Cómo fortiedr protege contra el ransomware avoslocker

Consulta técnica sobre FortiEDR

 

Descripción

 

El 21 de marzo de 22, CASA publicó un aviso sobre AvosLocker [1] . AvosLocker es una nueva pandilla de extorsión y ransomware que aparece en la escena del ransomware a fines de 2021. Se sabe que AvosLocker se dirige a organizaciones responsables de administrar infraestructura crítica. Los objetivos de la pandilla se localizan principalmente en los EE. UU., pero se han observado en todo el mundo. AvosLocker sigue la tendencia continua de ‘profesionalización’ del delito de ransomware proporcionando un logotipo y, en algunos casos, un centro de llamadas para respaldar el pago de las víctimas.

 

Como se describe en el aviso, AvosLocker ha realizado una cantidad significativa de ataques exitosos al atacar las vulnerabilidades ProxyLogon y ProxyShell en los servidores de Microsoft Exchange durante los últimos 12 meses. Las intrusiones de AvosLocker siguen patrones similares a otros ataques basados ​​en ransomware antes de la implementación del propio ransomware; entrega mediante solicitud web maliciosa a servidores vulnerables de Microsoft Exchange, explotación de vulnerabilidades conocidas, implementación de herramientas de código abierto para volcado de credenciales (mimikatz) y exfiltración de datos (rclone), persistencia a través del registro y comando y control a través de Cobalt Strike y/o AnyDesk software administrativo remoto. El grupo AvosLocker implementa su propio ransomware (AvosLocker ransomware) que afirman ser el más rápido del mercado.

 

FortiEDR puede detectar y mitigar la ejecución del ransomware AvosLocker desde el primer momento a través de detecciones basadas en firmas y comportamiento. Las mitigaciones proporcionadas a través de FortiEDR evitan la ejecución del ransomware AvosLocker (ejecución previa) y bloquean el comportamiento malicioso que lleva a cabo durante la ejecución (ejecución posterior). Los detalles de las mitigaciones y el comportamiento bloqueado se describen en el siguiente artículo.

 

 

 

Figura 1. Página de fugas de AvosLocker donde AvosLocker publica detalles sobre las víctimas. Esta página web también sirve como mercado de datos extraídos si las víctimas no pagan el rescate a tiempo. La víctima en la parte superior izquierda, por ejemplo, tiene sus datos disponibles para la venta.

 

Detección previa a la ejecución

FortiEDR integra el aprendizaje automático, el sandboxing en línea y FortiGuard Threat Intelligence en su análisis de ejecutables en un punto final protegido. Estas integraciones pueden detectar la ejecución de archivos maliciosos conocidos y archivos desconocidos pero sospechosos antes de su ejecución. En el caso de AvosLocker, FortiGuard rastrea nuevas variantes de AvosLocker bajo los siguientes nombres de firma [2] :

 

W32/Cryptor.OHU!tr.ransom

W32/Filecoder.OHU!tr.ransom

ELF/Encoder.A811!tr.ransom

Linux/Filecoder_AvosLocker.A!tr

 

La detección de la muestra analizada en este artículo puede verse marcada como W32/Filecoder.OHU!tr.ransom en el panel de clasificación que se muestra en la Figura 2.

 

 

Detección posterior a la ejecución

Para demostrar las capacidades de detección de FortiEDR contra la muestra de AvosLocker, FortiEDR se movió al «modo de simulación» y se ejecutó la muestra. En este modo, el comportamiento se registra pero no se bloquea; sin embargo, cada evento de seguridad registrado resalta el comportamiento que se bloquearía cuando el ‘modo de protección’ de FortiEDR está habilitado.

 

Como se puede ver a continuación en la Figura 2, la ejecución del ransomware AvosLocker marca múltiples eventos (6) bajo la configuración predeterminada. El comportamiento detectado y bloqueado por FortiEDR se explica con mayor detalle a continuación.

