Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

BumbleBee loader – nowa droga do przejęcia domeny Active Directory

23 sierpnia 2022, 10:19 | Aktualności | komentarzy 7
Loader jest typem złośliwego kodu używanego do wczytania właściwego złośliwego oprogramowania (payloadu) do systemu ofiary. Loader jest w stanie ukryć payload wewnątrz swojego kodu lub może skontaktować się ze zdalną lokalizacją w celu jego pobrania.

O podatności CVE-2021-40444 na usługi Microsoft i programach ją wykorzystujących mogliśmy przeczytać na sekuraku w marcu. Wydaje się, że grupy cyberprzestępcze, które wcześniej wykorzystywały takie loadery jak BazaLoader i IcedID w ramach swoich kampanii dotyczących złośliwego oprogramowania, zaadoptowały nowy loader o nazwie BumbleBee. Wygląda na to, że moduł ładujący jest w fazie rozwoju i jest wysoce wyrafinowanym złośliwym oprogramowaniem. Badaczom z Proofpoint udało się prześledzić i odnaleźć co najmniej trzy skupiska aktywności związane z rozmieszczeniem loadera. Kampanie pokrywają się z działaniami opisanymi przez Google Threat Analysis Group w marcu, które miały na celu dystrybucję ransomware Conti i Diavol.

Bumblebee wykonuje testy pod kątem środowiska jego uruchomienia (anty-wirtualizacja) i cechuje się unikalną implementacją typowych funkcji ataku drive-by download. Zaobserwowano, że wykorzystuje m.in. narzędzia Cobalt Strike, shellcode, Sliver i Meterpreter. 

Atak drive-by download oznacza niezamierzone pobranie złośliwego oprogramowania na komputer lub urządzenie mobilne, które naraża użytkownika na cyberatak. Rozróżnia się atak autoryzowany – użytkownik musi wykonać konkretną akcję polegającą np. na kliknięciu linka lub otwarciu załącznika. Atak nieautoryzowany – nie trzeba niczego klikać, pobierać ani otwierać złośliwego załącznika aby zostać zainfekowanym.

Rys. 1. Schemat ataku BumbleBee

Ataki obserwowane przez ekspertów z Proofpoint wskazują na wykorzystanie wiadomości DocuSign i ich celem jest nakłonienie odbiorców e-mail do pobrania złośliwego pliku *.ISO hostowanego za pomocą Microsoft OneDrive. Na jednej ze ścieżek obserwacji zauważono wysyłanie wiadomości zawierającej link “REVIEW THE DOCUMENT”, podczas gdy druga sieżka wykorzystuje załącznik *.HTML zawierający adres URL wykorzystujący system kierowania ruchem TDS (Traffic Direction System) nazwany “Prometheus” służący do filtrowania pobieranych plików na podstawie strefy czasowej i ciasteczka ofiary. 

Według napastników, działający pod wpływem emocji użytkownik w następnej kolejności musiałby zamontować obraz płyty *.ISO, gdzie w środku znajduje się plik *.LNK zawierający komendę do uruchomienia loadera BumbleBee. 

Inną metodą jaką atakujący również wykorzystują, jest przesłanie wiadomości z formularza kontaktowego ze strony ofiary (jeżeli ten takową posiada) z informacją o naruszeniu praw autorskich do zdjęć na tej stronie. Wiadomość zawiera link do strony ze złośliwym kodem, która uruchamia pobranie pliku ISO zawierającego „DOCUMENT_STOLENIMAGES.LNK” i bibliotekę „neqw.dll”. 

Niezależnie od wybranej drogi infekcji drive-by download, wspominane pliki *.LNK zawierają wbudowane polecenie do uruchomienia biblioteki DLL LOLBin (Living Off the Land Binary) przy użyciu systemowego narzędzia ODBCconf.exe, skąd generowany jest plik odpowiedzi w formacie *.RSP. Plik ten zawiera odniesienie do DLL BumbleBee. Jego nazwa za każdym razem jest unikalna. 

