Die Brute-Force-Angriffe des russischen GRU

Der russische GRU führt eine globale Brute-Force-Kampagne durch

Um Unternehmens-und Cloud-Umgebungen zu kompromittieren.

Zusammenfassung

Seit mindestens Mitte 2019 bis Anfang 2021 hat das 85th Main Special Service Center (GTsSS) des russischen Generalstabs (GRU), militärische Einheit 26165, einen Kubernetes®-Cluster verwendet, um weit verbreitete, verteilte und anonymisierte Brute-Force-Zugriffsversuche gegen Hunderte von Regierungs- und Privatsektorzielen weltweit durchzuführen. Die böswilligen Cyber-Aktivitäten der GTsSS wurden zuvor vom privaten Sektor unter den Namen Fancy Bear, APT28, Strontium und einer Vielzahl anderer Identifizierungsmerkmale zugeschrieben. Die 85. GTsSS richtete einen Großteil dieser Aktivitäten auf Unternehmen, die Microsoft Office 365® Cloud-Dienste nutzen; sie zielten jedoch auch auf andere Dienstanbieter und lokale E-Mail-Server ab, die eine Vielzahl verschiedener Protokolle verwenden. DiesesVorgehen ist mit ziemlicher Sicherheit noch nicht abgeschlossen. Diese Brute-Force-Fähigkeit ermöglicht es den 85. GTsSS-Angreifern, auf geschützte Daten, einschließlich E-Mails, zuzugreifen und gültige Kontoanmeldeinformationen zu identifizieren. Diese Zugangsdaten können dann für eine Vielzahl von Zwecken verwendet werden, einschließlich Erstzugriff, Persistenz, Privilegienerweiterung und Umgehung der Sicherheitsmechanismen. Die Angreifer hatten die identifizierten Zugangsdaten in Verbindung mit der Ausnutzung öffentlich bekannter Schwachstellen, wie z. B. der Ausnutzung von Microsoft Exchange-Servern mit CVE 2020-0688 und CVE 2020-17144, für die Remote-Code-Ausführung und den weiteren Zugriff auf Zielnetzwerke verwendet. Nachdem sie Fernzugriff erlangt haben, wurden viele bekannte Taktiken, Techniken und Prozeduren (TTPs) kombiniert, um tiefer einzudringen, Abwehrmaßnahmen zu umgehen und zusätzliche Informationen in Zielnetzwerken zu sammeln.

Netzwerkadmins sollten die Verwendung von Multi-Faktor-Authentifizierung einführen und erweitern, um die Effektivität dieser Angriffe einzudämmen. Weitere Maßnahmen für die Zugriffskontrollen umfassen time-out und lock-out features, die Verwendung starker Passwörter, die Implementierung eines Zero-Trust-Sicherheitsmodells, das zusätzliche Attribute zur Bestimmung des Zugriffs verwendet, sowie Analysen zur Erkennung anomaler Zugriffe. Zusätzlich können Unternehmen in Erwägung ziehen, alle eingehenden Aktivitäten von bekannten Anonymisierungsdiensten wie kommerziellen virtuellen privaten Netzwerken (VPNs) und The Onion Router (TOR) zu verweigern, wenn ein solcher Zugriff nicht mit einer typischen Nutzung verbunden ist.

Gibt es einen Sicherheitsvorfall?

Vertraue bei Angriffen unseren zertifizierten IT Forensikern.