 

 

Artículos relacionados  Problema de rendimiento con la aplicación o el sistema operativo fortiedr

 

Figura 2. Visor de eventos de FortiEDR que muestra los eventos de seguridad generados como resultado de la ejecución del ransomware AvosLocker.

 

Común entre todos los eventos es que la muestra de AvosLocker, en este caso denominada ‘update.exe’, se marca como maliciosa. FortiEDR emplea el aprendizaje automático, el sandboxing en línea (incluida la integración con FortiSandbox) y la integración con FortiGuard Threat Intelligence para identificar muestras maliciosas conocidas y desconocidas de forma rápida y precisa. Como se puede ver en el panel ‘Detalles de clasificación en la Figura 2, FortiEDR ha clasificado la muestra de AvosLocker analizada como ‘Filecoder.OHU!tr.ransom’ según las firmas de FortiGuard [3] .

 

Borrado de registros de eventos

 

Después de la ejecución, la muestra de AvosLocker intentará eliminar todos los registros de eventos de Windows generando un proceso secundario de PowerShell. El comando de PowerShell utilizado para eliminar registros se muestra a continuación.

 

                powershell –comando “Get-EventLog –LogName * | ForEach {Clear-EventLog $_.Log}”

 

Es probable que el propósito de este comando inhiba las acciones defensivas al evitar la recopilación de artefactos forenses desde el punto final después del cifrado. Dada la naturaleza del ransomware, una infección de ransomware generalmente da como resultado muchas operaciones de archivos, lo que significa que los equipos de IR tendrían aún más dificultades para extraer archivos de registro eliminados del espacio de holgura. Consulte la sección Búsqueda de amenazas para obtener una consulta de búsqueda de amenazas que puede usar para identificar esta actividad.

 

Eliminar instantáneas de volumen

 

Como parte de su proceso de cifrado, AvosLocker intenta eliminar las instantáneas de volumen en un punto final. Esta es otra función común que realiza el ransomware, ya que evita que los archivos se restauren a partir de instantáneas de volumen durante la fase de recuperación. AvosLocker intenta hacer esto de dos maneras; en primer lugar, usando wmic.exe y en segundo lugar a través de vssadmin.exe.

 

En primer lugar, AvosLocker inicia un proceso secundario de wmic.exe, un binario estándar de Windows que se usa para acceder a la interfaz de administración de Windows (WMI), un subsistema de Windows que se puede usar para acceder, crear y modificar componentes del sistema operativo en ejecución. para eliminar todas las instantáneas en un punto final. En este caso, el proceso se genera con los siguientes argumentos de la línea de comandos:

                wmic shadowcopy eliminar / no interactivo

 

FortiEDR detectó el primer intento como un evento de seguridad, como se muestra a continuación en la Figura 3.

 

 

Figura 3. Evento de detección de FortiEDR asociado con la muestra de AvosLocker que intenta eliminar instantáneas de volumen mediante el servicio WMIC.

 

Después de la ejecución de este comando, el ransomware AvosLocker inicia un segundo proceso secundario vssadmin.exe. Este ejecutable es otro binario estándar de Windows que se utiliza para la administración del servicio de instantáneas de volumen en un punto final. En este caso, el proceso se genera para eliminar las instantáneas que no se eliminaron con el comando wmic anterior.

 

                vssadmin.exe Eliminar sombras / Todo / Silencioso

 

La evidencia de este comportamiento se puede encontrar a través de la función Threat Hunting de FortiEDR, como se muestra a continuación en la Figura 4. Tenga en cuenta que FortiEDR etiqueta el comportamiento relacionado con la técnica MITRE ATT&CK adecuada que se puede buscar directamente a través de la interfaz de Threat Hunting.

Artículos relacionados  Problema de rendimiento con respecto al bloqueo del sistema para fortiedr

 

 

Figura 4. Interfaz de búsqueda de amenazas de FortiEDR que muestra el evento de creación de procesos para el proceso vssadmin creado por AvosLocker para eliminar las instantáneas de volumen restantes.

