Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ransomware. Przejęli sieć Windows i zaszyfrowali ją… Bitlockerem. Zobacz cały scenariusz ataku.
Jeśli ktoś jest spragniony technicznych szczegółów – od razu odsyłam tutaj (w szczególności dostępne są tam wskazane użyte przez atakujących narzędzia często wraz z konkretnymi ich wywołaniami).
A w skrócie: akcja rozpoczęła się od wykorzystania podatności w Exchange (CVE-2021-34473, CVE-2021-34523, and CVE-2021-31207 – znane zbiorczo jako ProxyShell).
Odpalenie exploita na niezałatanego Exchange daje możliwość (bez żadnego uwierzytelnienia) wykonywania kodu w systemie operacyjnym i to z uprawnieniami SYSTEM. Atakujący zuploadowali więc webshell-a (prosty program dający możliwość wykonywania poleceń w OS z poziomu przeglądarki), następnie dograli trochę narzędzi i po chwili mogli już działać z wykorzystaniem RDP (mieli uprawnienia admina – taki bowiem dostęp daje podatność w Exchange).
Następnie napastnicy ręcznie zdumpowali proces LSASS i po chwili mieli już dostęp do konta administratora domeny.
Po dalszym rekonesansie (m.in. skanowanie portów), do szyfrowania został użyty BitLocker oraz DiskCryptor:
In this intrusion the threat actors used BitLocker and an open source encrypter, DiskCryptor, in order to encrypt systems domain wide.
Jak widzicie poniżej cała operacja zajęła ~3 dni, choć od zdobycia uprawnień admina domenowego do szyfrowania wystarczyło mieć kilka godzin:
~Michał Sajdak