Jetzt Anfragen

Beschreibung der Ziele

Dieser Angriff hat bereits Hunderte von US-amerikanischen und ausländischen Organisationen weltweit ins Visier genommen, darunter auch Einrichtungen der US-Regierung und des Verteidigungsministeriums. Obwohl die Summe der Ziele global ist, Konzentrierte sich die Attacken hauptsächlich auf Einrichtungen in den USA und Europa. Zu den Arten der angegriffenen Organisationen gehören:

Bekannte TTPs

Die Angreifer verwendeten zusätzlich zu ihren Passwort-Spray-Operationen eine Kombination aus bekannten TTPs, um Zielnetzwerke auszunutzen, auf zusätzliche Anmeldeinformationen zuzugreifen, um tiefer einzudringen und Daten zu sammeln, zu inszenieren und zu exfiltrieren, wie in der Abbildung unten dargestellt. Die Angreifer verwendeten eine Vielzahl von Protokollen, darunter HTTP(S), IMAP(S), POP3 und NTLM. Die Angreifer nutzten auch verschiedene Kombinationen von TTPs um die Verteidigung zu umgehen und um einige Komponenten ihrer Operationen zu verschleiern; dennoch bleiben viele Erkennungsmöglichkeiten bestehen, um die Aktivitäten zu identifizieren.

Die folgende Tabelle fasst die bekannten TTPs zusammen, die in Verbindung mit der Passwort-Spray-Funktion verwendet werden. Da die Struktur von Zielnetzwerken stark variieren kann, kann der 85. GTsSS eine Teilmenge dieser TTPs oder andere TTPs, die nicht in dieser Zusammenfassung enthalten sind, gegen verschiedene Opfer einsetzen.

