Les opérateurs de Ryuk exploitent la vulnérabilité Zerologon

Les opérateurs du ransomware Ryuk ont de nouveau frappé, passant de l’envoi d’un simple e-mail d’hameçonnage à un cryptage complet sur le réseau de la victime en seulement cinq heures.

Cette vitesse vertigineuse est en partie le résultat de l’exploitation de la faille d’élévation de privilège Zerologon (CVE-2020-1472), moins de deux heures après l’hameçonnage initial qui débouche sur l’installation de Ryuk, ont déclaré les chercheurs.

La vulnérabilité Zerologon permet à un attaquant non authentifié disposant d’un accès réseau à un contrôleur de domaine de compromettre complètement tous les services d’Active Directory, selon Microsoft. Il a été corrigé en Août, mais de nombreuses organisations restent vulnérables.

zerologon

Dans cette attaque particulière, après que les opérateurs de Ryuk aient élevé leurs privilèges à l’aide de Zerologon, ils ont utilisé divers outils de base tels que Cobalt Strike, AdFind, WMI et PowerShell pour atteindre leur objectif, selon l’analyse des chercheurs du DFIR Report, publiée récemment.

Commencement de l’attaque

L’attaque a commencé avec un e-mail d’hameçonnage contenant une version du loader Bazar, ont déclaré les chercheurs. À partir de là, les attaquants ont effectué un mappage de base du domaine, en utilisant des utilitaires Windows intégrés tels que Nltest. Cependant, ils devaient augmenter leurs privilèges pour faire de réels dégâts, ils ont donc exploité la vulnérabilité Zerologon récemment révélée, ont déclaré les chercheurs.

Après avoir obtenu des privilèges d’administrateur élevés, les opérateurs de Ryuk ont pu réinitialiser le mot de passe de l’ordinateur du contrôleur de domaine principal, selon l’analyse.

Ensuite, ils se sont déplacés latéralement vers le contrôleur de domaine secondaire, effectuant davantage de découverte de domaine via Net et le module PowerShell Active Directory.

«À partir de là, les pirates informatiques semblent utiliser le module d’élévation de privilèges nommé par défaut sur le serveur», ont déclaré les chercheurs. «À ce stade, les pirates ont utilisé [Remote Desktop Protocol] RDP pour se connecter du contrôleur de domaine secondaire au premier contrôleur de domaine, à l’aide du compte administrateur intégré.»

Cobalt Strike

Un mouvement latéral a été initié via les exécutions de balises Cobalt Strike via Server Message Block (SMB) et Windows Management Instrumentation (WMI), ont déclaré les chercheurs. SMB est un protocole de partage de fichiers réseau inclus dans Windows 10 qui permet de lire et d’écrire des fichiers sur des périphériques réseau. WMI, quant à lui, permet la gestion des données et des opérations sur les systèmes d’exploitation Windows.

Cobalt Strike appartient à un groupe d’outils à double usage qui sont généralement utilisés pour les tâches d’exploitation et de post-exploitation. D’autres exemples en circulation incluent PowerShell Empire, Powersploit et Metasploit, selon des découvertes récentes de Cisco.

«À partir de l’analyse de la mémoire, nous avons également pu conclure que les pirates utilisaient une version d’essai de Cobalt Strike avec la chaîne de caractère EICAR présente dans la configuration réseau de la balise. Des balises exécutables portables et DLL ont été utilisées », ont ajouté les chercheurs.

Une fois sur le contrôleur de domaine principal, une autre balise Cobalt Strike a été déposée et exécutée.

L’analyse de l’attaque a révélé qu’après environ 4 heures et 10 minutes, Ryuk a délaissé le contrôleur de domaine principal en utilisant RDP pour se connecter aux serveurs de sauvegarde.

«Ensuite, une reconnaissance de domaine a été effectuée à l’aide d’AdFind. Une fois cela terminé… les pirates informatiques étaient prêts pour leur objectif final », selon le rapport du DFIR.

5 heures plus tard: Ryuk

Pour la phase finale de l’attaque, les opérateurs de Ryuk ont ​​d’abord déployé leur exécutable ransomware sur des serveurs de sauvegarde. Après cela, le malware a été déposé sur d’autres serveurs de l’environnement, puis sur des postes de travail.

Ryuk est un malware très actif, responsable d’une série d’attaques récentes.

ryuk

«Les individus malveillants ont atteint leur objectif en exécutant le ransomware Ryuk sur le contrôleur de domaine principal, et au bout de cinq heures, l’attaque s’est terminée», ont déclaré les chercheurs.

L’exploitation de Zerologon a rendu les efforts des cybercriminels beaucoup plus faciles, car l’attaque n’avait pas besoin de cibler un utilisateur privilégié qui aurait probablement plus de contrôles de sécurité.

En fait, la partie la plus difficile de la campagne de Ryuk a été le début de l’attaque – l’installation réussie de Bazar à partir de l’e-mail d’hameçonnage initial, qui a nécessité une interaction de l’utilisateur. Les chercheurs notent que l’utilisateur était un utilisateur du domaine et n’avait aucune autre autorisation – mais cela s’est avéré être un faux problème, grâce à Zerologon.

L’attaque montre que les entreprises doivent être prêtes à agir plus rapidement que jamais en réponse à toute activité malveillante détectée.

«Vous devez être prêt à agir en moins d’une heure, pour vous assurer de pouvoir perturber efficacement l’acteur de la menace», selon les chercheurs.

Augmentation des attaques Zerologon

Cette étude de cas survient alors que les tentatives d’exploitation de Zerologon sont en forte augmentation. Les responsables gouvernementaux ont averti récemment que les acteurs avancés de la menace persistante (APT) exploitaient désormais la faille de sécurité.

Cela s’est produit quelques jours à peine après que Microsoft ait sonné l’alarme car un groupe iranien exploitait activement la faille (CVE-2020-1472). Ce groupe est connu sous le nom de MERCURY (également connu sous le nom de MuddyWater, Static Kitten et Seedworm). Les chercheurs de Cisco Talos ont également récemment mis en garde contre un pic des tentatives d’exploitation contre Zerologon.

En Septembre, les enjeux sont devenus plus importants pour les risques liés au bogue lorsque quatre exploits publics et preuves de concept pour la faille ont été publiés sur Github.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x