Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Akira Ransomware: Відповідь на рекомендації CISA AA24-109A ОГЛЯД
Рекомендація описує операцію з викупу Akira, загрозу Ransomware-as-a-Service (RaaS), яка як шифрує дані жертви, так і ексфільтрує їх перед шифруванням. Вперше спостерігалося в березні 2023 року, Akira швидко здобула популярність і вважається спорідненою з сімейством програм-вимагачів Conti. Документ детально описує тактику, техніки та процедури групи, включаючи атаки грубої сили проти RDP, злив паролів та покладання на протокол відсутності прихованої витікання через портал, розміщений на TOR. Жертви зазвичай змушені платити або за ключі для розшифровки, або за обіцянку видалення викрадених даних.
Розслідування
Координоване розслідування CISA, ФБР, NCSC-NL та декількох європейських правоохоронних партнерів оновило профіль загрози Akira до листопада 2025 року. Технічні знахідки підкреслюють наполегливість через створення нових локальних облікових записів, широке розвідування з використанням API Windows та використання утиліт для крадіжки даних, таких як Mimikatz, LaZagne і Rubeus. Шифрування файлів виконується за допомогою алгоритму ChaCha20, ключі захищені з використанням RSA-4096.
Зменшення загрози Akira Ransomware
Пріоритети захисту включають впровадження сильних, унікальних облікових даних RDP, моніторинг незвичайного створення облікових записів та активності еускації привілеїв, блокування загальних злочинних інструментів. Організації повинні підтримувати регулярні, тестовані резервні копії, відключати непотрібні служби та впроваджувати контролі на основі хосту, щоб запобігти зливу пам’яті LSASS. Додаткові заходи передбачають фільтрування трафіку TOR на межі мережі та відстеження можливого витоку даних в інфраструктуру .onion.
Відповідь
Коли підозрюється активність Akira, негайно изолюйте уражений хост, зберіть образи пам’яті та диска та збережіть всі відповідні показники компрометації. Скиньте виявлені облікові дані, видаліть несанкціоновані облікові записи та відновіть системи з довірених, перевірених резервних копій. Всебічний криміналістичний огляд повинен відобразити шляхи латерального руху та точки повороту, з результатами, доступними відповідним органам влади та партнерам з обміну інформацією.
graph TB %% Визначення класів classDef technique fill:#e6f5ff %% Вузли – Техніки tech_bruteforce[“<b>Техніка</b> – <b>T1110.004 Перебір облікових даних (Credential Stuffing)</b><br/><b>Опис</b>: Зловмисник намагається увійти, використовуючи велику кількість раніше скомпрометованих облікових даних через віддалений сервіс.”] class tech_bruteforce technique tech_rdp[“<b>Техніка</b> – <b>T1021.001 Віддалені сервіси: RDP</b><br/><b>Опис</b>: Використання протоколу віддаленого робочого столу для встановлення інтерактивної сесії.”] class tech_rdp technique tech_createacct[“<b>Техніка</b> – <b>T1136.001 Створення облікового запису: Локальний обліковий запис</b><br/><b>Опис</b>: Зловмисник створює нового локального користувача для закріплення доступу або підвищення привілеїв.”] class tech_createacct technique tech_localgroup[“<b>Техніка</b> – <b>T1069.001 Виявлення груп дозволів: Локальні групи</b><br/><b>Опис</b>: Перелік локальних груп для виявлення привілейованих облікових записів.”] class tech_localgroup technique tech_domaingroup[“<b>Техніка</b> – <b>T1069.002 Виявлення груп дозволів: Доменні групи</b><br/><b>Опис</b>: Перелік доменних груп для пошуку