Tabelle I: Zusammenfassung der bekannten Taktiken, Techniken und Verfahren

Taktik	Technik	Verfahren/Kommentare
Initial Access	T1190 1 – Nutzung von Public Facing Applications	Die Angreifer nutzten eine Reihe von öffentlichen Exploits, darunter CVE 2020-0688 und CVE 2020-17144, um privilegierte Remotecodeausführung auf anfälligen Microsoft Exchange-Servern zu erlangen. In einigen Fällen erfolgte diese Ausnutzung, nachdem gültige Anmeldedaten durch Passwort-Spray identifiziert wurden, da diese Schwachstellen eine Authentifizierung als gültiger Benutzer erfordern.
Initial Access, Persistence and Privilege Escalation	T1078 – Valid Accounts	Die Angreifer nutzten legitime Anmeldeinformationen, die sie auf verschiedenen Wegen erlangt hatten, um Zugang zu den Zielnetzwerken zu erhalten.
Persistence	T1078.002 – Valid Accounts: Cloud Accounts	Die Angreifer verwendeten ein kompromittiertes Office 365-Dienstkonto mit globalen Administratorrechten, um E-Mails aus den Posteingängen der Benutzer zu sammeln.
Persistence	T1505.003 – Web shell	Die Angreifer verwendeten eine modifizierte und verschleierte Version der reGeorg-Web-Shell, um dauerhaften Zugriff auf den Outlook Web Access (OWA®)-Server eines Ziels zu erhalten.
Persistence	T1098.002 – Account Manipulation: Exchange Email Delegate Permissions	Die Angreifer verwendeten ein Powershell®-Cmdlet (New-ManagementRoleAssignment), um einem kompromittierten Konto die Rolle “ApplicationImpersonation” zu gewähren.
Credential Access	T1110.003 – Password Spray	Die Angreifer betreiben einen Kubernetes-Cluster, der es ihnen ermöglicht, verteilte und groß angelegte Angriffe mittels Passwort-Spray und Passwort-Raten durchzuführen.
Credential Access	T1003.001 – LSASS Memory	Die Angreifer haben den LSASS-Prozessspeicher gedumpt, indem sie mit rundll32.exe die MiniDump-Funktion ausgeführt haben, die von der nativen Windows®-DLL comsvcs.dll exportiert wird.
Credential Access	T1003.003 – NTDS	Die Angreifer verwendeten das Dienstprogramm ntdsutil.exe, das auf dem Active Directory® -Server eines Ziels vorhanden war, um die Active Directory-Datenbank für den Zugriff auf Anmeldeinformationen zu exportieren.
Remote Services	T1021.002 – SMB/Windows Admin Shares	Die Angreifer ordneten Netzlaufwerke unter Verwendung von “net use” und Administrator-Anmeldeinformationen zu.
Collection	T1560.001 – Archive Collected Data: Archive via Utility	Die Angreifer verwendeten eine Reihe von Dienstprogrammen, darunter auch öffentlich verfügbare Versionen von WinRAR®, um die gesammelten Daten mit Passwortschutz zu archivieren.
Collection	T1005 – Data from Local System	Die Angreifer sammelten Dateien von lokalen Systemen.
Collection	T1039 – Data from Network Shared Drive	Die Angreifer sammelten Dateien, die sich auf einem freigegebenen Netzwerklaufwerk befanden.
Collection	T1213 – Data from Information Repositories	Die Angreifer sammelten Dateien aus verschiedenen Informationsdepots.
Collection	T1074.002 – Remote Data Staging	Die Angreifer stellten Archive der gesammelten Daten auf dem OWA-Server eines Ziels bereit.
Collection	T1114.002 – Remote Email Collection	Die Angreifer sammelten E-Mails von Office 365 unter Verwendung eines kompromittierten gültigen Dieanstkontos mit erhöhten Rechten.
Command and Control	T1115 – Ingress Tool Transfer	Die Angreifer verwendeten certutil.exe, eine bekannte “Living Off the Land”-Technik, um eine Datei in eine Zielumgebung zu übertragen.
Defense Evasion	T1036 – Masquerading	Die Angreifer benannten Archivdateien, die Exfiltrationsdaten enthielten, mit harmlos aussehenden Namen und Erweiterungen (z. B. .wav und .mp4) um, um gutartigen Dateien zu ähneln.
Persistence	T1098.002 – Account Manipulation: Exchange Email Delegate Permissions	Die Angreifer verwendeten ein Powershell®-Cmdlet (New-ManagementRoleAssignment), um einem kompromittierten Konto die Rolle “ApplicationImpersonation” zu gewähren.
Credential Access	T1110.003 – Password Spray	Die Angreifer betreiben einen Kubernetes-Cluster, der es ihnen ermöglicht, verteilte und groß angelegte Angriffe mittels Passwort-Spray und Passwort-Raten durchzuführen.
Credential Access	T1003.001 – LSASS Memory	Die Angreifer haben den LSASS-Prozessspeicher gedumpt, indem sie mit rundll32.exe die MiniDump-Funktion ausgeführt haben, die von der nativen Windows®-DLL comsvcs.dll exportiert wird.
Credential Access	T1003.003 – NTDS	Die Angreifer verwendeten das Dienstprogramm ntdsutil.exe, das auf dem Active Directory® -Server eines Ziels vorhanden war, um die Active Directory-Datenbank für den Zugriff auf Anmeldeinformationen zu exportieren.
Remote Services	T1021.002 – SMB/Windows Admin Shares	Die Angreifer ordneten Netzlaufwerke unter Verwendung von “net use” und Administrator-Anmeldeinformationen zu.
Collection	T1560.001 – Archive Collected Data: Archive via Utility	Die Angreifer verwendeten eine Reihe von Dienstprogrammen, darunter auch öffentlich verfügbare Versionen von WinRAR®, um die gesammelten Daten mit Passwortschutz zu archivieren.
Collection	T1005 – Data from Local System	Die Angreifer sammelten Dateien von lokalen Systemen.
Collection	T1039 – Data from Network Shared Drive	Die Angreifer sammelten Dateien, die sich auf einem freigegebenen Netzwerklaufwerk befanden.
Collection	T1213 – Data from Information Repositories	Die Angreifer sammelten Dateien aus verschiedenen Informationsdepots.
Collection	T1074.002 – Remote Data Staging	Die Angreifer stellten Archive der gesammelten Daten auf dem OWA-Server eines Ziels bereit.
Collection	T1114.002 – Remote Email Collection	Die Angreifer sammelten E-Mails von Office 365 unter Verwendung eines kompromittierten gültigen Dieanstkontos mit erhöhten Rechten.
Command and Control	T1115 – Ingress Tool Transfer	Die Angreifer verwendeten certutil.exe, eine bekannte “Living Off the Land”-Technik, um eine Datei in eine Zielumgebung zu übertragen.
Defense Evasion	T1036 – Masquerading	Die Angreifer benannten Archivdateien, die Exfiltrationsdaten enthielten, mit harmlos aussehenden Namen und Erweiterungen (z. B. .wav und .mp4) um, um gutartigen Dateien zu ähneln.
Defense Evasion	T1036.005 – Match Legitimate Name or Location	Die Angreifer nannten eine Instanz ihrer Web-Shell “outlookconfiguration.aspx”, wahrscheinlich um den Anschein zu erwecken, es handele sich um eine legitime Webseite auf einem gezielten OWA-Server.
Exfiltration	T1048.002 – Exfiltration Over Asymmetric Encrypted Non-C2 Protocol	Die Angreifer luden Archive mit gesammelten Daten herunter, die zuvor auf dem OWA-Server eines Ziels über HTTPS bereitgestellt wurden.
Exfiltration	T1030 – Data Transfer Size Limits	Die Angreifer haben einige archivierte Exfiltrationsdateien in Stücke aufgeteilt, die kleiner als 1 MB sind.

