Everest Ransomware Combine Chiffrement, Accès et Menaces Internes
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Everest est une opération de ransomware basée sur Windows, active depuis décembre 2020, qui suit un modèle multi-revenu basé sur le chiffrement, le courtage d’accès initial et le recrutement d’initiés. Le groupe utilise l’AES-128-CBC pour le chiffrement et applique une stratégie de double extorsion en menaçant de publier les données volées sur un site de fuite basé sur Tor. Il montre également un chevauchement technique avec le ransomware BlackByte, notamment par son comportement de génération de clé locale.
Enquête
Le rapport décrit la chaîne d’exécution d’Everest depuis l’accès initial via RDP ou VPN jusqu’à l’évasion des défenses et le chiffrement final. Il analyse l’utilisation par le malware de l’obfuscation .NET avec ConfuserEx et ses méthodes pour désactiver les options de récupération telles que les copies Shadow et les points de restauration système. La revue technique examine également son activité de découverte du réseau, y compris l’utilisation de SoftPerfect Network Scanner.
Atténuation
Les organisations devraient appliquer l’authentification multi-facteurs sur tous les points d’entrée RDP et VPN pour réduire le risque de compromission initiale. Les équipes de sécurité devraient surveiller les changements non autorisés dans l’accès contrôlé aux dossiers de Windows Defender et les tentatives de désactivation des copies Shadow. Limiter les privilèges administratifs et détecter l’exécution d’outils de scan réseau tels que netscan.exe peut également aider à réduire l’exposition.
Réponse
Si une activité Everest est détectée, les systèmes affectés devraient être isolés immédiatement pour arrêter le mouvement latéral et le chiffrement ultérieur. Les répondants devraient identifier et terminer les processus tentant de modifier les descripteurs de sécurité ou de supprimer les données de sauvegarde à grande échelle. Les équipes de réponse aux incidents devraient également déterminer si une exfiltration de données a eu lieu via des canaux basés sur Tor avant que la contenance et la récupération ne se poursuivent.
Flux d’attaque
Détections
Découverte d’actions de partage possibles via la ligne de commande
Voir
Activité VSSADMIN suspecte via la ligne de commande
Voir
Suppression potentielle des copies Shadow via WMI (via powershell)
Voir
Modifications suspectes des préférences de Windows Defender (via powershell)
Voir
Détection des techniques d’évasion de défense pré-chiffrement d’Everest Ransomware [Windows Powershell]
Voir
Découverte du réseau et évasion de défense de l’Everest Ransomware [Création de processus Windows]
Voir
Exécution de la simulation
Prérequis : Le contrôle préalable de télémétrie et de base doit avoir réussi.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront une erreur de diagnostic.
-
Narration & Commandes d’attaque : Un adversaire a obtenu un accès initial à une station de travail Windows. Pour préparer la phase de déploiement du ransomware, il doit cartographier le réseau local pour identifier les cibles de grande valeur et s’assurer qu’aucun outil anti-ransomware n’est actif. L’adversaire tente de lancer
netscan.exe(SoftPerfect Network Scanner) pour découvrir les hôtes actifs et utilisemountvol.exepour lister tous les volumes disponibles, y compris ceux qui ne possèdent pas actuellement de lettre de lecteur assignée, afin d’identifier les sauvegardes ou copies Shadow potentielles. -
Script de test de régression :
# Script de simulation pour déclencher la logique de règle de détection de l'Everest Ransomware. # Remarque : Ces commandes supposent que les fichiers existent dans le répertoire actuel ou le chemin du système. # À des fins de simulation, nous utiliserons 'echo' pour simuler l'exécution si les fichiers ne sont pas présents, # mais pour déclencher la règle ACTUELLE, les fichiers doivent être présents. Write-Host "[+] Démarrage de la simulation TTP de l'Everest Ransomware..." -ForegroundColor Cyan # 1. Simuler l'utilisation de mountvol.exe (Outil standard Windows) Write-Host "[*] Exécution de mountvol.exe..." -ForegroundColor Yellow mountvol.exe # 2. Simuler l'exécution de NetScan (Requiert que netscan.exe soit dans le chemin/répertoire) # À des fins de validation, nous créons un fichier fictif pour imiter le nom # si l'outil réel n'est pas disponible, bien que la règle recherche l'exécution du processus. Write-Host "[*] Simulation de l'exécution de netscan.exe..." -ForegroundColor Yellow if (Test-Path ".netscan.exe") { Start-Process ".netscan.exe" } else { Write-Host "[!] netscan.exe non trouvé. Veuillez placer un faux netscan.exe dans ce dossier pour déclencher la détection." -ForegroundColor Red } # 3. Simuler la suppression de Raccine Write-Host "[*] Simulation de l'exécution de Raccine.exe..." -ForegroundColor Yellow if (Test-Path ".Raccine.exe") { Start-Process ".Raccine.exe" } else { Write-Host "[!] Raccine.exe non trouvé. Veuillez placer un faux Raccine.exe dans ce dossier pour déclencher la détection." -ForegroundColor Red } Write-Host "[+] Simulation terminée." -ForegroundColor Cyan -
Commandes de nettoyage :
# Supprimer tous les fichiers fictifs créés pendant la simulation. Remove-Item ".netscan.exe" -ErrorAction SilentlyContinue Remove-Item ".netscanpack.exe" -ErrorAction SilentlyContinue Remove-Item ".Raccine.exe" -ErrorAction SilentlyContinue Write-Host "[+] Nettoyage terminé." -ForegroundColor Green