Resposta quando os minutos são importantes: uma pista simples revela uma campanha de ataque global

Neste artigo, vou descrever um incidente recente que destaca a capacidade da equipe CrowdStrike® Falcon Complete™ em atuar como uma extensão da equipe de segurança de nossos clientes para detectar, fazer a triagem e conter rapidamente um invasor ativo antes que ele consiga completar seu objetivo. Neste exemplo, descrevemos uma campanha ativa de exploração web que estava impactando vários clientes ao mesmo tempo.

A equipe do Falcon Complete usou essa consciência situacional para fornecer simultaneamente uma resposta rápida e eficaz a todos os clientes impactados pela campanha. Assim que os incidentes foram contidos, o time limpou e corrigiu os hosts afetados e forneceu aos clientes informações essenciais para corrigir os sistemas afetados sem a necessidade de refazer a imagem ou interromper as operações comerciais dos clientes.

A detecção inicial

Inicialmente, o Falcon Complete começou respondendo a uma única detecção, “Um processo do PowerShell baixou e iniciou um arquivo remoto”, com a seguinte linha de comando:

A linha de comando do PowerShell se originou de um CMD.EXE gerado a partir de W3WP.EXE, o executável e o processo que lida com solicitações web em sistemas operacionais Windows que executam o servidor de Internet Information Systems (IIS). Veja abaixo a árvore do processo:

Expandir a árvore de processos mostra dois CMD.EXE gerados, sendo o segundo deles identificado como uma tentativa de executar um arquivo THUMBCACHE.EXE, que foi baixado da execução original do PowerShell.

O comportamento de um processo do IIS gerando com êxito um processo CMD.EXE ou PowerShell, ao tentar baixar um arquivo remoto de um domínio atípico, geralmente é indicativo de um shell web ou de uma vulnerabilidade de execução remota de código em um servidor web.

Neste ponto, podemos ter certeza de que essa atividade é maliciosa. De agora em diante, podemos dinamizar a investigação no monitoramento da atividade do terminal (EAM) para obter mais contexto e determinar a origem da atividade.

Investigação com detecção de endpoint e dados de resposta

O agente leve chamado CrowdStrike Falcon® fornece uma fonte rica de telemetria de detecção e resposta de endpoint (EDR), que fornece percepções críticas sobre o comportamento de cada endpoint. Nosso aplicativo EAM oferece aos clientes Falcon Complete a capacidade de pesquisar esses dados de execução em tempo real e de investigar rapidamente e avaliar a extensão do comprometimento de um incidente.

No EAM, identificamos rapidamente eventos que eram bastante preocupantes - especificamente, um evento PeFileWritten em que o Falcon estava registrando uma gravação de arquivo executável portátil (PE) que tinha uma extensão de arquivo de imagem .png.

O agente Falcon registra esses eventos com base no cabeçalho do arquivo PE e não na extensão do arquivo, portanto, esse evento no EAM está nos informando que esses arquivos não são imagens, mas na verdade são arquivos PE.

Com essa pista, enviamos o arquivo PNG para nossa análise de malware, Falcon Sandbox™, que confirmou nossas suspeitas. O arquivo PNG não era realmente uma imagem, mas sim um arquivo PE que funciona como um shell reverso TCP.

Investigando a ameaça

Depois de revisarmos as informações de detecção disponíveis e confirmarmos que a atividade observada é maliciosa, a próxima etapa foi identificar a causa raiz dessa atividade. É aqui que o conhecimento e o conjunto de habilidades do Falcon Complete entram em ação. Vamos dar um passo para trás e delinear o que vimos ocorrendo.

Vimos o processo de trabalho do IIS gravando um .exe renomeado que determinamos ser um shell reverso TCP. Em seguida, vimos a tentativa de execução de um comando do PowerShell para baixar outro binário malicioso. Com base nessas informações, sabíamos que em algum lugar desta atividade, o IIS estava sendo manipulado para fazer o lance malicioso do ator.

Intuitivamente, mudamos imediatamente para o IIS e seus componentes web relacionados para coletar mais informações. Sabemos que, na maioria dos casos, o log web do IIS pode ser um tesouro de informações, fornecendo-nos mais contexto e informações sobre o que pode ter ocorrido naquele servidor web no momento da atividade maliciosa.

Usando a funcionalidade Real Time Response do Falcon, fomos capazes de nos conectar remotamente ao servidor - sem a necessidade de interromper as operações do cliente - e acessar os logs do IIS do host.

