SOC Prime Bias: Високий

29 May 2026 07:16 UTC

Відстеження ланцюга атак Akira Ransomware через журнали периметра й кінцевих точок

Author Photo
SOC Prime Team linkedin icon Стежити
Відстеження ланцюга атак Akira Ransomware через журнали периметра й кінцевих точок
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

У статті описується недавнє проникнення, пов’язане з операцією програм-вимагачів Akira. Нападники отримали початковий доступ, виконуючи грубу силу на відключений локальний обліковий запис SSL VPN, потім перейшли до виявлення облікових даних, Kerberoasting і горизонтального переміщення по RDP. Перед запуском шифрування вони очищали журнали та видаляли тіньові копії. Важливо, що вся послідовність була видима через syslog дані брандмауера і Windows EVTX журнали без покладення на інструменти виявлення на кінцевих точках. Звіт підкреслює, як поєднання телеметрії периметру та кінцевих точок може виявити діяльність програм-вимагачів на ранніх стадіях.

Розслідування

Розслідування ґрунтувалося виключно на журналах SSL VPN брандмауера та експорті подій Windows, зібраних з контролерів домену та членських серверів. Було корельовано ідентифікатори подій, включаючи 4624, 4688, 4769, 1102, та 7036 для реконструкції повного ланцюга вбивства від початкового доступу до кінцевого впливу. Спостережені техніки включали підпорядкування облікових даних, виявлення домену, Kerberoasting, автентифікацію RDP, очищення журналів та видалення тіньових копій. Жодних образів памʼяті або телеметрії EDR не було потрібно для відображення проникнення.

Мітігація

Звіт рекомендує посилити безпеку віддаленого доступу, впровадити MFA, видалити відключені облікові записи з списків доступу брандмауера та посилити політики блокування автентифікації. Також радиться увімкнути детальний аудит процесу з ідентифікатором події 4688 по всіх системах, збільшити зберігання журналів безпеки та перенаправляти критичні журнали на зовнішнє сховище. Контент виявлення повинен спеціально охоплювати квитки Kerberos на базі RC4, vssadmin видалення тіньових копій та несподівані команди PowerShell, використовуючи -EncodedCommand. Постійна синхронізація часу по інфраструктурі також є необхідною для надійної кореляції.

Реакція

Коли з’являються будь-які з ідентифікованих індикаторів, відповідачі повинні негайно ізолювати скомпрометований обліковий запис VPN і карантинувати уражені системи. Відповідні журнали брандмауера і EVTX слід зберегти, змінити облікові дані, відключити скомпрометовані облікові записи і відновити тіньові копії з чистих резервних копій, якщо такі є. Потім слід виконати повний судово-експертний аналіз, щоб виявити будь-яку додаткову стійкість або подальшу діяльність, одночасно активуючи процедури реагування на програмне забезпечення рансомваре. Залучені сторони повинні бути негайно проінформовані, а публічне розкриття слід розглянути, якщо це необхідно.

Потік атаки

Виконання симуляції

Передумова: тест попереднього запуску Телеметрії та Базового аналізу має пройти.

Обґрунтування: у цьому розділі детально описується точне виконання техніки атакуючого (TTP), призначене для запуску правила виявлення. Команди і наративи ПОВИННІ точно відображати ідентифіковані ТТП і мають на меті генерувати саме ту телеметрію, яку очікує логіка виявлення.

  • Атака: Наратив та Команди:

    1. Розвідка (T1087): Зловмисник перелічує імена користувачів зі скомпрометованої внутрішньої системи та створює список підпорядкування облікових даних (наприклад, users.txt).
    2. Цикл грубої сили (T1021.001 / T1078.001): Використовуючи скомпрометований зовнішній діапазон IP, що належить відомому постачальнику хостингу (наприклад, 203.0.113.45), зловмисник запускає швидку серію невдалих спроб автентифікації SSLVPN (≥ 50) протягом однієї години. Кожна спроба використовує інший пароль зі списку, цільова на один обліковий запис жертви.
    3. Успішне підпорядкування облікових даних: Після вичерпання списку знаходиться правильний пароль; зловмисник успішно входить з того ж IP, задовольняючи умовам “successful_auth”.
    4. Обхід (Необовʼязково – T1070.001): Зловмисник очищає Журнал безпеки на VPN-пристрої після успішного входу, щоб приховати сліди (не охоплюється цим правилом).
  • Скрипт тесту регресії: Скрипт Bash з використанням curl (працює на Linux box зловмисника). Змінюйте змінні для реального середовища.

    #!/usr/bin/env bash
    # ------------------------------------------------------------------
    # Симуляція атаки методом грубої сили / підпорядкування облікових даних для запуску правила Sigma
    # ------------------------------------------------------------------
    
    VPN_ENDPOINT="https://vpn.example.com/remote/auth"
    USERNAME="victim_user"
    PASSWORD_LIST="passwords.txt"   # один пароль на лінію
    SOURCE_IP="203.0.113.45"        # має бути маршрутизованим для VPN
    
    # Функція для виконання однієї спроби входу
    attempt_login() {
        local pwd="$1"
        # Використовуємо --silent, щоб уникнути безпорядку; --write-out для захоплення HTTP коду
        curl --silent --output /dev/null --write-out "%{http_code}" 
            --user "$USERNAME:$pwd" 
            "$VPN_ENDPOINT"
    }
    
    # 1. Створити 55 невдалих спроб (швидкість ~1/сек)
    echo "Запуск невдалих спроб..."
    count=0
    while IFS= read -r pwd && [ $count -lt 55 ]; do
        http_code=$(attempt_login "$pwd")
        echo "Спроба $((count+1)): HTTP $http_code (очікувано 401)"
        ((count++))
        sleep 1   # зберігати в межах 1-годинного вікна
    done < "$PASSWORD_LIST"
    
    # 2. Успішний вхід з правильним паролем (припускаємо, що остання лінія у файлі)
    echo "Виконуємо успішний вхід..."
    correct_pwd=$(tail -n1 "$PASSWORD_LIST")
    http_code=$(attempt_login "$correct_pwd")
    echo "Успішна спроба: HTTP $http_code (очікується 200)"
    
    echo "Симуляція завершена."
  • Команди очищення: Видаліть усі тимчасові файли і скиньте обмеження швидкості брандмауера (якщо змінено).

    #!/usr/bin/env bash
    # Очищення після симуляції атаки методом грубої сили SSLVPN
    
    # Видаліть тимчасовий список паролів, якщо він був створений на он-лайн
    if [ -f passwords.txt ]; then
        shred -u passwords.txt
        echo "Видалено passwords.txt"
    fi
    
    # При необхідності скидайте всі тимчасові правила iptables, використані для тестування
    sudo iptables -D INPUT -s 203.0.113.45 -j DROP 2>/dev/null || true
    echo "Очищення завершено."