Skip to main content

JSAC2024 -Día 1- – JPCERT/CC Ojos

mayo 22, 2024


JPCERT/CC celebró JSAC2024 los días 25 y 26 de enero de 2024. El propósito de esta conferencia es elevar el conocimiento y el nivel técnico de los analistas de seguridad, y nuestro objetivo era reunirlos en un solo lugar donde pudieran compartir conocimientos técnicos relacionados con el análisis de incidentes. y respuesta. La conferencia se celebró por séptima vez y, a diferencia del año pasado, volvió a tener un formato completamente offline. En el programa de 2 días se realizaron 17 presentaciones, 3 talleres y 6 charlas relámpago, y la mayoría de las diapositivas de la presentación están disponibles en Sitio web del JSAC. JPCERT/CC Eyes presenta la conferencia en tres partes. Este artículo informa sobre la pista principal del día 1 y un par de artículos más cubrirán el resto del evento.

Lecciones aprendidas de los cambios en las actividades relacionadas con el malware Amadey

Ponente: Masaki Kasuya (BlackBerry Japón)
Diapositivas (inglés)

Masaki realizó una presentación sobre el resultado del análisis y observación mediante un emulador que establece comunicación a largo plazo con los servidores C2 de Amadey, un malware que roba información.

El emulador implementado genera y envía solicitudes falsas a los servidores C2. Observó un total de 511 servidores C2 asociados con Amadey durante aproximadamente 50 meses, a partir de octubre de 2019. Aunque no hubo actividad significativa al principio, la observación reveló que los ataques se volvieron más activos a medida que el número de servidores C2 de Amadey aumentaba gradualmente. y las características del malware se volvieron más sofisticadas, incluidas sus herramientas de administración y esquemas de cifrado. El número de confirmaciones en VirusTotal también demostró que Amadey era cada vez más reconocido y que los ataques se estaban generalizando. El resultado de su análisis de las muestras y cargas útiles asociadas con las infecciones de Amadey explicó el ciclo de vida promedio de los servidores C2, la distribución de las cargas útiles que explotan los servidores legítimos y la intención del atacante de infectar múltiples tipos de malware. Consideró que el malware de robo de información Redline y Amadey están relacionados debido al momento de su actividad y los movimientos coordinados a lo largo de múltiples ciclos. También destacó que las similitudes en las tendencias de los servidores C2 podrían llevar a la identificación de nuevos atacantes.

Finalmente, se enfatizó la importancia de la defensa en el punto final, las contramedidas efectivas y la importancia de la observación a largo plazo basándose en las tendencias de ataque presentadas y los resultados de los análisis.

NSPX30: un sofisticado implante compatible con AitM que evoluciona desde 2005

Ponente: Facundo Muñoz (ESET)
Diapositivas (inglés)

Facundo analizó en profundidad un implante, el NSPX30, con casos de ataque.

NSPX30 se identificó en 2020, pero su investigación sobre las marcas de tiempo de los archivos relacionados y otra información reveló que se ha desarrollado continuamente desde 2005 basándose en las puertas traseras ProjectWood y DCM. Supuso que el ataque fue realizado por Blackwood, un actor de amenazas con sede en China, dada la similitud entre NSPX30 y PeerYouRat, así como el uso de cadenas de caracteres especiales comunes. Al referirse a un ataque asociado al grupo, explicó los TTP que utilizan el método de ataque AiTM, que intercepta las comunicaciones entre usuarios y servicios legítimos y modifica los contenidos. Se describieron las características de Blackwood, como disfrazarse de una actualización de aplicación legítima, interceptar el tráfico y incluir en la lista blanca sus propios hilos en cierto software de seguridad. También se refirió a The Wizards y otros actores de amenazas, explicando cada sector objetivo, región y TTP.

Continuará investigando las tendencias de desarrollo de NSPX30 y el objetivo de BlackWood.

Análisis de infracciones de correo electrónico y consejos de respuesta para eliminar riesgos

Yumi Iida (ITOCHU Cyber ​​​​& Intelligence Inc.)
Diapositivas (inglés)

Yumi hizo una presentación sobre cómo responder al ataque AiTM.

