Een klant nam contact op met Orange Cyberdefense omdat een van zijn dochterondernemingen in Vietnam te maken had met een ransomware aanval. In samenwerking met OBS die een engineer ter plaatse beschikbaar stelde, konden de CSIRT experts slechts enkele uren na de ontdekking van het incident aan de slag.
De aanvaller kreeg voor het eerst voet aan de grond op een RDP server. Daar liet hij zijn toolkit los: netwerkscanner, browser wachtwoord extractor, procesgeheugenverkenning en antivirus op de server uitschakelen.
Tien minuten na de inbraak heeft de aanvaller netwerkverkenningen uitgevoerd en de inloggegevens van de domeinbeheerder verkregen. Hij maakt verbinding met de domeincontroller en voert daar een extractor voor serverreferenties uit, waarbij hij duidelijke tekst credentials voor alle gebruikers verkrijgt, of iets dat er heel dichtbij komt.
Eenmaal verbonden met de domeinserver, koppelt de aanvaller verschillende shares die hij op de domeincontroller had ontdekt. Hij heeft een bijzondere interesse voor back-ups. Hij is er al anderhalf uur.
Eenmaal verspreid over een aanzienlijk deel van het netwerk en met het primaire doelwit onder controle, werden alle logboeken op alle gecompromitteerde machines verwijderd, in een poging forensisch onderzoek naar de aanvalsvector te bemoeilijken. Echter zijn logboeken niet de enige bron van forensische informatie.
Vier uur na de eerste keer log-in op de RDP-server implementeert de aanvaller een variant van Phobos op alle machines.
Door de aanvalsgeschiedenis, de gebruikte ransomware en de werkingsmodus te achterhalen, was het mogelijk om schoongemaakte back-ups van de geïnfecteerde systemen te herstellen en weer online te zetten. Voor de strafrechtelijke vervolging en het voorkomen van verdere aanslagen is een volledig en gedetailleerd rapport aan de opdrachtgever verstrekt.
We begonnen dit verhaal met de aanvaller die op een RDP-server verscheen zonder je te vertellen hoe. Gezien de logboeken zijn verwijderd, weten we nooit zeker hoe de aanvaller aan het account is gekomen. Echter, het feit dat in de twee uur na de verwijdering meer dan achtduizend inlogpogingen van over de hele wereld zijn gelogd, lijkt brute force een behoorlijk solide gok.
Net als de metaforische keten is een niet-gesegmenteerd netwerk zo sterk als het zwakste endpoint. Endpoint verdediging en protectie zijn essentieel om aanvallen in een vroeg stadium te identificeren en de schade tot een minimum te beperken.
Netwerksegmentatie kan helpen om een aanval effectief in te dammen door deze te beperken tot een afgescheiden deel van het netwerk. Belangrijke apparaten zoals RDP-servers moeten extra worden beschermd binnen hun segment.
Brute force-aanvallen zijn relatief eenvoudig te detecteren en te beperken. Enkele duizenden inlogpogingen waren waarschijnlijk mislukt voordat er één succesvol was. Lang daarvoor had detectie een alarm en automatische tegenmaatregelen kunnen activeren, als er beschermingsmaatregelen of een SOC waren ingesteld, hetzij op locatie, dan wel als remote service.
Ten slotte is het verbergen van aanvalsprocedures en activiteiten door logboeken te verwijderen niet effectief als de logboeken worden verzameld in een SIEM voor analyse. Beveiligingslogboeken worden niet alleen effectief geback-upt, maar maken ook gedetailleerd forensisch onderzoek mogelijk om aanvalsvectoren te identificeren en preventief de gebruikte kwetsbaarheden te verwijderen om toekomstige aanvallen te voorkomen
Dit verhaal maakt deel uit van de 2021 editie van de Security Navigator. Klik hier om dit rapport te downloaden.