додаткових привілейованих ролей.”] class tech_domaingroup technique tech_processdisc[“<b>Техніка</b> – <b>T1057 Виявлення процесів</b><br/><b>Опис</b>: Використання утиліт на кшталт tasklist для перегляду запущених процесів.”] class tech_processdisc technique tech_remotesysdisc[“<b>Техніка</b> – <b>T1018 Виявлення віддалених систем</b><br/><b>Опис</b>: Виявлення віддалених систем (наприклад, контролерів домену) за допомогою nltest.”] class tech_remotesysdisc technique tech_trustdisc[“<b>Техніка</b> – <b>T1482 Виявлення доменних довірчих зв’язків</b><br/><b>Опис</b>: Отримання інформації про довірчі домени через nltest trusted_domains.”] class tech_trustdisc technique tech_kerberoast[“<b>Техніка</b> – <b>T1558.003 Kerberoasting</b><br/><b>Опис</b>: Витягування сервісних квитків Kerberos та їх офлайн‑злам за допомогою інструментів типу Rubeus.”] class tech_kerberoast technique tech_lsassdump[“<b>Техніка</b> – <b>T1003.001 Дамп облікових даних ОС</b><br/><b>Опис</b>: Дамп памʼяті LSASS через comsvcs.dll та Mimikatz для отримання відкритих паролів.”] class tech_lsassdump technique tech_regdump[“<b>Техніка</b> – <b>T1003.002 Дамп реєстру</b><br/><b>Опис</b>: Збереження SYSTEM‑гілки реєстру (наприклад, reg save) для офлайн‑аналізу.”] class tech_regdump technique tech_wmiexec[“<b>Техніка</b> – <b>T1047 Windows Management Instrumentation</b><br/><b>Опис</b>: Віддалене виконання команд через WMI (наприклад, wmiexec).”] class tech_wmiexec technique tech_rdp_lateral[“<b>Техніка</b> – <b>T1021.001 RDP (Боковий рух)</b><br/><b>Опис</b>: Переміщення між системами через RDP‑зʼєднання.”] class tech_rdp_lateral technique tech_ssh[“<b>Техніка</b> – <b>T1021.004 Віддалені сервіси: SSH</b><br/><b>Опис</b>: Використання SSH для бокового руху, якщо RDP недоступний.”] class tech_ssh technique tech_sysinfo[“<b>Техніка</b> – <b>T1082 Виявлення системної інформації</b><br/><b>Опис</b>: Збір інформації про ОС та апаратне забезпечення (GetSystemInfo).”] class tech_sysinfo technique tech_queryreg[“<b>Техніка</b> – <b>T1012 Запит реєстру</b><br/><b>Опис</b>: Зчитування значень реєстру (наприклад, MachineGUID) для унікальної ідентифікації хоста.”] class tech_queryreg technique tech_filedisc[“<b>Техніка</b> – <b>T1083 Виявлення файлів і директорій</b><br/><b>Опис</b>: Перелік файлів через API FindFirstFile / FindNextFile.”] class tech_filedisc technique tech_logdrive[“<b>Техніка</b> – <b>T1680 Виявлення логічних дисків</b><br/><b>Опис</b>: Отримання списку дисків через GetLogicalDriveStringsW та GetDriveTypeW.”] class tech_logdrive technique tech_permmod[“<b>Техніка</b> – <b>T1222.001 Зміна дозволів файлів і директорій</b><br/><b>Опис</b>: Зміна ACL через icacls для розширення доступу.”] class tech_permmod technique tech_inhibitrec[“<b>Техніка</b> – <b>T1490 Блокування відновлення системи</b><br/><b>Опис</b>: Видалення тіньових копій томів через WMI.”] class tech_inhibitrec technique tech_encrypt[“<b>Техніка</b> – <b>T1486 Шифрування даних для впливу</b><br/><b>Опис</b>: Шифрування даних за допомогою ChaCha20 та захист ключів RSA‑4096.”] class tech_encrypt technique %% Зв’язки – Ланцюг атаки tech_bruteforce –>|призводить до| tech_rdp tech_rdp –>|призводить до| tech_createacct tech_createacct –>|призводить до| tech_localgroup tech_localgroup –>|призводить до| tech_domaingroup tech_domaingroup –>|призводить до| tech_processdisc tech_processdisc –>|призводить до| tech_remotesysdisc tech_remotesysdisc –>|призводить до| tech_trustdisc tech_trustdisc –>|призводить до| tech_kerberoast tech_kerberoast –>|призводить до| tech_lsassdump tech_lsassdump –>|призводить до| tech_regdump tech_regdump –>|призводить до| tech_wmiexec tech_wmiexec –>|призводить до| tech_rdp_lateral tech_rdp_lateral –>|призводить до| tech_ssh tech_ssh –>|призводить до| tech_sysinfo tech_sysinfo –>|призводить до| tech_queryreg tech_queryreg –>|призводить до| tech_filedisc tech_filedisc –>|призводить до| tech_logdrive tech_logdrive –>|призводить до| tech_permmod tech_permmod –>|призводить до| tech_inhibitrec tech_inhibitrec –>|призводить до| tech_encrypt
Потік атаки
Виявлення
Виявлення використання утиліти Icacls для зміни дозволів файлів [Подія файлу Windows]
Переглянути
Створення підозрілих локальних облікових записів та перелік процесів [Створення процесу Windows]
Переглянути
IOC (HashSha256) для виявлення: Відповідь на рекомендації CISA (AA24-109A): Akira Ransomware
Переглянути
Можливе зливання SAM/SYSTEM/SECURITY (через cmdline)
Переглянути
Можливе зливання облікових даних з використанням Comsvcs.dll (через cmdline)
Переглянути
Виконання моделювання
Необхідна умова: Перевірка телеметрії та базової лінії повинна бути пройденою.
Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), розробленого для запуску правила виявлення. Команди та опис безпосередньо відображають ідентифіковані TTP та генерують точну телеметрію, очікувану логікою виявлення.
-
Опис атаки та команди:
Оператор програми-вимагача готується зашифрувати каталог документів користувача. Спочатку він забезпечує повний доступ до файлів для процесу програми-вимагача, надаючи повний контроль за допомогою Everyone за допомогоюicacls.exe. Це класичний крок “надати повний доступ до шифрування”, що відповідає техніці MITRE T1222.001. Нападник запускає команду з низького рівня привілеїв, але покладається на те, щоicacls.exeможе змінювати ACL, якщо процес має достатні привілеї (наприклад, працює як SYSTEM через заплановане завдання).# Шлях до цільового директорії $target = "C:UsersPublicDocumentsSensitiveData" # Рекурсивно надати повний контроль для Everyone icacls.exe "$target*" /grant *S-1-1-0:F /T /CВищезазначена команда створює подію Sysmon ProcessCreate майже де
Imageзакінчується наicacls.exe, що відповідає правилу виявлення. -
Сценарій регресійного тестування:
# --------------------------------------------------------------- # Регресійний тест – Зміна дозволів Icacls (T1222.001) # --------------------------------------------------------------- # Створити тимчасову тестову директорію $testDir = "$env:TEMPIcaclsTest" New-Item -Path $testDir -ItemType Directory -Force | Out-Null # Наповнити псевдо-файлами 1..5 | ForEach-Object { New-Item -Path "$testDirFile$_ .txt" -ItemType File -Force | Out-Null } # Виконати icacls для надання Everyone повного контролю (це повинно запустити правило) icacls.exe "$testDir*" /grant *S-1-1-0:F /T /C # Пауза для дозволу поглинання даних SIEM Start-Sleep -Seconds 10 # Кінець сценарію -
Команди очищення:
# --------------------------------------------------------------- # Очищення – Видалення тестових зміни ACL та видалення тестових даних # --------------------------------------------------------------- $testDir = "$env:TEMPIcaclsTest" # Скинути дозволи до значень за замовчуванням (видалити надання Everyone) icacls.exe "$testDir*" /reset /T /C # Видалити тестову директорію Remove-Item -Path $testDir -Recurse -Force