Utiliser Vectra pour détecter et arrêter Maze Ransomware

5 août 2020

The Maze ransomware, previously known in the community as “ChaCha ransomware,” was discovered on May 29, 2019 by Jerome Segura. Although over a year old at this point, it is still seen in the wild as the recent attack on Canon shows. Like other ransomware, Maze spreads across a corporate network, infecting computers it finds and encrypts data so it cannot be accessed.

How does Maze Ransomware works?

In addition to encrypting data, Maze also steals the data it finds and exfiltrates it to servers controlled by the attacker who then threaten to release it if a ransom is not paid. Increasingly, other ransomware (such as REvil, also known as Sodinokibi) have been observed using similar tactics.

Maze and similar ransomware attacks leverage encrypted command and control (C2), deception, and the use of native Windows functions to avoid detection by signature-based security controls.

Vectra models detect these threats consistently when seen in the wild because we focus on behaviors, not signatures. Attacker infrastructure, tools change, but behaviors are more stable. This allows Vectra to not just catch the current flavor of ransomware, but newer ones that may be created in the future.

Les analystes du centre d'opérations de sécurité (SOC) peuvent exploiter les détections comportementales pour devancer un attaquant avant qu'il n'atteigne un objectif malveillant tel que l'exfiltration ou le cryptage de données.

Dans ce blog, j'aimerais analyser la progression d'une attaque typique de Maze, et comment elle apparaîtrait à quelqu'un qui utilise Vectra pour sécuriser son réseau.

How does a modern Ransomware attack looks like?

Let’s start by looking at a common timeline of a modern ransomware attack:

L'organisation est compromise par un courriel d'hameçonnage (spear phishing)
Le C2 est établi
L'exécutable est abandonné et l'acteur de la menace dispose d'un long délai pour procéder au vol d'informations d'identification et à d'autres opérations de reconnaissance localisées.
Des outils supplémentaires sont téléchargés sur l'hôte, tels que psexec, Cobaltstrike, Empire, ADFind, etc.
Exécution des outils de reconnaissance et collecte des résultats
L'acteur de la menace copie les charges utiles sur des cibles dans l'environnement.
Les processus sont interrompus au fur et à mesure de l'évasion défensive et du chiffrement.
Remise d'une demande de rançon
Exfiltration de données via C2 ou TOR

Du point de vue du SOC, simplifions les choses et distillons-les en cinq étapes observables.

L'attaquant prend pied dans l'entreprise ciblée
L'attaquant effectue une reconnaissance afin de trouver des informations intéressantes ou des mots de passe qui peuvent permettre un mouvement latéral dans le réseau ou une escalade des privilèges.
Mouvement latéral pour contrôler la plupart des hôtes
Exfiltration de données sensibles
Finally, deployment and execution of Maze ransomware toward the previously created channels

Note that those steps may or may not be present, depending of the actor. As the techniques varies, potential detections listed below cannot be considered certain. Note as well that some people can just open a sample of Maze by accident, infect themselves, which would only trigger ransomware detection, as no interaction within a C2 channel will be performed.

Anatomy of the Maze Ransomware attack

*The anatomy of a Maze Ransomware attack*

Étape 1 - Compromis initial

Pour la compromission initiale, certaines campagnes commencent par des documents malveillants, utilisés pour lancer une instance de frappe cobalt afin de prendre le contrôle à distance du "patient zéro". Plusieurs cas signalés résultent d'une compromission directe, par l'acteur, à l'aide d'informations d'identification volées, de l'exploitation d'un logiciel vulnérable ou d'un mot de passe faible sur des appareils connectés à Internet. L'outil le plus utilisé pour prendre le contrôle du patient zéro semble être CobaltStrike.

Étape 2 - Recon et escalade des privilèges

Actors sometimes used privilege escalation in order to be able to execute and deploy the ransomware, move laterally, or discover interesting files. This attack step comprises the reconnaissance behavior.

Cette opération peut être réalisée localement à l'aide de mimikatz.
L'acteur peut rechercher des fichiers contenant le mot "mot de passe", ce qui peut déclencher l'énumération des fichiers partagés.
Certaines utilisations de la fonction d'énumération/reconnaissance de l'outil BloodHound ont été signalées, permettant à l'attaquant de trouver des hôtes intéressants et de mieux comprendre l'architecture de la cible.
De nombreux outils différents ont été décrits pour la phase de reconnaissance, mais ils ont tous le même objectif : comprendre l'architecture du réseau, les endroits où ils peuvent se déplacer, où trouver des comptes qui peuvent les aider à aller plus loin.....
Tous ces comportements peuvent déclencher nos détections de reconnaissance, telles que l'analyse des ports, l'analyse du darknet interne, les requêtes LDAP suspectes, l'énumération des fichiers partagés, etc.

Une fois que l'attaquant a pris pied dans l'environnement de la cible, il effectue plusieurs tentatives de reconnaissance, ainsi que des mouvements latéraux vers d'autres cibles.

La capture d'écran ci-dessous montre clairement ce comportement, l'IP - 10.50.2.103 étant le principal point d'entrée, montrant un mouvement latéral et un comportement de reconnaissance significatif.

capture d'écran montrant un mouvement latéral et un comportement de reconnaissance significatif

Étape 3 - Mouvement latéral

En ce qui concerne le mouvement latéral proprement dit, les attaquants tirent principalement parti de la frappe Cobalt à partir de leur point d'appui initial.