Erkennung und Abschwächung

Um seine wahre Herkunft zu verschleiern und ein gewisses Maß an Anonymität zu gewährleisten, leitet der Kubernetes-Cluster Brute-Force-Authentifizierungsversuche normalerweise über TOR und kommerzielle VPN-Dienste weiter, darunter CactusVPN, IPVanish®, NordVPN®, ProtonVPN®, Surfshark® und WorldVPN. Authentifizierungsversuche, die weder TOR noch einen VPN-Dienst nutzten, wurden gelegentlich auch direkt von Knoten im Kubernetes-Cluster an die Ziele übermittelt.

Die skalierbare Eigenschaft der Passwort-Spray-Fähigkeit bedeutet, dass bestimmte Indikatoren für eine Kompromittierung (IOC) leicht geändert werden können, um die IOC-basierte Mitigation zu umgehen. Zusätzlich zum Blockieren von Aktivitäten, die mit den in diesem Cybersecurity Advisory aufgeführten spezifischen Indikatoren in Verbindung stehen, sollten Unternehmen in Erwägung ziehen, alle eingehenden Aktivitäten von bekannten TOR-Knoten und anderen öffentlichen VPN-Diensten zu Exchange-Servern oder Portalen zu verweigern, bei denen ein solcher Zugriff nicht mit der typischen Nutzung in Verbindung steht.

IP-Adressen

Obwohl sich die genaue Zusammensetzung des Kubernetes-Clusters im Laufe der Zeit ändern kann, wurde eine Reihe von Knoten als verantwortlich für das Senden und Weiterleiten der Brute-Force-Authentifizierungsversuche identifiziert. Zu irgendeinem Zeitpunkt zwischen November 2020 und März 2021 wurden die folgenden IP-Adressen identifiziert, die Knoten im Kubernetes-Cluster entsprechen:

• 158.58.173[.]40

• 185.141.63[.]47

• 185.233.185[.]21

• 188.214.30[.]76

• 195.154.250[.]89

• 93.115.28[.]161

• 95.141.36[.]180

• 77.83.247[.]81

• 192.145.125[.]42

• 193.29.187[.]60

Benutzer

In Fällen, in denen HTTP das zugrunde liegende Protokoll war, das zur Übermittlung von Authentifizierungsanforderungen verwendet wurde, verwendeten die Angreifer viele verschiedene User-Agent-Zeichenfolgen, die so gestaltet sind, dass sie mit denen übereinstimmen, die von legitimer Client-Software gesendet werden. Einige der User-Agent-Zeichenfolgen, die in den Authentifizierungsanfragen übermittelt wurden, sind unvollständige oder abgeschnittene Versionen legitimer User-Agent-Zeichenfolgen und bieten die folgenden einzigartigen Erkennungsmöglichkeiten:

• ‘Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, wie Gecko) Chrome/70’.