Rys. 2. Droga plikowa fazy ładującej malware

Narzędzie odbcconf.exe ładuje malware z wewnętrzną nazwą LdrAddx64.dll. Firma Proofpoint zauważyła również, że ponowna (druga) kampania w kwietniu 2022 r. obejmowała kampanię przejmowania wątków dostarczających wiadomości e-mail, które wydawały się być odpowiedziami na istniejące konwersacje e-mailowe ze złośliwymi spakowanymi załącznikami ISO („doc_invoice_[numer].zip”) ze znacznikiem “Re:” i wariacją tego zapisu. 

Rys. 3. Proces krokowy przebiegu pierwszej fazy infekcji na platformie CRP

Po fazie początkowej infekcji BumbleBee wstrzykuje kod do wielu procesów w celu zwiększenia prawdopodobieństwa przetrwania. Proces odbcconf.exe tworzy lokalne wywołania WMI (Windows Management Instrumentation) w celu tworzenia nowych procesów. W rezultacie z wmiprivse.exe powstają następujące dwa procesy:

  1. wabmig.exe – czyli narzędzie do importowania kontaktów Microsoft z wstrzykniętym kodem agenta Meterpretera.
  2. wab.exe – aplikacja książki adresowej Microsoft z wstrzykniętym sygnałem nawigacyjnym dla Cobalt Strike.

Stąd odbywa się faza eskalacji uprawnień wykorzystująca podatność #Zerologon (CVE-2020-1472) na procesie rundll32.exe. Pomimo, że podatność istnieje już jakiś czas to sama aktualizacja nie rozwiązuje problemu zagrożenia. Sam Microsoft pisze, o konieczności podjęcia dodatkowych kroków:

Active Directory machine accounts for domain joined third-party devices are NOT protected until enforcement mode is deployed. Machine accounts are also NOT protected if they are added to the „Domain controller: Allow vulnerable Netlogon secure channel connections” group policy. See How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472 for more details.

Musi nastąpić obejście kontroli UAC do wdrożenia narzędzi posteksploitacyjnych z wyższymi uprawnieniami (stąd biblioteka LOLBin). Do tego celu włączony do sceny zostaje plik fodhelper.exe (Features On-Demand Helper), który jest zaufanym plikiem binarnym Microsoft od momentu utworzenia w 2015 r. Oznacza to, że system Windows nie wyświetli okna UAC po uruchomieniu w celu wykonania konkretnych instrukcji. Wywołanie fodhelper.exe wygląda następująco:

“cmd.exe” /c rundll32.exe “C:\ProgramData\Cisco\[Cobalt strike].dll”,MainProc

Rys. 4. Eskalacja uprawnień przedstawiona na platformie CRP

Po eskalacji uprawnień następuje próba kradzieży poświadczeń według dwóch metod (obu ale nie jednocześnie). Za pomocą zrzutu pamięci (procdump64.exe) procesu LSASS (Local Security Authority Subsystem Service), czyli miejsca gdzie przechowywane są nazwy użytkowników i hasła domeny. Druga metoda uwzględnia użycie reg.exe jako ekstraktora typowych wartości rejestru do których zalicza się: HKLM SAM (baza SAM z kontami użytkowników), HKLM System (klucze szyfrujące LSA i SAM) i LSA (loginy i sekretne hasła). W tym miejscu następuje ponowna faza rekonesansu i rozsiewania infekcji. Warto zwrócić uwagę na aktywność czasową malware:

Tabela 1. Korelacja faz ataku w czasie

AktywnośćZnacznik czasu
Inicjacja dostępuT0
[Rekonesans] nltest, whoami, net *T0 + 30 min
[C2] MetepreterT0 + 240 min
[Eskalacja uprawnień] ZerologonT0 + 240 min 
[C2] Cobalt StrikeT0 + 360 min
[Kradzież kont] reg.exe T0 + 360 min
[Rekonesans++] ping, curl, adfindT0 + 390 min
“Przerwa”
[Eskalacja i kradzież] LSASS dumpT0 + 19 h
[Kradzież danych] Eksfiltracja NTDS.ditT0 + 22 h
[Lateral] RDP dla Cobalt StrikeT0 + 24h
[Eskfiltracja danych] rcloneT0 + 3 dni