 

Cifrado de archivos

 

FortiEDR marca la actividad de cifrado realizada por AvosLocker con la regla ‘File Encryptor’ que forma parte de la política de seguridad de protección contra ransomware. Esta regla identifica los intentos de cifrar archivos en un sistema de destino y evita que se produzca el proceso de cifrado. Podemos ver en la Figura 5 a continuación que FortiEDR identificó la muestra de AvosLocker que intentaba cifrar 2496 archivos en el terminal de la víctima.

 

 

 

Figura 5. Vista de pilas de FortiEDR en el panel forense que muestra el cambio de nombre de un archivo cifrado. Tenga en cuenta el gran número de archivos para esta actividad, ya que se creó un evento para cada cifrado de archivos y el cambio de nombre posterior.

 

AvosLocker también intenta cifrar archivos en recursos compartidos SMB montados. Estos intentos de acceso anómalos están marcados por la regla ‘PUP – Programa potencialmente no deseado’ en la política de seguridad de Prevención de Exfiltración. Esta actividad SMB se puede observar a través de la vista FortiEDR Forensics como se muestra a continuación en la Figura 6.

 

 

Figura 6. Avos Locker intenta acceder y cifrar archivos en recursos compartidos SMB montados. Detección de este comportamiento que se muestra arriba tomado de la vista FortiEDR Stack.

 

Notificación de rescate

Como la mayoría del ransomware, AvosLocker suelta numerosas notas de rescate en un punto final afectado, notificando a los usuarios del punto final que sus archivos han sido encriptados y describiendo el proceso para comprar una herramienta de desbloqueo. En el caso de AvosLocker, el nombre de la nota de ransomware es ‘GET_YOUR_FILES_BACK.txt’ y se coloca una copia en cada directorio donde se cifró un archivo. Una copia del contenido de la nota de rescate se muestra a continuación en la Figura 7 y el evento de seguridad de FortiEDR relacionado se muestra en la Figura 2.

 

 

 

Figura 7. Nota de rescate de AvosLocker.

 

Conclusión

Al igual que con las familias de ransomware analizadas anteriormente, FortiEDR proporciona detección y mitigación contra las variantes actuales y futuras del ransomware AvosLocker a través de políticas de ejecución previa y posterior. Además de estas protecciones estándar, FortiEDR Threat Hunting también brinda acceso a telemetría adicional que se puede usar para identificar los TTP comúnmente empleados por otras variantes de ransomware como parte del proceso de encriptación. Algunas de estas consultas de búsqueda de amenazas, junto con consultas para identificar el comportamiento específico de AvosLocker, se proporcionan a continuación.

 

Caza de amenazas

Creación de archivos

Identifique eventos de creación de archivos para archivos con extensión de archivo cifrado:

 

Destino.Archivo.Ext:("avos" O "avos2" O "avoslinux")

Identifique los eventos de creación de notas de rescate de AvosLocker:

 

Tipo:("Creación de archivo") AND Source.Process.File.Reputation:("ReputationMalware" OR "ReputationUnknown") AND Target.File.Name:("GET_YOUR_FILES_BACK.txt")

 

Creación de procesos

Identificar la ejecución ejecutable de AvosLocker (ejemplos conocidos)

Tipo:("Creación de procesos") AND Target.Process.File.ThreatName:("Filecoder.OHU!tr.ransom" OR "Cryptor.OHU!tr.ransom" OR "Encoder.A811!tr.ransom" OR "Filecoder_AvosLocker .A!tr")

 

Artículos relacionados  Cómo obtener registros del sistema de fortiedr

Identifique los intentos de eliminar instantáneas de volumen con WMIC. Tenga en cuenta que, en el caso de AvosLocker, devolverá el evento de creación del proceso cmd.exe y el evento de creación del proceso wmic.exe secundario resultante:

 

Tipo:("Creación de proceso") Y Target.Process.Commandline:("eliminación de shadowcopy /noninteractive")