Os logs do IIS podem armazenar milhares de entradas com base na atividade de rede que recebe. Como se pode imaginar, revisar cada linha de entrada seria extremamente demorado. Aproveitando metodicamente os carimbos de data / hora notados para os eventos de gravação de arquivo dos binários nomeados .PNG, pudemos definir rapidamente nosso escopo de tempo para revisar os logs do IIS. Com certeza, descobrimos entradas de registro suspeitas relacionadas ao carimbo de data / hora exato de cada arquivo .png sendo gravado no disco. Abaixo está um snippet da entrada de registro que descobrimos que estava associada à atividade em questão:

Para a maioria, essa entrada de registro seria semelhante a qualquer outra - no entanto, devido à experiência da equipe do Falcon Complete com a exploração de aplicativos web e ao contexto da atividade descoberta anteriormente, determinamos que essa entrada significava o componente web vulnerável que estava sendo explorado. Utilizando nossa experiência interna juntamente com uma revisão do banco de dados de Vulnerabilidades e Exposições Comuns do MITRE, revelou possíveis vulnerabilidades, e outras pesquisas revelaram explorações de prova de conceito disponíveis publicamente para essas vulnerabilidades. Foi descoberto que a vulnerabilidade em questão provavelmente estava associada a uma versão desatualizada da interface do usuário web da Telerik, que, se explorada, permite o upload de arquivo arbitrário e a execução de código.

Durante a triagem da primeira investigação, outros analistas do Falcon Complete começaram a notar um padrão emergente. Várias detecções semelhantes estavam começando a ocorrer nos ambientes de nossos clientes. Com a vasta perspectiva das equipes Falcon Complete e Falcon OverWatch™ em vários setores do cliente, uma coisa ficou clara: a detecção original não foi um evento isolado, mas sim uma campanha ativa amplamente difundida por um ator desconhecido.

A capacidade da equipe Falcon Complete de se comunicar com fluidez e quase em tempo real dentro da equipe, bem como com as equipes CrowdStrike mais amplas, como OverWatch e CrowdStrike Intelligence, deu ao Falcon Complete uma vantagem distinta na identificação e no escopo dessa ameaça.

Ao realizar as correções de host do servidor web e enviar notificações aos nossos clientes, notamos outro padrão perturbador de detecções. Essa atividade de exploração continuava ocorrendo e o agente da ameaça continuava a lançar shells reversos nos servidores web. Notificamos rapidamente nossos clientes impactados sobre a urgência de corrigir suas instalações da Telerik e conseguimos interromper a atividade.

A Remediação

Na maioria das organizações tradicionais de detecção e resposta gerenciada (MDR), uma vez que uma investigação é concluída, o cliente recebe uma lista de hosts comprometidos e recomendações de correção, que eles próprios devem realizar. No entanto, com o Falcon Complete, iremos realizar diretamente muitas das ações críticas de remediação para nossos clientes, incluindo a remoção de todos os binários maliciosos identificados e mecanismos de persistência. Nesse sentido, somos verdadeiramente uma extensão da equipe de operações de segurança cibernética existente de nossos clientes. Trabalhamos lado a lado com eles para garantir que todas as ações adequadas sejam tomadas e que os hosts afetados sejam devidamente corrigidos.

Neste caso, além de remover os arquivos associados no host, identificamos os aplicativos vulneráveis sendo explorados e fomos capazes de fornecer rapidamente aos nossos clientes as informações urgentes críticas de que eles precisavam para corrigir seus vulneráveis servidores web voltados para o público e proteger seu perímetro de negócios de novos ataques.

Conclusão

Cronograma da detecção e correção da equipe Falcon Completa desta intrusão

Falcon Complete identificou um comando do PowerShell tentando baixar um executável desconhecido. Usando logs de EAM e IIS, fomos capazes de determinar que o arquivo PNG era na verdade um shell reverso TCP descartado no host devido a uma vulnerabilidade na biblioteca Telerik nesses servidores web. O Falcon Complete foi capaz de usar esse conhecimento para remediar rapidamente essa atividade em vários clientes e fornecer ao cliente as informações essenciais sobre o que corrigir em seu ambiente para impedir a recorrência da atividade maliciosa.

Esperamos compartilhar estudos de caso adicionais e fornecer algumas práticas recomendadas para uma resposta rápida e eficaz a incidentes.

Sobre a CrowdStrike

A CrowdStrike® Inc. (Nasdaq: CRWD) é uma líder global em cibersegurança, e está redefinindo a segurança para a era da nuvem com uma plataforma de proteção de endpoint e carga de trabalho desenvolvida do zero para impedir violações. Para mais informações, acesse https://www.crowdstrike.com.br/.

[1] Whack-a-mole é um termo em inglês que é utilizado para designar a perseguição a uma determinada pessoa que enviou spam. O trocadilho se refere a um jogo de arcade em que o jogador ganha pontos usando um martelo para golpear toupeiras mecânicas que saem de buracos em um tabuleiro.