado por FortiEDR se explica con mayor detalle a continuación.
Figura 2. Visor de eventos de FortiEDR que muestra los eventos de seguridad generados como resultado de la ejecución del ransomware AvosLocker.
Común entre todos los eventos es que la muestra de AvosLocker, en este caso denominada ‘update.exe’, se marca como maliciosa. FortiEDR emplea el aprendizaje automático, el sandboxing en línea (incluida la integración con FortiSandbox) y la integración con FortiGuard Threat Intelligence para identificar muestras maliciosas conocidas y desconocidas de forma rápida y precisa. Como se puede ver en el panel ‘Detalles de clasificación en la Figura 2, FortiEDR ha clasificado la muestra de AvosLocker analizada como ‘Filecoder.OHU!tr.ransom’ según las firmas de FortiGuard [3] .
Borrado de registros de eventos
Después de la ejecución, la muestra de AvosLocker intentará eliminar todos los registros de eventos de Windows generando un proceso secundario de PowerShell. El comando de PowerShell utilizado para eliminar registros se muestra a continuación.
powershell –comando “Get-EventLog –LogName * | ForEach {Clear-EventLog $_.Log}”
Es probable que el propósito de este comando inhiba las acciones defensivas al evitar la recopilación de artefactos forenses desde el punto final después del cifrado. Dada la naturaleza del ransomware, una infección de ransomware generalmente da como resultado muchas operaciones de archivos, lo que significa que los equipos de IR tendrían aún más dificultades para extraer archivos de registro eliminados del espacio de holgura. Consulte la sección Búsqueda de amenazas para obtener una consulta de búsqueda de amenazas que puede usar para identificar esta actividad.
Eliminar instantáneas de volumen
Como parte de su proceso de cifrado, AvosLocker intenta eliminar las instantáneas de volumen en un punto final. Esta es otra función común que realiza el ransomware, ya que evita que los archivos se restauren a partir de instantáneas de volumen durante la fase de recuperación. AvosLocker intenta hacer esto de dos maneras; en primer lugar, usando wmic.exe y en segundo lugar a través de vssadmin.exe.
En primer lugar, AvosLocker inicia un proceso secundario de wmic.exe, un binario estándar de Windows que se usa para acceder a la interfaz de administración de Windows (WMI), un subsistema de Windows que se puede usar para acceder, crear y modificar componentes del sistema operativo en ejecución. para eliminar todas las instantáneas en un punto final. En este caso, el proceso se genera con los siguientes argumentos de la línea de comandos:
wmic shadowcopy eliminar / no interactivo
FortiEDR detectó el primer intento como un evento de seguridad, como se muestra a continuación en la Figura 3.
Figura 3. Evento de detección de FortiEDR asociado con la muestra de AvosLocker que intenta eliminar instantáneas de volumen mediante el servicio WMIC.
Después de la ejecución de este comando, el ransomware AvosLocker inicia un segundo proceso secundario vssadmin.exe. Este ejecutable es otro binario estándar de Windows que se utiliza para la administración del servicio de instantáneas de volumen en un punto final. En este caso, el proceso se genera para eliminar las instantáneas que no se eliminaron con el comando wmic anterior.
vssadmin.exe Eliminar sombras / Todo / Silencioso
La evidencia de este comportamiento se puede encontrar a través de la función Threat Hunting de FortiEDR, como se muestra a continuación en la Figura 4. Tenga en cuenta que FortiEDR etiqueta el comportamiento relacionado con la técnica MITRE ATT&CK adecuada que se puede buscar directamente a través de la interfaz de Threat Hunting.
Figura 4. Interfaz de búsqueda de amenazas de FortiEDR que muestra el evento de creación de procesos para el proceso vssadmin creado por AvosLocker para eliminar las instantáneas de volumen restantes.
Cifrado de archivos
FortiEDR marca la actividad de cifrado realizada por AvosLocker con la regla ‘File Encryptor’ que forma parte de la política de seguridad de protección contra ransomware. Esta regla identifica los intentos de cifrar archivos en un sistema de destino y evita que se produzca el proceso de cifrado. Podemos ver en la Figura 5 a continuación que FortiEDR identificó la muestra de AvosLocker que intentaba cifrar 2496 archivos en el terminal de la víctima.
Figura 5. Vista de pilas de FortiEDR en el panel forense que muestra el cambio de nombre de un archivo cifrado. Tenga en cuenta el gran número de archivos para esta actividad, ya que se creó un evento para cada cifrado de archivos y el cambio de nombre posterior.
AvosLocker también intenta cifrar archivos en recursos compartidos SMB montados. Estos intentos de acceso anómalos están marcados por la regla ‘PUP – Programa potencialmente no deseado’ en la política de seguridad de Prevención de Exfiltración. Esta actividad SMB se puede observar a través de la vista FortiEDR Forensics como se muestra a continuación en la Figura 6.
Figura 6. Avos Locker intenta acceder y cifrar archivos en recursos compartidos SMB montados. Detección de este comportamiento que se muestra arriba tomado de la vista FortiEDR Stack.
Notificación de rescate
Como la mayoría del ransomware, AvosLocker suelta numerosas notas de rescate en un punto final afectado, notificando a los usuarios del punto final que sus archivos han sido encriptados y describiendo el proceso para comprar una herramienta de desbloqueo. En el caso de AvosLocker, el nombre de la nota de ransomware es ‘GET_YOUR_FILES_BACK.txt’ y se coloca una copia en cada directorio donde se cifró un archivo. Una copia del contenido de la nota de rescate se muestra a continuación en la Figura 7 y el evento de seguridad de FortiEDR relacionado se muestra en la Figura 2.
