تکنیک Symantec Threat Hunter باج افزار WastedLocker را در مسیر خود متوقف کرد! (شرح یک حمله واقعی)

شرح یک حمله واقعی!

 Evil Corp فقط یک شرکت تخیلی در یک برنامه تلویزیونی نیست. این یک باند جرایم سایبری پیچیده در دنیای واقعی است که توسط اتهامات اف بی آی علیه رهبرانش همچنان ادامه دارد. در ژوئن 2020، شرکت Evil یک حمله باج افزار هدفمند به نام WastedLocker را علیه برخی از بزرگترین شرکت های ایالات متحده انجام داد. این حمله می توانست به راحتی همه آنها را از بین ببرد.

اکثر اهداف حمله شرکت‌های بزرگ بودند که هشت مورد از آن‌ها شرکت‌های Fortune  بودند. همه سازمان‌های هدف به جز یکی، متعلق به ایالات متحده هستند، به استثنای یک شرکت تابعه مستقر در ایالات متحده از یک شرکت چند ملیتی خارج از کشور. هدف از این حملات فلج کردن زیرساخت فناوری اطلاعات قربانیان با رمزگذاری بیشتر رایانه ها و سرورهای آنها به منظور درخواست باج چند میلیون دلاری بود.

اولین قربانی شامل  SocGholish framework بود که به صورت فشرده به قربانی تحویل داده شد! فایل جاوا اسکریپت به عنوان یک به روز رسانی مرورگر از طریق وب سایت های قانونی در معرض خطر قرار می گیرد. فایل دوم جاوا اسکریپت با استفاده از دستوراتی مانند whoami، net user و net group، کامپیوتر هار مشخص ساخت. در مرحله بعد، از PowerShell برای دانلود اسکریپت های PowerShell  استفاده کرد. هنگامی که مهاجمان به شبکه قربانی! دسترسی پیدا کردند، از Cobalt Strike همراه با تعدادی از ابزارهای خارجی برای سرقت اعتبار، افزایش امتیازات و حرکت در سراسر شبکه برای استقرار باج افزار WastedLocker در چندین رایانه استفاده کردند. این حملات به طور فعال در تعدادی از شبکه های مشتری توسط تجزیه و تحلیل ابری حمله هدفمند Symantec (سیمانتک) شناسایی شد. تیم Symantec Threat Hunter این فعالیت را بررسی و تأیید کرد و به سرعت متوجه شد که با فعالیت مستند شده عمومی که در مراحل اولیه حملات WastedLocker مشاهده شده بود، مطابقت دارد. این داده ها به سرعت توسط شرکت آلما شبکه، نماینده سیمانتک در ایران به مشتریان اطلاع رسانی گردید.

این کشف تیم Symantec Threat Hunter را قادر ساخت تا سازمان های دیگری را که توسط WastedLocker هدف قرار گرفته بودند شناسایی کند و ابزارها، تاکتیک ها و رویه های اضافی مورد استفاده توسط مهاجمان را شناسایی کند. این اطلاعات به تحلیلگران سیمانتک این امکان را می‌دهد تا محافظت‌های سیمانتک را در برابر تمام مراحل حمله، تقویت و نفوذ ناپذیر نمایند. همزمان، تیم Symantec Threat Hunter هشدارهای اولیه را به کاربران ارائه داد. آنها توضیح دادند که مهاجمان به شبکه های آنها نفوذ کرده اند و در حال ایجاد زمینه برای اجرای حملات باج افزار هستند. با تماس فعالانه از طریق تلفن و ایمیل، تیم با موفقیت اختلال در حملات را فعال کرد. اگر حملات موفقیت‌آمیز بود، می‌توانست به میلیون‌ها خسارت، خرابی و تأثیر دومینویی احتمالی بر زنجیره‌های تامین منجر شود.

تشخیص زودهنگام یک حادثه منجر به اصلاح آسان تر می شود. با این حال، تیم‌های امنیتی هنگام تلاش برای شناسایی و افشای کامل وسعت یک حمله پیشرفته با چالش‌های متعددی مواجه می‌شوند. این چالش ها شامل خستگی، نیاز به زمینه بیشتر، مسائل مربوط به کارکنان و نیاز به شبکه ایمنی می باشد.

تحقیقات انجام شده توسط گروه استراتژی سازمانی در مورد رابطه بین بلوغ امنیتی و توانمندسازی کسب‌وکار نشان می‌دهد که تا مارس 2020، نزدیک به دو سوم سازمان‌های پیشرو، 25 درصد از هشدارها و رویدادهای امنیتی خود را نادیده می‌گیرند، زیرا سرمایه‌گذاری در هر هشدار فردی بسیار غیرعملی است. گروه استراتژی سازمانی، رابطه بین بلوغ امنیتی و توانمندسازی تجاری [5 مه 2020]). علاوه بر این، تحقیقات انجام شده توسط مؤسسه Ponemon نشان می‌دهد که میانگین زمان شناسایی نقض 197 روز، با میانگین زمان 69 روز بود (موسسه Ponemon، 2018 Cost of a Data Breach Study: Global Overview, [ژوئیه 2018] ). واضح است که تیم های SOC به راهی برای کمک به کوتاه کردن زمان شناسایی و مهار و حل و فصل هشدارهای بدون آدرس نیاز دارند. این یک باور رایج در صنعت است که هشدارهای مرتبط مشکل اضافه بار هشدار را حل می‌کند. در واقع، همبستگی و فیلتر کردن نیز آسان نیست. آنچه مورد نیاز است تخصص انسانی و الگوریتم‌های ایجاد شده توسط متخصصان است