- تله سرمایه گذار: از خفه کردن و سوزاندن مراقب باشید
- 7 راه برای استفاده از هوش مصنوعی اکنون برای تأثیرگذاری بر مدیریت ریسک و جلوگیری از غرق شدن در داده ها
- مبادلات ، سوپر های الکترونیکی و بازپرداخت
- الگوریتم های معاملاتی هوشمند
- گزینه های سرمایه گذاری
- ثروتمندترین معامله گران فارکس
- 4 دلیل شما باید Dogecoin را بفروشید و چرا ممکن است آن را حفظ کنید
- سرمایه گذاری در مایع هوایی
- بحران ارز
- سهام جویدنی به عنوان درآمد نشان می دهد که تعداد مشتری را کاهش می دهد ، پیش بینی رشد سود
آخرین مطالب
امکانات وب
از اواسط ژوئن تا اواسط ماه ژوئیه سال 2022 ، CISA تعامل پاسخ حادثه را در یک سازمان شعبه اجرایی غیرنظامی فدرال (FCEB) انجام داد که در آن CISA فعالیت مظنون تهدید مداوم (APT) را مشاهده کرد. در جریان فعالیت های پاسخ به حادثه ، CISA مشخص کرد که بازیگران تهدید سایبری از آسیب پذیری log4shell در یک سرور Horizon VMware بدون استفاده ، نصب شده نرم افزار معدن Crypto XMRIG ، به صورت جانبی به کنترل کننده دامنه (DC) ، اعتبارنامه ها ، و سپس پروکسی های غواصی Ngrok را منتقل می کنند. در چندین میزبان برای حفظ پایداری. CISA و دفتر تحقیقات فدرال (FBI) ارزیابی می کنند که شبکه FCEB توسط بازیگران APT تحت حمایت دولت ایران به خطر افتاده است.
CISA و FBI این مشاوره امنیت سایبری (CSA) را منتشر می کنند که تاکتیک ها ، تکنیک ها و رویه های بازیگران تحت حمایت دولت ایران را مظنون می کند و شاخص های سازش (IOC) را برای کمک به مدافعان شبکه در تشخیص و محافظت در برابر سازش های مرتبط ارائه می دهد.
CISA و FBI همه سازمان های دارای سیستم های VMware تحت تأثیر را تشویق می کنند که بلافاصله تکه های موجود یا راه حل های موجود را برای فرض سازش و شروع فعالیت های شکار تهدیدی اعمال نمی کنند. اگر مشکوک به دسترسی اولیه یا سازش بر اساس IOCS یا TTP های شرح داده شده در این CSA ، CISA و FBI سازمانها را ترغیب کنند تا حرکت جانبی توسط بازیگران تهدید را به عهده بگیرند ، سیستم های متصل (از جمله DC) و حسابهای ممتاز حسابرسی را بررسی کنند. همه سازمان ها ، صرف نظر از شواهد مشخص شده در مورد سازش ، باید توصیه های موجود در بخش کاهش این CSA را برای محافظت در برابر فعالیت های مخرب مشابه سایبری اعمال کنند.
برای کسب اطلاعات بیشتر در مورد فعالیت های مخرب مخرب ایرانی تحت حمایت دولت ایران ، به صفحه وب و مشاوره در مورد تهدید سایبری CISA و صفحه وب و تهدیدات ایران FBI مراجعه کنید.
نسخه PDF این گزارش را بارگیری کنید: PDF ، 528 KB.
برای یک نسخه قابل بارگیری از گزارش تجزیه و تحلیل بدافزار (MAR) همراه با این گزارش ، به: مارس 10387061-1. v1 مراجعه کنید.
برای یک نسخه قابل بارگیری از IOCS ، به: AA22-320A. STIX ، 1. 55 MB مراجعه کنید.
جزییات فنی
توجه: این مشاوره از MITER ATT & CK برای چارچوب سازمانی استفاده می کند ، نسخه 11. به بخش تاکتیک ها و تکنیک های MITER ATT & CK مراجعه کنید تا یک جدول از فعالیت بازیگران تهدید نقشه برداری شده به تاکتیک ها و تکنیک های MITER ATT & CK® با توصیه های مربوط به کاهش و/یا تشخیص.