Figura 7. Nota de rescate de AvosLocker.
Conclusión
Al igual que con las familias de ransomware analizadas anteriormente, FortiEDR proporciona detección y mitigación contra las variantes actuales y futuras del ransomware AvosLocker a través de políticas de ejecución previa y posterior. Además de estas protecciones estándar, FortiEDR Threat Hunting también brinda acceso a telemetría adicional que se puede usar para identificar los TTP comúnmente empleados por otras variantes de ransomware como parte del proceso de encriptación. Algunas de estas consultas de búsqueda de amenazas, junto con consultas para identificar el comportamiento específico de AvosLocker, se proporcionan a continuación.
Caza de amenazas
Creación de archivos
Identifique eventos de creación de archivos para archivos con extensión de archivo cifrado:
Destino.Archivo.Ext:("avos" O "avos2" O "avoslinux")
Identifique los eventos de creación de notas de rescate de AvosLocker:
Tipo:("Creación de archivo") AND Source.Process.File.Reputation:("ReputationMalware" OR "ReputationUnknown") AND Target.File.Name:("GET_YOUR_FILES_BACK.txt")
Creación de procesos
Identificar la ejecución ejecutable de AvosLocker (ejemplos conocidos)
Tipo:("Creación de procesos") AND Target.Process.File.ThreatName:("Filecoder.OHU!tr.ransom" OR "Cryptor.OHU!tr.ransom" OR "Encoder.A811!tr.ransom" OR "Filecoder_AvosLocker .A!tr")
Identifique los intentos de eliminar instantáneas de volumen con WMIC. Tenga en cuenta que, en el caso de AvosLocker, devolverá el evento de creación del proceso cmd.exe y el evento de creación del proceso wmic.exe secundario resultante:
Tipo:("Creación de proceso") Y Target.Process.Commandline:("eliminación de shadowcopy /noninteractive")
Identifique los intentos de eliminar instantáneas de volumen con vssadmin. Tenga en cuenta que, en el caso de AvosLocker, devolverá el evento de creación del proceso cmd.exe y el evento de creación del proceso secundario vssadmin.exe resultante:
Tipo:("Creación de procesos") Y Target.Process.Commandline:("Eliminar sombras/Todo/Silencioso")
Identifique los intentos de eliminar los registros de eventos de Windows utilizando el método empleado por la muestra de AvosLocker:
Tipo:("Creación de procesos") AND Source.Process.File.Reputation:("ReputationMalware" OR "ReputationUnknown") AND Target.Process.Commandline:("Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Iniciar sesión }")
Identifique los intentos de modificar la configuración de inicio para evitar la recuperación del inicio y suprimir los mensajes de error:
Escriba: "Creación de procesos" Y Origen.Proceso.Archivo.Reputación:("ReputaciónMalware" O "Reputación desconocida") Y Destino.Proceso.Línea de comando:"/set { default } bootstatuspolicy ignoreallfailures" OR "/set { default } recuperación habilitada No")
MITRE ATT&CK
TA0005 – Evasión de Defensa
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1070.001 | Eliminación del indicador en el host: Borrar registros de eventos de Windows | AvosLocker genera un proceso secundario de PowerShell para eliminar los registros de eventos de Windows durante la ejecución. Esto evita que los registros se utilicen para comprender las actividades que conducen a la implementación de ransomware. |
TA0008 – Movimiento Lateral
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1021.002 | Servicios remotos: recursos compartidos de administración de SMB/Windows | El ransomware AvosLocker también intenta cifrar archivos alojados en recursos compartidos SMB montados. |
TA0040 – Impacto
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1486 | Datos cifrados para impacto | AvosLocker es una variante de ransomware que se utiliza para cifrar datos en un punto final. AvosLocker cifra los archivos que no son del sistema en un punto final de la víctima. |
Identificación de la técnica | Descripción de la técnica | Actividad observada |
T1490 | Inhibir la recuperación del sistema | El ransomware AvosLocker intenta eliminar todas las instantáneas de volumen en un punto final de la víctima a través de los ejecutables wmic y vssadmin. |
COI
Indicador Descripción | Indicador | Tipo de indicador | Táctica asociada | notas |
Ejecutable malicioso | 32bf972e0b352d5455e0336737a504d2819402a4 | hash SHA1 | Impacto | Ejecutable de AvosLocker. Muestra analizada para este artículo. |
Ejecutable malicioso | 5b9f31e618e6ea6329af048fe89cb8130ee20646 | hash SHA1 | Impacto | Ejecutable de AvosLocker |
Ejecutable malicioso | a85bb2093cb39cea13f586d22e78ac3b5c58d7fb | hash SHA1 | Impacto | Ejecutable de AvosLocker |
Ejecutable malicioso | e94fd8aaae4b3e423097a896b8c3ada22d0afe08 | hash SHA1 | Impacto | Ejecutable de AvosLocker |
Ejecutable malicioso | 40207f83b601cd60905c1f807ac0889c80dfe33f | hash SHA1 | Impacto | Ejecutable de AvosLocker |
Ejecutable malicioso | f0776017545d7c5a85de3b15f8cff3171dbf4f43 | hash SHA1 | Impacto | Ejecutable de AvosLocker |
[1] https://www.ic3.gov/Media/News/2022/220318.pdf
[2] https://fortiguard.fortinet.com/threat-signal-report/4465
[3] https://www.fortiguard.com/encyclopedia/virus/10044273
¡Déjanos cualquier duda sobre FortiEDR aquí abajo!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!