Хакерите откриха нов начин да заслепят екипите по сигурност, преди да откраднат пароли, и тази техника е колкото детайлна, толкова и тревожна.

Нападател наскоро деактивира Microsoft Defender, спря инструмента за регистриране на събития Sysmon и премахна защитна стена за уеб приложения (WAF), всичко това преди да разгърне Mimikatz за извличане на идентификационни данни.

Кампанията показва докъде са готови да стигнат атакуващите, за да изтрият стъпките си и да избегнат засичане. Проникването е започнало на 7 юни с компрометиран уеб сървър и базови команди за разузнаване.

Това, което изглеждаше като рутинно изброяване (enumeration), скоро ескалира в една от най-агресивните операции за избягване на защити, наблюдавани тази година, включваща близо дузина различни техники, насложени една върху друга.

Huntress посочва в доклад, споделен с Cyber Security News (CSN), че са идентифицирали инцидента, след като техният SOC е открил подозрителна дейност по изброяване, произлизаща от легитимен работен процес на IIS.

Тази аномалия е довела разследващите до разкриването на стеганографски уебшел, скрит в графичен файл, което бележи началната точка на много по-голяма верига на атака.

Уебшелът с име UA4fp7R.aspx е бил скрит с помощта на стеганография и е проследен до директория, предназначена само за изображения.

Оттам нападателят е разширил присъствието си, връщайки се многократно дори след опитите на екипа по сигурност за отстраняване на проблема, като в крайна сметка е ескалирал до пълна кражба на идентификационни данни.

Това, което прави този случай забележителен, е не просто самото извличане на акаунти (credential dumping), а целенасочената последователност от саботажи на защитата, която го е предхождала. Атакуващият методично е демонтирал логването, инструментите за сигурност и системите за мониторинг, преди изобщо да се докосне до Mimikatz.

Хакерите деактивират Defender, Sysmon и WAF

Планът за действие на атакуващия се е въртял около батч скрипт с име i.bat, който Huntress са възстановили, преди да бъде изтрит. Скриптът първо е деактивирал IIS HTTP логването, прекъсвайки видимостта към по-нататъшната активност на уебшела на сървъра.

След това е изпълнил PowerShell команди за отслабване на Microsoft Defender, изключвайки мониторинга в реално време, наблюдението на поведението, сканирането на скриптове и изпращането на мостри. Допълнителен скрипт, наречен DisableDefender.ps1, е подсилил тези промени, преди да бъде изтрит за заличаване на следите.

След това скриптът е използвал taskkill и контролера на услуги на Windows, за да прекрати и премахне Sysmon, Filebeat и няколко инструмента за сигурност на крайни устройства, включително продукти от Cortex, SentinelOne и Dr.Web. Това ефективно е заслепило средата за зловредна дейност.

Атакуващият също така е използвал Image File Execution Options (IFEO), за да принуди Sysmon, Filebeat и SetACL да влязат в състояние на дебъгер, замразявайки ги напълно.

Накрая те са използвали appcmd за изброяване на IIS сайтове, преди да деинсталират ModSecurity защитната стена за уеб приложения, премахвайки защитата срещу SQL инжекции и cross-site scripting (XSS) атаки.

Кражба на идентификационни данни и тактики за устойчивост

След като защитите са били премахнати, атакуващият се е насочил към кражбата на акаунти. Те са импортирали регистрационен файл за промяна на настройката WDigest, принуждавайки Windows да съхранява пароли в чист текст в паметта, вместо в защитен формат.

След това са извлекли ODBC идентификационни данни, съхранявани в регистъра, и са стартирали инструменти, идентифицирани като g.com и hs.com, които са записали откраднатите данни в pass.txt и hash.txt. Драйверът на ядрото на Mimikatz, mimidrv.sys, е бил използван за извличане на идентификационни данни директно от паметта, преди да бъде изтрит.

Освен кражбата на акаунти, скриптът е съдържал коментиран код за WMI event consumer, способен автоматично да изчиства дневниците на събитията в Windows, заедно с команди за премахване на файлови разрешения за основни компоненти на Windows. Тези записи подсказват, че атакуващият е бил готов да ескалира атаката още повече.

Преди да си тръгне, атакуващият е изтрил генерираните файлове, изчистил е ключовете в регистъра, свързани с WScript и Shell.Application, и е изтрил дневниците за сигурност, система и приложения (Security, System, Application event logs). Huntress отбелязва, че проникването е било овладяно преди да бъдат откраднати данни, главно защото SOC е уловил дейността навреме.

Организациите трябва да прилагат фундаментална хигиена на сигурността, за да предотвратят подобни атаки. Препоръчителните стъпки включват пълно обновяване на софтуера, осигуряване на правилно логване в уеб сървърите и крайните устройства, и поставяне на сървърите с достъп до интернет зад защитна стена или VPN, когато е възможно.

Докладът също така подчертава, че реагирането на инциденти трябва да се извършва докрай, тъй като пускането на сървър обратно онлайн преди приключването на пълното изчистване дава на атакуващите нов шанс да се върнат, точно както се е случило в този случай.