بررسی اجمالی
در آوریل 2022 ، CISA تجزیه و تحلیل گذشته نگر را با استفاده از انیشتین-یک سیستم تشخیص نفوذ در سطح FCEB (IDS) انجام داد و توسط CISA اداره و کنترل شد و فعالیت مشکوک APT را در شبکه یک سازمان FCEB مشخص کرد. CISA ترافیک دو جهته بین شبکه و یک آدرس IP مخرب شناخته شده مرتبط با بهره برداری از آسیب پذیری log4shell (CVE-2021-44228) را در سرورهای افق VMware مشاهده کرد. با هماهنگی سازمان FCEB ، CISA فعالیت های پاسخگویی به حادثه شکار را آغاز کرد. با این حال ، قبل از استقرار یک تیم پاسخ به حادثه ، CISA فعالیت مظنون اضافی را مشاهده کرد. به طور خاص ، CISA فعالیت HTTPS را از آدرس IP 51. 89. 181 [.] 64 به سرور VMware سازمان مشاهده کرد. بر اساس گزارش های شخص ثالث قابل اعتماد ، 51. 89. 181 [.] 64 یک سرور پروتکل دسترسی به فهرست سبک وزن (LDAP) است که با بازیگران تهدید از سوء استفاده از Log4shell همراه است. پس از فعالیت HTTPS ، CISA مشکوک به تماس با LDAP در پورت 443 به این آدرس IP را مشاهده کرد. CISA همچنین یک پرس و جو DNS را برای ایالات متحده - ny - ny [.] مشاهده کرد که به 51. 89. 181 حل شد [.] 64 هنگامی که سرور قربانی در حال بازگشت این تماس برگشتی Log4shell LDAP به سرور بازیگران بود.
CISA ارزیابی کرد که این ترافیک حاکی از سازش تأیید شده بر اساس پاسخگویی موفقیت آمیز به شاخص است و از سازمان این یافته ها مطلع شده است. این سازمان فعالیت را بررسی کرده و علائم سازش را پیدا کرده است. همانطور که حزب معتبر گزارش شده فعالیت Log4shell را از 51. 89. 181 [] 64 با حرکت جانبی و هدف قرار دادن DCS گزارش می دهد ، CISA گمان می کند که بازیگران تهدید به صورت جانبی حرکت کرده و DC سازمان را به خطر انداخته اند.
از اواسط ژوئن تا اواسط ماه ژوئیه سال 2022 ، CISA تعامل پاسخ به حادثه را در محل انجام داد و مشخص کرد که این سازمان در اوایل فوریه 2022 به خطر افتاده است ، توسط بازیگران APT احتمالاً تحت حمایت دولت ایران که نرم افزار معدنکاری XMRIG Crypto را نصب کرده اند. بازیگران تهدید نیز به صورت جانبی به سمت کنترل کننده دامنه حرکت کردند ، اعتبار را به خطر انداختند و پروکسی های معکوس NGROK را کاشته کردند.
فعالیت بازیگر تهدید
در فوریه 2022 ، بازیگران تهدید از Log4Shell [T1190] برای دسترسی اولیه [TA0001] به سرور Horizon VMware سازمان استفاده نکردند. به عنوان بخشی از بهره برداری اولیه خود ، CISA ارتباط با آدرس IP مخرب شناخته شده 182. 54. 217 [.] 2 طول 17. 6 ثانیه را مشاهده کرد.
بار بهره برداری بازیگران دستور PowerShell زیر را اجرا کرد [T1059. 001] که یک قانون محرومیت به Windows Defender [T1562. 001] اضافه کرد:
قانون محرومیت اجازه می دهد تا کل C: Drive را انتخاب کند و بازیگران تهدید را قادر می سازد تا ابزارهایی را در C: بدون اسکن ویروس بارگیری کنند. بار بهره برداری سپس mdeploy. text را از 182. 54. 217 بارگیری کرد. هنگام اعدام ، mde. ps1 file. zip را از 182. 54. 217 [.] 2 بارگیری کرد و mde. ps1 را از دیسک حذف کرد [T1070. 004].
File. zip شامل نرم افزار معدنکاری Cryptocurrency XMRIG و پرونده های پیکربندی مرتبط بود.
- Winring0x64. sys - راننده معدنکار XMRIG
- Wuacltservice. exe - Miner XMRIG
- Config. Json - پیکربندی ماینر XMRIG
- RuntimeBroker. exe - پرونده مرتبط. این پرونده می تواند یک حساب کاربری محلی [T1136. 001] ایجاد کند و برای اتصال به اینترنت توسط پینگ 8. 8. 8. 8 [T1016. 001] آزمایش کند. بار بهره برداری یک کار برنامه ریزی شده [T1053. 005] را ایجاد کرد که روزانه اجرا می شود. توجه: با بهره برداری از Log4shell ، بازیگران با دسترسی به سطح مدیر و سیستم به یک حساب خدمات VMware دسترسی پیدا کردند. وظیفه برنامه ریزی شده به عنوان یک کار با ویندوز مشروعیت به عنوان RuntimeBrokerService. exe نامگذاری شد.
برای کسب اطلاعات بیشتر ، از جمله IOC ، در این چهار پرونده به مارس 10387061-1. v1 مراجعه کنید.