• ‘Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, wie Gecko) Chrome/70.0.3538.110 Safari/537.36’

• ‘Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:63.0) Gecko/20100101 Firefox/63.0’

• ‘Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, wie Gecko) Chrome/70.0.3538.110 Safari/537.36’

• ‘Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_1) AppleWebKit/605.1.15 (KHTML, wie Gecko) Version/12.0.1 Safari/605.1.15’

• ‘Microsoft Office/14.0 (Windows NT 6.1; Microsoft Outlook 14.0.7162; Pro’

• ‘Microsoft Office/14.0 (Windows NT 6.1; Microsoft Outlook 14.0.7166; Pro)’

• ‘Microsoft Office/14.0 (Windows NT 6.1; Microsoft Outlook 14.0.7143; Pro)’

• ‘Microsoft Office/15.0 (Windows NT 6.1; Microsoft Outlook 15.0.4605; Pro)’

Yara-Regel

Die folgende Yara-Regel passt auf die von den Angreifern verwendete Web-Shell der reGeorg-Variante. Da es sich um eine öffentlich zugängliche Web-Shell handelt, identifiziert die Regel die bösartige Aktivität der 85th GTsSS nicht eindeutig.

				
					rule reGeorg_Variant_Web shell { 
strings: 
$pageLanguage = "<%@ Page Language=\"C#\"" 
$obfuscationFunction = "StrTr" 
$target = "target_str" 
$IPcomms = "System.Net.IPEndPoint" 
$addHeader = "Response.AddHeader" 
$socket = "Socket" 
condition: 
5 of them 
}

Allgemeine Hilfemaßnahmen

Wie bei anderen Techniken zum Diebstahl von Anmeldeinformationen können Unternehmen die folgenden Maßnahmen ergreifen, um eine starke Zugriffskontrolle zu gewährleisten:

Verwenden Sie eine Multi-Faktor-Authentifizierung mit starken Faktoren und richten Sie eine regelmäßige Re-Authentifizierung ein[4]. Starke Authentifizierungsfaktoren sind nicht erratbar, sodass sie bei Brute-Force-Versuchen nicht erraten werden können.
Aktivieren Sie Time-Out- und Lock-Out-Funktionen, wenn eine Passwort-Authentifizierung erforderlich ist. Time-Out-Funktionen sollten mit zusätzlichen fehlgeschlagenen Anmeldeversuchen an Dauer zunehmen. Sperrfunktionen sollten Konten nach vielen aufeinanderfolgenden Fehlversuchen vorübergehend deaktivieren. Dies kann langsamere Brute-Force-Versuche erzwingen, so dass diese nicht mehr durchführbar sind.
Einige Dienste können Passwörter mit gängigen Passwort-Wörterbüchern abgleichen, wenn Benutzer ihre Passwörter ändern, wodurch viele schlechte Passwortwahlen verweigert werden, bevor sie festgelegt werden. Dadurch wird das Erraten von Passwörtern mit Brute-Force-Methoden deutlich erschwert.
Verwenden Sie bei Protokollen, die menschliche Interaktion unterstützen, Captchas, um automatisierte Zugriffsversuche zu erschweren.
Ändern Sie alle Standard-Anmeldedaten und deaktivieren Sie Protokolle, die eine schwache Authentifizierung verwenden (z. B. Klartext-Passwörter oder veraltete und anfällige Authentifizierungs- oder Verschlüsselungsprotokolle) oder keine Multi-Faktor-Authentifizierung unterstützen. Konfigurieren Sie Zugriffskontrollen auf Cloud-Ressourcen immer sorgfältig, um sicherzustellen, dass nur gut gepflegte und gut authentifizierte Konten Zugriff haben[5].
Setzen Sie geeignete Netzwerksegmentierung und -beschränkungen ein, um den Zugriff zu begrenzen, und nutzen Sie zusätzliche Attribute (z. B. Geräteinformationen, Umgebung, Zugriffspfad), um ein Zero Trust-Sicherheitsmodell zu erreichen[6].
Verwenden Sie automatisierte Tools, um Zugriffsprotokolle auf Sicherheitsbedenken zu prüfen und anomale Zugriffsanfragen zu identifizieren.

