Nella tana del coniglio cattivo 1

Nella tana del coniglio cattivo

Analisi del ransomware BadRabbit, a cura di Max Heinemeyer, Director of Threat Hunting di Darktrace

Abbiamo deciso di analizzare in profondità il ransomware attualmente in circolazione chiamato BadRabbit e di mostrare come la tecnologia machine learning di Darktrace sia stata capace di rilevarlo.

Nella tana del coniglio cattivo 2

BadRabbit è un malware auto-propagante che utilizza SMB per diffondersi in modo laterale. La campagna in atto ricorda gli attacchi di WannaCry e NotPetya avvenuti all’inizio di quest’anno. Alcune delle funzionalità di BadRabbit e il modus operandi in base al quale vengono infettati gli obiettivi è infatti simile all’attacco NotPetya.

L’attacco ha inizialmente colpito le aziende in Russia e in Ucraina il 24 ottobre 2017; da allora il ransomware ha iniziato a diffondersi anche in altri paesi in tutto il mondo.

Il Processo di infezione

Il vettore iniziale di infezione si manifesta attraverso drive-by download e tecniche di social engineering che utilizzano file fake di Adobe Flash Player. Diversi siti internet di notizie multimediali, prevalentemente, ma non esclusivamente in Russia e in Ucraina, hanno indirizzato ai visitatori avvisi pop-up che richiedevano di scaricare aggiornamenti software di Adobe Flash Player. Non è ancora chiaro se questi siti web siano stati a loro volta compromessi in precedenza o sia stato sfruttato semplicemente il network di ADV per mostrare i download falsi di Adobe Flash.

La tecnica di presentare agli utenti aggiornamenti falsi, spesso di Adobe Flash, che nascondono ransomware, adware o altre forme di malware, è stata sempre più utilizzata negli ultimi sei mesi. Lo stesso approccio è applicato anche in altre circostanze per ingannare gli utenti spingendoli a compiere azioni imprudenti, come il download di malware durante lo streaming TV dai siti web o siti torrent.

Nella tana del coniglio cattivo 3

Una volta scaricato il file, l’utente deve eseguire il falso Adobe Flash Player inserendo manualmente le credenziali amministrative perché non viene utilizzato un exploit per l’esecuzione automatica del malware.

A quel punto, il malware crea e pianifica un task per l’esecuzione di un altro file. Il ransomware quindi crittografa i file del dispositivo compromesso usando un elenco hard-coded di estensioni di file e una chiave RSA 2048. I criminali richiedono un pagamento in bitcoin per decifrare nuovamente i file e gli utenti vengono indirizzati verso un sito web .onion, al quale accedere via Tor, per pagare il riscatto.

BadRabbit può forzare SMB verso altri dispositivi sulla rete utilizzando un elenco hard-coded di credenziali comuni. Il malware sembra contenere una versione semplificata di Mimikatz, uno strumento utilizzato per raccogliere credenziali sulle macchine Windows, che viene in questo caso probabilmente impiegato per migliorare ulteriormente le capacità di movimento laterale sfruttando la crittografia SMB. BadRabbit non sembra utilizzare exploit come EternalBlue, come accaduto in precedenza in attacchi come WannaCry.

Come Darktrace ha individuato immediatamente BadRabbit

Darktrace è in grado di individuare queste tipologie di campagne, anche senza l’uso di signature. In pochi secondi, abbiamo avvisato diversi clienti che il falso Adobe Flash Player era stato scaricato sulla loro rete, molto prima che la campagna fosse nota al pubblico.

Il primo download falso di Adobe Flash Player da 1dnscontrol[.] è stato immediatamente identificato come un download sospetto:
Nella tana del coniglio cattivo 4

Se i primi segnali di BadRabbit non vengono rilevati, i dispositivi infetti iniziano ad accedere a altri dispositivi della rete utilizzando SMB, causando migliaia di tentativi di accesso alla sessione SMB per forzare il movimento laterale verso la porta 445. Questo comportamento, estremamente anomalo, segna un forte scostamento rispetto al “comportamento normale” dei clienti, rendendo BadRabbit molto facile da individuare da parte della tecnologia di machine learning di Darktrace. Darktrace ha quindi avvisato dell’attacco in pochi secondi le organizzazioni interessate, indicandolo come “SMB Session Brute Force”. Di seguito viene mostrato un tentativo in corso di movimento laterale da un dispositivo infetto ad un altro dispositivo client utilizzando il metodo “brute force” per la sessione SMB.

I dispositivi infetti provocano tentativi di connessione verso uno o due indirizzi IP generati in modo casuale su internet tramite la porta 445 e anche la porta 139. Di seguito sono riportati alcuni esempi di questi tentativi di connessione non riusciti. Darktrace ha immediatamente riconosciuto questo comportamento insolito del dispositivo infetto:

Nella tana del coniglio cattivo 5

I dispositivi compromessi tentano di spostarsi lateralmente nella rete alla ricerca di altri dispositivi da infettare. Gli algoritmi di IA di Darktrace possono riconoscere rapidamente questo comportamento anomalo, avvisando l’organizzazione interessata in tempo reale su queste “connessioni interne insolite”, nonché rispetto a potenziali “scansioni di rete”.

Di seguito sono riportati alcuni modelli di breach individuati da Darktrace e previsti per un tipo di infezione come BadRabbit. Tenete presente che non tutti i modelli elencati di seguito sono applicati ad ogni violazione; questo dipende dal comportamento effettivo osservato da Darktrace.

Anomalous File / EXE from Rare External Destination
Device / SMB Session Brute Force
Unusual Activity / Unusual Internal Connections
Device / Network Scan
Unusual Activity / Sustained Unusual Activity
Anomalous Connection / Suspicious Read / Write Ratio
Compliance / Tor Usage

Le funzionalità di Darktrace “Omnisearch” e “Advanced Search” possono essere utilizzate per identificare qualsiasi connessione verso il network Indicators of Compromise:

1dnscontrol[.]com(hosting the fake Adobe Flash player file)185.149.120[.]3(static IP observed, victims HTTP POSTing to the IP)

In conclusione, BadRabbit ha aggirato i controlli tradizionali di sicurezza in tutto il mondo, dimostrando ancora una volta l’inutilità di cercare di identificare e arrestare le minacce utilizzando regole e signature.

BadRabbit è un attacco di ransomware a velocità di macchina che dopo l’impatto iniziale può diffondersi da macchina a macchina senza l’intervento umano. Gli algoritmi IA di Darktrace sono in grado di rilevare rapidamente i modelli di comportamento altamente anomali che BadRabbit attiva in una rete, avvisando in tempo reale il team di sicurezza. Poiché la tecnologia di machine learning di Darktrace non si basa su ipotesi di ciò che sembra “cattivo” e individua gli attacchi guardando non a come si chiamano ma da ciò che fanno, ha permesso di catturare il “BadRabbit “bloccando il ransomware in tempo reale.

 

Via Darktrace.

Massimo Uccelli
Fondatore e admin. Appassionato di comunicazione e brand reputation. Con Consulenze Leali mi occupo dei piccoli e grandi problemi quotidiani delle PMI.

Questo si chiuderà in 20 secondi

Translate »