پس از دستیابی به دسترسی اولیه و نصب XMRIG در سرور VMware Horizon ، بازیگران از RDP [T1021. 001] و حساب کاربری Windows Windows DefaultAccount [T1078. 001] استفاده کردند تا به صورت جانبی به یک میزبان VMWare VDI-KMS منتقل شوند. هنگامی که بازیگر تهدید خود را بر روی میزبان VDI-KMS تأسیس کرد ، CISA مشاهده کرد که بازیگران حدود 30 مگابایت پرونده ها را از انتقال [.] سرور مرتبط با 144. 76. 136 [.] 153 بارگیری کردند. بازیگران ابزارهای زیر را بارگیری کردند:
- PSEXEC - یک ابزار امضا شده مایکروسافت برای مدیران سیستم.
- Mimikatz - یک ابزار سرقت اعتبار.
- NGROK - یک ابزار پروکسی معکوس برای پروکسی کردن یک سرویس داخلی بر روی یک دامنه NGROK ، که کاربر می تواند در یک زیر دامنه به طور تصادفی در *. ngrok [.] IO به آن دسترسی پیدا کند. CISA این ابزار را در حال استفاده توسط برخی از محصولات تجاری برای اهداف خوش خیم مشاهده کرده است. با این حال ، این فرآیند کنترل های فایروال معمولی را دور می زند و ممکن است یک کاربرد بالقوه ناخواسته در محیط های تولید باشد. شناخته شده است که Ngrok برای اهداف مخرب مورد استفاده قرار می گیرد. [1]
بازیگران تهدید سپس Mimikatz را در VDI-KMS برای برداشت اعتبارنامه اجرا کردند و یک حساب مدیر دامنه سرکش ایجاد کردند [T1136. 002]. با استفاده از حساب تازه ایجاد شده ، بازیگران از RDP استفاده کردند تا به چندین میزبان در شبکه پخش شوند. پس از ورود به هر میزبان ، بازیگران Windows Defender را از طریق رابط کاربری گرافیکی (GUI) و فایل های پیکربندی NGROK به صورت دستی از ویندوز Defender غیرفعال کردند. بازیگران تهدید توانستند NGROK را بر روی میزبان های مختلف کاشت کنند تا در صورت از دست دادن دسترسی به یک دستگاه در طی یک راه اندازی مجدد روتین ، از ماندگاری NGROK اطمینان حاصل کنند. بازیگران توانستند جلسات RDP [T1090] را پروکسی کنند ، که فقط در شبکه محلی به عنوان اتصالات پورت HTTPS خروجی 443 به Tunnel. us. ngrok [.] com و korgn. su. lennut [.] com (دامنه قبلی] قابل مشاهده بودند. در معکوس). این امکان وجود دارد ، اما مشاهده نشده است که بازیگران تهدید یک دامنه سفارشی را پیکربندی کرده اند ، یا از سایر دامنه های تونل NGROK استفاده می کنند ، در اینجا به عنوان *. ngrok [.] com ، *. ngrok [.] io ، ngrok. *. تونل [[].] com ، یا korgn.*. lennut [.] com.
هنگامی که بازیگران تهدید یک جایگاه عمیق در شبکه ایجاد کردند و به صورت جانبی به سمت کنترل کننده دامنه حرکت کردند ، آنها دستور PowerShell زیر را در فهرست فعال اجرا کردند تا لیستی از تمام دستگاه های متصل به دامنه را بدست آورند [T1018]:
PowerShell. exe ge t-Adcompute r-filter * -properties * |نام ، OperatingSystem ، IPv4Address & gt ؛
بازیگران تهدید همچنین رمز عبور حساب مدیر محلی [T1098] را در چندین میزبان به عنوان پشتیبان در صورت شناسایی و خاتمه حساب مدیر دامنه سرکش تغییر دادند. علاوه بر این ، این بازیگر تهدید در تلاش برای حذف فرآیند خدمات زیر سیستم امنیتی محلی (LSASS) [T1003. 001] با مدیر وظیفه مشاهده شد اما این کار توسط ضد ویروس اضافی که سازمان FCEB نصب کرده بود متوقف شد.
تاکتیک ها و تکنیک های Miter Att & CK
جدول 1 را برای همه تاکتیک ها و تکنیک های بازیگر تهدید شده در این مشاوره و همچنین توصیه های مربوط به تشخیص و یا کاهش مشاهده کنید. برای کاهش اضافی ، به بخش Mitigations مراجعه کنید.
نرم افزار مفید تریدر...
ما را در سایت نرم افزار مفید تریدر دنبال می کنید
برچسب :
نویسنده : احمد شاملو
بازدید : 24