Quellen:

Zitierte Werke

1] Norwegian Police Security Service (PST), “Datainnbruddet mot Stortinget er ferdig etterforsket”, 8. Dezember 2020. https://www.pst.no/alle-artikler/pressemeldinger/datai nnbruddet-mot-stortinget-er-ferdig-etterforsket/

[2] Microsoft Threat Intelligence Center (MSTIC), “STRONTIUM: Detecting new patterns in credential harvesting.” 10. September 2020. https://www.microsoft.com/ security/ blog/2020/09/10/strontium-detecting-new-patters-credential-harvesting/

[3] National Security Agency, “Detect and Prevent Web Shell Malware.” April 22, 2020. https://www.nsa.gov/cybersecurity-guidance

[4] National Security Agency, “Selecting Secure Multi-factor Authentication Solutions.” October 16, 2020. https://www.nsa.gov/cybersecurity-guidance

[5] Nationale Sicherheitsbehörde, “Mitigating Cloud Vulnerabilities.” 22. Januar 2020. https://www.nsa.gov/cybersecurity-guidance

[6] National Security Agency, “Embracing a Zero Trust Security Model.” 25. Februar 2021. https://www.nsa.gov/cybersecurity-guidance

Ausschluss von Garantien und Vermerken

Die in diesem Dokument enthaltenen Informationen und Meinungen werden “wie besehen” und ohne jegliche Zusicherungen oder Garantien bereitgestellt. Die Erwähnung bestimmter kommerzieller Produkte, Verfahren oder Dienstleistungen durch Handelsnamen, Marken, Hersteller oder auf andere Weise stellt keine Billigung, Empfehlung oder Bevorzugung durch die Regierung der Vereinigten Staaten dar, und dieser Leitfaden darf nicht für Werbezwecke oder Produktbefürwortung verwendet werden.

Ausschluss von Garantien und Vermerken

Active Directory, Microsoft Exchange, Office 365, Office, Outlook, OWA, Powershell, Windows und Windows NT® sind eingetragene Marken der Microsoft Corporation. – Kubernetes ist ein eingetragenes Warenzeichen der Linux Foundation. – WinRAR ist ein eingetragenes Warenzeichen von Roshal, Alexander. – IPVanish ist ein eingetragenes Warenzeichen von Mudhook Marketing, Inc. – NordVPN ist ein eingetragenes Warenzeichen von NORDSEC PLC. – ProtonVPN ist ein eingetragenes Warenzeichen der Proton Technologies AG. – Surfshark ist ein eingetragenes Warenzeichen von SURFSHARK LTD. – Firefox® und Mozilla® und sind eingetragene Marken der Mozilla Foundation. – Chrome® ist ein eingetragenes Warenzeichen von Google, Inc. – Mac® und WebKit® sind eingetragene Warenzeichen von Apple, Inc.

Zweck

Dieses Dokument wurde von NSA, CISA, FBI und NCSC zur Förderung ihrer jeweiligen Cybersicherheitsmissionen entwickelt, einschließlich ihrer Zuständigkeiten für die Entwicklung und Herausgabe von Cybersicherheitsspezifikationen und Abhilfemaßnahmen. Diese Informationen können auf breiter Basis weitergegeben werden, um alle geeigneten Interessengruppen zu erreichen.