Po odczytaniu danych logowania ze skradzionych kont następuje późna faza eksfiltracji danych domeny za pośrednictwem klonowania pliku NTDS.dit (z hashami haseł) za pośrednictwem windowsowego narzędzia shadow copy – vssadmin. Utrzymanie dostępu na porcie 3389 z różnych miejsc w sieci wykorzystując legalne narzędzie AnyDesk i ostatecznie masowe klonowanie za pomocą rclone spakowanych, zaszyfrowanych plików 7-Zip.

Rys. 5. Faza uzyskania uprawnień wraz z eksfiltracją danych przedstawiona na platformie CRP

Jak przedstawiono powyżej, BumbleBee stanowi książkowe zobrazowanie faz ataku od rekonesansu po eksfiltrację i stanowi obecnie duże zagrożenie. Eksperci uważają, że cyberprzestępcy korzystający z BumbleBee mogą być wyłącznie brokerami początkowego dostępu, którzy otrzymali program ładujący od innych cyberprzestępców lub na zlecenie nielegalnych organizacji / rządów. 

Czy można się przed malware zabezpieczyć? Oczywiście. Przede wszystkim (jak zawsze) należy przestrzegać użytkowników przed e-mail phishingiem i regularnie tworzyć kopie zapasowe w lokalizacji zdalnej. Nie wolno także zapominać o wykonywaniu aktualizacji do najnowszych wersji. Używanie bezpiecznych haseł (15+ znaków) wraz z uwierzytelnianiem 2FA to zawsze dobry pomysł. Warto również zapoznać się z dobrymi praktykami zabezpieczania Active Directory od Microsoftu.

Źródło: 

  1. https://www.techrepublic.com/article/new-bumblebee-malware-loader-increasingly-adopted-by-cyber-threat-groups/ 
  2. https://www.cybereason.com/blog/threat-analysis-report-bumblebee-loader-the-high-road-to-enterprise-domain-control 
  3. https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory 

~tt

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Pyth0n

    „atak autoryzowany/nieautoryzowany”

    Dotąd spotkałem się z 1-click i 0-click… Jakoś „autoryzowany” nie łączy mi się z „atak” w kontekście innym niż zamówiony test penetracyjny…

    Odpowiedz
    • tt

      Masz rację Pyth0n, nie wszystko niestety realnie da się przetłumaczyć na nasz język, ale 0-click i 1-click wydaje się wytłumaczeniem zasady bardzo „straight” :-).

      Odpowiedz
  2. chester

    A jak w kontekście zapobiegania BumbleBee wygląda stosowanie EDR? Czy jest skuteczne (i kiedy jest, a kiedy nie?) ?
    Dobre praktyki z hasłami są ok, ale wydaje mi się, że w czasach gdy za $50 ludzie po prostu dają dostęp do swojej firmy to jest niewystarczające – stąd pytanie o bardziej zaawansowany rodzaj zabezpieczenia. Pewnie wielu opiekunów średnich i dużych domen się nad tym zastanawia.

    Odpowiedz
    • tt

      Zdecydowanie EDR będzie dobrym wsparciem w kontekście każdego znaleziska / zachowania na końcówce.

      Odpowiedz
      • sikotaż

        A czy EDR jest w stanie sam coś zrobić, czy trzeba analizować na bieżąco? Inaczej: czy zdąży się zareagować?

        Odpowiedz
        • fs

          EDR / XDR tak, mają możliwość ingerencji w system.

          Odpowiedz
  3. Imię *

    Brakuje tagu „active-directory”

    Odpowiedz

Odpowiedz