Certains acteurs créent eux-mêmes un compte sur le domaine infecté. Cette action peut créer des anomalies d'accès aux privilèges, telles que Anomalie de privilège : compte inhabituel sur l'hôte
Si une exploitation telle que psexec est effectuée afin de se déplacer latéralement à l'aide de l'outil, l'exécution à distance suspecte est susceptible d'être déclenchée.
Certains acteurs ont utilisé RDP, dans ce cas, les détections Suspicious RDP et RDP Recon sont susceptibles de se déclencher. Un acteur a été signalé comme utilisant un tunnel pour RDP, ce qui peut être considéré comme un relais suspect, en fonction de la méthode utilisée par l'attaquant.

Dans le détail de l'exécution à distance suspecte, nous voyons l'attaquant utiliser psexec pour gérer les services sur les hôtes voisins.

Étape 4 - Exfiltration

Enfin, plusieurs cas montrent des tentatives d'exfiltration, avant le cryptage par maze, qui se font de diverses manières, principalement vers des services d'hébergement ftp ou cloud .

En fonction du volume de fichiers exfiltrés, Data smuggler et Smash and Grab pourraient se déclencher
Si l'attaquant décide d'exfiltrer des données d'un site SharePoint, nous pouvons nous attendre à une détection O365 de "volume inhabituel" ;)

Note here that prior to the detonation of the ransomware itself, the host pc4 suffered external remote access and Smash andGrab exfiltration attempts, which is here part of the exploit chain.

L'accès à distance externe est toujours un indicateur fort d'un adversaire externe lorsqu'il est combiné avec des détections de reconnaissance. Dans les détails de la détection, on trouve ici le type d'application C2, en l'occurrence Teamviewer. Les alertes C2 doivent toujours être examinées afin d'écarter les menaces. Ne vous fiez pas uniquement aux informations sur les menaces, mais tenez compte de la portée plus large de l'activité. Posez-vous les questions suivantes

L'hôte fait-il également de la reconnaissance ?
Y a-t-il des activités suspectes sur le compte de l'hôte ?
La destination est-elle logique (dans ce cas, une adresse IP aux Pays-Bas) ?
La détection et la réponse (EDR) de endpoint ont-elles déclenché des alertes ?

Step 5 - Ransomware

Maze ransomware is then deployed via channels. This one obviously triggers ransomware file activity, as shown below.

Regarding Ransomware detection itself, the detection view shows the number of files affected, as well as shares names. The ransomware note is also given, as it can help identify certain families of malware by its name:

En utilisant la Recall nous pouvons voir clairement qu'au moment de l'attaque, des sessions externes ont été lancées :

external sessions initiated showing Maze Ransomware attack

Post Incident Report: 5 Steps to identify an Actual Maze Ransomware attack

Below is a summary of an actual post incident report that shows the steps taken to identify the early indicators of a ransomware attack and prevent the encryption of network file shares.

Vectra a été autorisé à publier ce rapport post-incident en garantissant l'anonymat et en protégeant les données privées du client. Ce type de rapport est normalement gardé confidentiel pour une analyse interne uniquement.

Inside the compromised network on Day 1—one week prior to the intended ransomware detonation—the Vectra Consulting Analyst Team detected unmistakable reconnaissance and lateral movement attack behaviors. These phases of the attack lifecycle indicated the attacker was looking for critical systems to compromise before encrypting network file shares for ransom.
Vectra showed that scans came from a wide range of hosts and other scans were related to ransomware activities as network file shares were enumerated.
En découvrant des preuves supplémentaires, Vectra a observé qu'un hôte compromis communiquait avec une adresse IP malveillante connue en Ukraine qui a été associée au logiciel malveillant Sodinokibi.
Des connexions externes ont été effectuées avec succès vers une adresse IP ukrainienne, avec un transfert de données d'environ 80 Mo.
Le nombre de détections identifiées par Vectra était préoccupant en raison du volume considérable de données envoyées vers l'extérieur.

Additional information from the customer linked the attack to Maze ransomware.

Consultez ce rapport post-incidentqui montre l'importance d'une détection précoce des cyberattaques pour éviter les dommages et les violations de données catastrophiques. Il est essentiel d'identifier avec certitude et précision les comportements précurseurs des menaces, d'enquêter rapidement sur les incidents et de s'armer des outils de réponse appropriés.

Detect and stop ransomware with Vectra AI

La combinaison de la priorisation des comportements pertinents et d'une réponse automatisée peut aider à détecter la menace à un stade précoce et à l'empêcher de se propager dans l'environnement. Pour entrer en contact avec nos experts, nos services Vectra nouvellement annoncés permettent à nos clients de faire évoluer leurs opérations de sécurité et leur donnent accès aux personnes les plus compétentes chez Vectra. Et comme toujours, n'hésitez pas à nous contacter pour en savoir plus ou pour planifier une démonstration.

Vous voulez en savoir plus ?

Vectra® est le leader de la détection et de la réponse aux menaces hybrides cloud pilotées par l'IA. La plateforme et les services de Vectra couvrent le site public cloud, les applications SaaS, les systèmes d'identité et l'infrastructure réseau - à la fois sur site et sur cloud-. Les organisations du monde entier s'appuient sur la plateforme et les services Vectra pour résister aux ransomwares, à la compromission de la chaîne d'approvisionnement, aux prises d'identité et aux autres cyberattaques qui les touchent.

Si vous souhaitez en savoir plus, contactez-nous et nous vous montrerons exactement comment nous procédons et ce que vous pouvez faire pour protéger vos données. Nous pouvons également vous mettre en contact avec l'un de nos clients pour qu'il vous parle directement de son expérience avec notre solution.

Contactez-nous