 

Identifique los intentos de eliminar instantáneas de volumen con vssadmin. Tenga en cuenta que, en el caso de AvosLocker, devolverá el evento de creación del proceso cmd.exe y el evento de creación del proceso secundario vssadmin.exe resultante:

 

Tipo:("Creación de procesos") Y Target.Process.Commandline:("Eliminar sombras/Todo/Silencioso")

 

Identifique los intentos de eliminar los registros de eventos de Windows utilizando el método empleado por la muestra de AvosLocker:

 

Tipo:("Creación de procesos") AND Source.Process.File.Reputation:("ReputationMalware" OR "ReputationUnknown") AND Target.Process.Commandline:("Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Iniciar sesión }")

 

Identifique los intentos de modificar la configuración de inicio para evitar la recuperación del inicio y suprimir los mensajes de error:

 

Escriba: "Creación de procesos" Y Origen.Proceso.Archivo.Reputación:("ReputaciónMalware" O "Reputación desconocida") Y Destino.Proceso.Línea de comando:"/set { default } bootstatuspolicy ignoreallfailures" OR "/set { default  } recuperación habilitada No")

 

MITRE ATT&CK

TA0005 – Evasión de Defensa

 Identificación de la técnica

Descripción de la técnica

Actividad observada

T1070.001

Eliminación del indicador en el host: Borrar registros de eventos de Windows

AvosLocker genera un proceso secundario de PowerShell para eliminar los registros de eventos de Windows durante la ejecución. Esto evita que los registros se utilicen para comprender las actividades que conducen a la implementación de ransomware.

 

TA0008 – Movimiento Lateral

 Identificación de la técnica

Descripción de la técnica

Actividad observada

T1021.002

Servicios remotos: recursos compartidos de administración de SMB/Windows

El ransomware AvosLocker también intenta cifrar archivos alojados en recursos compartidos SMB montados.

 

TA0040 – Impacto

 Identificación de la técnica

Descripción de la técnica

Actividad observada

T1486

Datos cifrados para impacto

AvosLocker es una variante de ransomware que se utiliza para cifrar datos en un punto final. AvosLocker cifra los archivos que no son del sistema en un punto final de la víctima.

 

 Identificación de la técnica

Descripción de la técnica

Actividad observada

T1490

Inhibir la recuperación del sistema

El ransomware AvosLocker intenta eliminar todas las instantáneas de volumen en un punto final de la víctima a través de los ejecutables wmic y vssadmin.

 

 

COI

Indicador Descripción

Indicador

Tipo de indicador

Táctica asociada

notas

Ejecutable malicioso

32bf972e0b352d5455e0336737a504d2819402a4

hash SHA1

Impacto

Ejecutable de AvosLocker. Muestra analizada para este artículo.

Ejecutable malicioso

5b9f31e618e6ea6329af048fe89cb8130ee20646

hash SHA1

Impacto

Ejecutable de AvosLocker

Ejecutable malicioso

a85bb2093cb39cea13f586d22e78ac3b5c58d7fb

hash SHA1

Impacto

Ejecutable de AvosLocker

Ejecutable malicioso

e94fd8aaae4b3e423097a896b8c3ada22d0afe08

hash SHA1

Impacto

Ejecutable de AvosLocker

Ejecutable malicioso

40207f83b601cd60905c1f807ac0889c80dfe33f

hash SHA1

Impacto

Ejecutable de AvosLocker

Ejecutable malicioso

f0776017545d7c5a85de3b15f8cff3171dbf4f43

hash SHA1

Impacto

Ejecutable de AvosLocker

 

 

[1] https://www.ic3.gov/Media/News/2022/220318.pdf

[2] https://fortiguard.fortinet.com/threat-signal-report/4465

[3] https://www.fortiguard.com/encyclopedia/virus/10044273

¡Déjanos cualquier duda sobre FortiEDR aquí abajo!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *