Hackere lurerede i netværk i flere måneder

Elephant Beetle, en hackergruppe, har specialiseret sig i at stjæle penge fra finansielle virksomheder og handelsvirksomheder over en længere periode, mens de forblev uopdaget.

Analytikere advarer om en cyberkriminelle gruppe, der har stjålet millioner af dollars fra finans-og handelsorganisationer i løbet af det seneste år ved at bryde ind i netværk via Java-applikationer og derefter skjule sig for at lære interne finansielle processer. Gruppen, som analytikere fra incident response firmaet Sygnia, har døbt Elephant Beetle, bruger en stor samling af brugerdefinerede og open source-værktøjer til sine operationer, herunder Java bagdør, og er god til at falde i med miljø og netværkstrafikstrømme til at forblive uopdaget i flere måneder.

Dens adfærd minder omgrupper som Carbanak, der har stjålet hundreder af millioner af dollars fra finansielle institutioner, herunder centralbanker. Mens Elephant Beetle’s målvalg synes at favorisere Latinamerika, har det ramt de lokale grene af internationale virksomheder, og dets aktiviteter kan nemt udvide til andre regioner i fremtiden.

Indledende infiltration og spredning

Gruppens infiltrationsmetoder er ikke sofistikerede, da de ikke bruger Zero-Day exploits. I stedet er det rettet mod ældre og ikke-patchede Java-applikationer og webservere, især WebSphere og WebLogic, der er udsat for internettet.

Ifølge Sygnia har gruppen brugt ældre fjernkørsel af kode (RCE): Primefaces Application Expression Language Injection (CVE-2017-1000486), WebSphere Application Server SOAP Deserialization Exploit (CVE-2015-7450), SAP NetWeaver Invoker Servlet Exploit (CVE-2010-5326) og SAP NetWeaver ConfigServlet Remote Code Execution (EDB-ID-24963).

Adgang til servere

Når de får adgang til serverne, angriberne implementere en web shell script, hvorigennem de kan udføre forskellige kommandoer på serveren. Gruppen har brugt både brugerdefinerede og off-the-shelf web skaller, herunder JspSpy, reGeorge, MiniWebCmdShell og Vonloesch Jsp File Browser. Disse webskaller installeres i ressourcemapperne i eksisterende programmer og efterligner navnene på eksisterende ressourcefiler som CSS, billeder, skrifttyper og JavaScript-scripts. Ud over at udnytte gruppen forsøger også at få adgang til web management grænseflader såsom myWebMethods (WMS) og QLogic ved hjælp af standard legitimationsoplysninger. Når de får adgang til serveren via en web shell de vil begynde at søge inde scripts og konfigurationsfiler for yderligere gemte legitimationsoplysninger. WebSphere gemmer f.eks. administratorlegitimationsoplysninger på serveren.xml i kodet form med XOR, som er nemme at afkode.

Legitimationsoplysninger

Hvis de får yderligere legitimationsoplysninger til serveradministrationsværktøjerne, bruger hackerne dem til at installere deres eget Java-program i form af et WAR-arkiv eller placere det i autoinstallationsmapper. Denne applikation er en samling af webskaller og andre værktøjer såsom Java-baserede netværksscannere.

En anden teknik observeret var injektion af ondsindet bagdør kode i standard websider såsom iisstart.aspx eller standard.aspx på IIS webservere. Adgang til disse sider er normalt ikke blokeret eller begrænset af web firewall regler, og de kan potentielt tilgås fra internettet.

Elephant Beetle downloader kildekoden til de programmer, der er til stede på serveren, eventuelt for at finde potentielle svagheder.

“Denne handling, kombineret med scanninger for specifikke proprietære web-grænseflader, viser, at de har omfattende forståelse og viden inden for pentest,” Hævder Sygnia i deres rapport.

Gruppen har brugt en række portscanninger og andre fingeraftryksværktøjer til at finde yderligere systemer og aktiver, de kan angribe efter den første indtrængen. Dette omfatter en TLS-scanner, et batchscript til optælling af åbne shares på maskiner i et Windows-domænemiljø og et Microsoft-udviklet script til søgning efter tjenestenavn i domænet.

“Hackergruppen bevæger sig sideværts inden for netværket primært gennem webapplikationsservere og SQL-servere, udnytte kendte teknikker såsom Windows API’er (SMB / WMI) og ‘xp_cmdshell’, kombineret med brugerdefinerede fjernudførelse flygtige bagdøre,” forskerne sagde. Gruppen har brugt bagdør og trafik tunneling værktøjer skrevet i Java, PowerShell og Perl. I alt er Elephant Beetle blevet observeret ved hjælp af over 80 forskellige værktøjer og scripts under sine operationer.

MS-SQL-servere ser ud til at være et yndet mål efter det første kompromis mellem webservere. Hackerne forsøger at få adgang til SQL-databaseserverne ved hjælp af legitimationsoplysninger, der findes i webprogrammer, og oprette administrative konti.

RCE på Windows-maskiner udføres via WMI (Windows Management Instrumentation) og SMB ved hjælp af scripts som Invoke-SMBExec.ps1 – en del af Empire Exploitation Framework – og WmiExec.vbs. Kommandooutput og filer, der er udtrukket fra interne servere med disse fjernkommandoer, videresendes tilbage til allerede kompromitterede systemer via proxy- eller tunnelværktøjer og gemmes derefter i internettilgængelige mapper til udsivning.

