Rilevamento attacco ransomware LockBit 3.0: Distribuisci Cobalt Strike Beacons sfruttando Microsoft Defender
Indice:
LockBit gli attori della minaccia sono stati recentemente sotto i riflettori nel dominio informatico. A luglio 2022, il collettivo di hacker ha fatto notizia introducendo il primo programma di bounty bug mai realizzato lanciato da una banda di ransomware. Negli ultimi attacchi informatici, il noto gruppo ransomware applica strumenti Living-off-the-Land abusando dell’utilità a riga di comando di Microsoft Defender per distribuire beacon Cobalt Strike sui sistemi bersaglio mentre utilizza una serie di tecniche anti-analisi per eludere la rilevazione.
Rilevare gli Attacchi LockBit: Beacon Cobalt Strike Distribuiti Abusando di Microsoft Defender
Da quando è emerso a giugno 2022, la versione ransomware LockBit 3.0 (alias LockBit Black) rappresenta una minaccia crescente per le aziende di tutto il mondo. La nuova variante presenta funzionalità avanzate e sfrutta nuove tattiche per aumentare i tassi di infezione e garantire profitti per gli affiliati del gruppo RaaS. Per aiutare i professionisti della sicurezza a identificare l’attività dannosa associata all’ultima campagna LockBit, il SOC Prime Team ha rilasciato una regola Sigma curata per rilevare possibile abuso di Microsoft Defender mirato al caricamento laterale di beacon Cobalt Strike.
Possibile Hijack di MpClient.dll (via image_load)
Questa rilevazione supporta traduzioni a 20 piattaforme SIEM, EDR e XDR. La regola è mappata al framework MITRE ATT&CK® v.10, indirizzando la tattica di Evasione della Difesa con DLL Search Order Hijacking (T1059) come tecnica principale.
Desideri creare le tue regole Sigma per rilevare le minacce emergenti e rendere il mondo un posto più sicuro? Unisciti al nostro Programma Bounty sulle Minacce per difensori informatici, condividi i tuoi algoritmi di rilevamento basati su Sigma e ricevi pagamenti ripetuti per il tuo contributo.
L’elenco completo delle regole Sigma per rilevare qualsiasi variante di ransomware associata a hacker LockBit è disponibile per tutti gli utenti registrati della piattaforma Detection as Code. Basta premere il pulsante Detect & Hunt per accedere a un elenco dedicato di algoritmi disponibili dal repository Threat Detection Marketplace. Gli utenti non registrati possono controllare il nostro motore di ricerca Cyber Threats per accedere a rilevanti regole Sigma accompagnate da contesto MITRE ATT&CK e collegamenti CTI. Premi il pulsante Explore Threat Context per una ricerca di contenuti semplificata.
Detect & Hunt Explore Threat Context
Analisi degli Attacchi Ransomware LockBit: L’Ultima Campagna Che Carica Lateralmente i Beacon di Cobalt Strike
LockBit 3.0 (alias LockBit Black) è riemerso nel panorama delle minacce informatiche come la prossima iterazione della famiglia LockBit RaaS arricchito con capacità più sofisticate e dotato di un insieme di tecniche anti-analisi e anti-debugging. L’attività avversaria degli operatori LockBit che sfruttano il modello RaaS risale al 2019 con la rapida evoluzione delle varianti malevoli applicate e un arsenale di strumenti ampliato. Nel corso del 2020-2021, LockBit si è classificato tra le varianti malevoli più attive e infami sfruttando una varietà di vettori di attacco e tecniche avversarie per diffondere l’infezione. Comumente, i manutentori di ransomware usavano il vettore di attacco di email di phishing per ottenere accesso iniziale all’ambiente compromesso, seguito dalla fase di ricognizione per eseguire il movimento laterale e procedere con il processo di infezione. A giugno 2021, la banda di ransomware ha rilasciato la versione aggiornata LockBit 2.0, armando vulnerabilità non patchate, exploit zero-day e sfruttando una vasta gamma di TTP avversari.
L’ultima iterazione delle operazioni RaaS notorie abusa dello strumento di Microsoft Defender per distribuire payload di Cobalt Strike sui sistemi compromessi. La catena di attacco LockBit inizia ottenendo accesso iniziale attraverso la nefasta vulnerabilità Log4Shell sfruttata sul server VMWare Horizon vulnerabile per eseguire codice PowerShell. Dopo aver ottenuto i privilegi utente richiesti, gli attaccanti tentano di lanciare strumenti post-sfruttamento e caricare beacon Cobalt Strike. L’utilità a riga di comando legittima di Microsoft Defender MpCmdRun.exe viene applicata per il caricamento laterale di un file DLL malevolo, che decripta e distribuisce i payload.
Con gli operatori ransomware LockBit che espandono il loro toolkit avversario tramite l’uso di strumenti Living-off-the-Land, il rilevamento tempestivo di attacchi ransomware così intricati e sofisticati richiede grande attenzione da parte dei difensori informatici. la piattaforma Detection as Code di SOC Prime consente ai professionisti della cybersecurity di potenziare senza problemi le loro capacità di rilevamento delle minacce e aumentare la velocità di threat hunting mentre rimangono costantemente avanti rispetto agli attacchi ransomware attuali ed emergenti. I Detection Engineers esperti e i Threat Hunters aspiranti sono incoraggiati a unirsi Programma Bounty sulle Minacce per arricchire l’esperienza collaborativa con i loro contenuti di rilevamento, monetizzare il loro contributo e contribuire al futuro della difesa informatica.
