Analyse d'attaque : Se défendre contre le ransomware Codefinger dans AWS S3 >

Analyse d'attaque : Se défendre contre le ransomware Codefinger dans AWS S3 >

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
Vidéo

Vectra AI Threat Briefing : Salt Typhoon

Vectra AI Threat Briefing : Salt Typhoon
Vectra AI Threat Briefing : Salt Typhoon
Sélectionner la langue à télécharger
Télécharger
Rapport d'accès
Merci d'avoir téléchargé !
Accédez à votre offre gratuite ci-dessous.
Télécharger
Télécharger
Télécharger en français
Télécharger en allemand
Télécharger en espagnol
Télécharger en japonais
Télécharger en italien

TL;DW : Comment fonctionne Salt Typhoon ?

Salt Typhoon suit une séquence d'attaque structurée en utilisant des outils Windows intégrés pour éviter d'être détecté. Voici un aperçu de leurs tactiques et des commandes qu'ils utilisent.

1. Accès initial

Salt Typhoon exploite principalement des serveurs publics présentant des vulnérabilités connues. Au lieu de s'appuyer sur l'phishing, ils préfèrent les exploits N-day et zero-day pour obtenir l'exécution de code à distance (RCE).

2. Exécution et persistance

Une fois qu'ils ont obtenu l'accès, ils exécutent des charges utiles malveillantes et assurent la persistance à l'aide d'outils Windows.

Exécution de PowerShell :

Ils utilisent PowerShell pour exécuter des scripts sans restrictions :

powershell -ex bypass -c "<password>"
  • -ex bypass: Remplace la politique d'exécution pour permettre au script de s'exécuter.
  • <password>: Clé utilisée pour décrypter le script, qui est généralement crypté.

Persistance du registre :

Pour s'assurer que malware s'exécute à chaque fois qu'un utilisateur se connecte, ils ajoutent une clé de registre :

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "<malware_name>" /t REG_SZ /d "<malware_path>" /f
  • "HKCU\Software\Microsoft\Windows\CurrentVersion\Run": Emplacement dans le registre des programmes de démarrage automatique.
  • REG_SZ: Spécifie une chaîne de caractères (le chemin d'accès au malware ).
  • /f: Force l'exécution sans confirmation.

3. Reconnaissance

Salt Typhoon recueille des informations sur l'environnement avant d'escalader les privilèges.

Utilisation de WMIC (Windows Management Instrumentation Command-line)

wmic process get name, processid, commandline
  • Liste tous les processus en cours et les arguments de ligne de commande.

Utilisation groupe net pour identifier les administrateurs de domaine

cmd /c "net group 'domain admins' /domain"
  • Interroge Active Directory pour les comptes d'administrateurs de domaine.
  • /domaine: Assure que la requête s'applique au domaine Active Directory et pas seulement à la machine locale.

4. Vol de données d'identification et escalade des privilèges

Après reconnaissance, ils escaladent les privilèges et volent les informations d'identification.

Déploiement d'outils de vol de données d'identification

Ils installent des outils tels que :

  • Mimikatz (extrait les références de mémoire).
  • Les enregistreurs de frappe (qui enregistrent les frappes au clavier).
  • Utilitaires de vidage d'identité.

Escalade de privilèges via Cobalt Strike

Ils déploient Cobalt Strikeun outil légitime de red teaming, pour obtenir des privilèges SYSTEM et s'introduire plus profondément dans le réseau.

5. Mouvement latéral

Salt Typhoon se propage sur le réseau à l'aide de divers utilitaires Windows.

Copie d'un fichier de lot sur une autre machine

copy \\<target_ip>\C$\Windows\Temp\malware.bat
  • Utilisations \\<target_ip> pour spécifier un dossier partagé sur une autre machine.
  • Place un script batch (.bat) à exécuter à distance.

Exécution du script copié via WMIC

wmic /node:<target_ip> process call create "cmd /c C:\Windows\Temp\malware.bat"
  • /node:<target_ip>: Spécifie le machine cible.
  • processus appel créer: Exécute un processus à distance.
  • cmd /c: Exécute le fichier batch copié.

Création d'une porte dérobée à l'aide des services Windows (sc créer)

sc \\<target_ip> create VGAuthtools binpath= "C:\Windows\System32\installutil.exe C:\Windows\Temp\malware.exe" start= auto type= own
  • sc: Utilitaire de contrôle des services Windows.
  • \\<target_ip>: Crée le service à distance sur une autre machine.
  • VGAuthtools: Déguiser un malware en outil légitime.
  • chemin d'accès: Utilisations installutil.exe (a outil Windows légitime) pour exécuter le charge utile malveillante.
  • start= auto: Assure la persistance en redémarrant le malware à chaque redémarrage de la machine.

6. Command & Control (C2) + exfiltration de données

Salt Typhoon établit une communication permanente avec ses serveurs C2.

MalwareCobalt Strike et Demodex

  • Envoie des "battements de cœur" pour signaler les machines compromises.
  • Recevoir les nouvelles instructions et les mises à jour.
  • Exfiltre les informations d'identification volées et les données sensibles.

L'utilisation abusive des services d'Cloud pour l'exfiltration

Salt Typhoon évite d'être détecté en utilisant des plateformes de confiance pour télécharger les données volées :

  • AnonFiles
  • File.io
  • GitHub
  • Gmail

7. Espionnage en cours et impact

Salt Typhoon surveille en permanence les réseaux compromis et vole des données sensibles sur une période prolongée.

    ----

    Comment Vectra AI peut-il détecter ces attaques ?

    La plateforme de Vectra AIse concentre sur les comportements réels des attaquants, et pas seulement sur les menaces connues. Cela lui permet de détecter des activités deSalt Typhoon même lorsque les attaquants utilisent des outils Windows intégrés.

    • ‍Accès et exécution à distance inhabituels
    • Activité Kerberos suspecte
    • Anomalies de privilèges et tentatives de force brute SMB
    • Tunnels cachés et activité PowerShell suspecte

    En savoir plus sur nos détections pilotées par l'IA ou essayer notre démonstration autoguidée.

    Les entreprises du monde entier nous font confiance

    Foire aux questions