Hackerne udfører deres handlinger på kompromitterede maskiner fra midlertidige systemmapper for at undgå at efterlade spor på permanente placeringer. De ondsindede filer er opkaldt efter offerets selskab eller programmer, som virksomheden bruger til at gøre detektion sværere. Når værktøjerne oprindeligt uploades, kan de sløres i Base64 og afkodes derefter ved hjælp af systemværktøjer som Certutil.exe.

For at høste legitimationsoplysninger gruppens lossepladser hukommelsen af LSASS.exe proces med værktøjer som PWdump7, Out-Minidump.ps1 eller ProcDump værktøj. De har også udtrække SAM og SYSTEM registreringsdatabasen nældefeber og høste NTDS. DIT-filen fra domænecontrollere og dekryptere den.

Rettighedsforøgelse opnås med sideindlæsning af DLL, f.eks. ved at sideindlæse httpodbc.dll på gamle IIS-servere eller med værktøjer som inkognito v2 til tokenmanipulation og efterligning.

Månedlang rekognoscering og pengetyveri

Når Elephant Beetle bryder ind i et netværk, bruger den de første par uger til en måned på at udføre spredningen og tilpasse deres bagdøre til målets miljø. Dette efterfølges af flere måneders tålmodigt og studering af ofrets finansielle operationer: den software, infrastruktur og processer, de bruger til at udføre legitime transaktioner.

Når alle arbejdsgange er forstået, og den nødvendige adgang er opnået gruppen begynder at injicere transaktioner for små mængder af penge, der sandsynligvis vil gå ubemærket hen. Disse efterligner adfærd legitime transaktioner, og målet er at stable så mange transaktioner som muligt over tid i stedet for at stjæle en masse penge på én gang. Ved at bruge denne teknik, kan angriberne lænse millioner af dollars over tid, mens de forbliver uopdaget.

Kompromitterede netværk

Dette er en anden adfærd end for grupper som Carbanak, der ligeledes tager meget tid på at forberede deres handlinger i et kompromitteret netværk og studere finansielle processer i flere måneder, men derefter udføre et engangs velforberedt angreb, der resulterer i tyveri af millioner af dollars fra målet. Mens grupper som Carbanak ved, at de vil blive opdaget, når de trykker på aftrækkeren på et stort hit, håber Elephant Beetle-angriberne, at de vil forblive uopdagede i længere tid.

“Hvis der i løbet af sin indsats nogen svigagtig aktivitet opdages og blokeres, de så blot lægge lav i et par måneder kun for at vende tilbage og målrette et andet system,” siger analytikere fra Sygnia.

Det er ikke klart, hvor Elephant Beetle angribere er fra, men strenge fundet i deres værktøjer tyder på, at de er spansktalende, så Latinamerika er en stærk mulighed. Dette kan også forklare deres nuværende fokus på mål i regionen, og flere af deres kommando- og kontrolservere hostes i Mexico. Der er også ligheder med en gruppe, som Mandiant-sporer som FIN13, som har været aktiv siden 2017 og har målrettet operationer i Mexico.

“Elephant Beetle synes primært at fokusere på latinamerikanske mål, men det betyder ikke, at organisationer, der ikke er baseret der er sikre,” siger analytikerne. “For eksempel opdagede vores IR-team, at de latinamerikanske operationer i et amerikansk firma var blevet brudt. Som sådan bør både regionale og globale organisationer være på vagt.”

Afsløring elephant beetle angreb

Detektering af indtrængen som de, der udføres af Elephant Beetle, kræver ofte aktiv intern hackerjagt. Sygnia-rapporten indeholder IOC’er og TTPs baseret på MITRE ATT&CK-rammen. Selskabets anbefalinger omfatter:

  • Vedligehold programmer, og hold operativsystemer opdaterede, især på internetvendte servere.
  • Undgå at bruge legitimationsoplysninger for klartekst i scripts.
  • Undgå at bruge den samme adgangskode til forskellige administrative grænseflader på forskellige servere.
  • Undgå at bruge xp_cmdshell-proceduren, og deaktiver den på MS-SQL-servere. Overvåg for konfigurationsændringer og brug af xp_cmdshell.
  • Overvåg WAR-installationer, og kontroller, at pakkeinstallationsfunktionen er inkluderet i logføringspolitikken for de relevante programmer.
  • Jag og overvåge for tilstedeværelse og oprettelse af mistænkelige .class fil i WebSphere programmer temp mapper
  • Gå på jagt efter tilstedeværelse og oprettelse af websider i mapper med statiske ressourcer i webprogrammer.
  • Overvåg efter processer, der blev udført af enten webserver overordnede tjenester processer (dvs. w3wp.exe, tomcat6.exe) eller af database-relaterede processer (dvs. sqlservr.exe). Processer som CMD.exe, powershell.exe, wmic.exe og andre kode udførelse-relaterede eksekverbare filer er meget mistænkelige.
  • Implementer og kontroller adskillelsen mellem DMZ og Intern server. Tæt overvågning og adgangskontrol over disse områder er vigtigt for at forsinke/forhindre ondsindede aktører i at komme videre efter at have kompromitteret en webserver.

Kilde: SCOonline

Cybersikkerhed & Nyheder