Las tácticas de los ataques AiTM pasan por alto la autenticación multifactor y permiten inicios de sesión no autorizados. El daño puede aumentar si la respuesta inicial al incidente no es adecuada. Detalló las prioridades a trabajar en caso de un ataque AiTM en un entorno Microsoft365. Primero se debe detener el daño, proteger los rastros e identificar el alcance de la infracción y, en paralelo, se debe ordenar el tipo de registros que se requieren para la investigación y la política de respuesta a incidentes. Agregó que es importante comprender el período de retención y el tipo de licencia de los registros y aconsejó dónde comenzar la investigación. Dio ejemplos específicos de en qué parte de los registros se dejarían rastros del ataque en el escenario demostrado y qué contenido se informaría a los usuarios.

Finalmente, destacó la importancia de comprender de antemano los puntos clave en la respuesta a incidentes.

Operación So-seki: eres un actor de amenazas. Aún no tienes nombre

Ponentes: Ryo Minakawa (NFLaboratories Inc.), Atsushi Kanda y Kaichi Sameshima (NTT Communications Corporation)
Diapositivas (inglés)

Ryo, Atsushi y Kaichi investigaron a los hacktivistas prorrusos desde múltiples perspectivas durante un largo período de tiempo.

El análisis cubrió sus actividades, tendencias organizativas y operaciones. Los servidores C2 se identificaron mediante análisis mediante botnet. Compartieron los resultados de un enfoque técnico para analizar la fuente del ataque y la infraestructura utilizada en el ataque. Otro aspecto digno de mención de su presentación es que mencionaron que el acto de difundir información sobre ataques favorece a los hacktivistas y les da una sensación de éxito.

La presentación concluyó con el mensaje de que el intercambio de información debe adaptarse a la naturaleza de los actores del ataque y que se debe llevar a cabo un intercambio de información eficaz para la prevención de daños.

ESXi: Detecta el patio de juegos del futuro A0acker en Ring -1

Ponentes: Frankie Li, Victor Chan (Dragon Advance Tech Consulting Co., Ltd), Michael Ching (PwC Hong Kong)

Frankie, Michael y Victor hablaron sobre su investigación sobre los riesgos y oportunidades para detectar comportamientos de ataque en ESXi, un hipervisor ofrecido por VMware, y su exploración de scripts forenses que pueden recopilar firmas de ataques.

Compartieron la estructura de ESXi y sus posibles preocupaciones, incluido el ejemplo de casos en los que fue explotado como cadena de eliminación. En comparación con otros productos, la falta de soluciones de seguridad y su función de administración de contraseñas facilita que los atacantes apunten a los usuarios en Internet. También se compartió el caso que elabora los riesgos estructurales de ESXi. Propusieron una herramienta forense en vivo y explicaron su utilidad en un escenario de ataque de ransomware. La herramienta puede aplicar técnicas forenses acordes con las características de ESXi y es compatible con Yara.

Finalmente, instaron a la audiencia a administrar los derechos de acceso, limitar la funcionalidad y mantener registros correctamente cuando utilicen ESXi.

Las amenazas a gran escala del grupo Lazarus a través del abrevadero y el software financiero

Oradores: Dongwook Kim, Seulgi Lee (KrCERT/CC)
Diapositivas (inglés)

Dongwook y Seulgi abordaron los hallazgos de una campaña de ataque a gran escala realizada por el actor de amenazas Lazarus contra empresas surcoreanas.

Los atacantes tenían múltiples TTP, incluida la explotación de vulnerabilidades de día cero en software financiero coreano, técnicas de phishing y ataques de abrevadero. Los ataques se caracterizaron por una red jerárquica de servidores C2, el uso extensivo de servidores virtuales y carga lateral de DLL. También se confirmó que los servidores C2 se operaban a intervalos cortos para garantizar que no quedaran rastros. Era importante comprobar la presencia de malware basándose en los rastros de ruta con o sin archivos y también en busca de archivos sospechosos directamente en C:\Windows\System32.

Para contramedidas efectivas, mencionaron algunos puntos clave, incluida la atención a las vulnerabilidades en la etapa de desarrollo, la consideración de la infiltración de terceros y la confianza cero.

La vida secreta de las RAT: conectando los puntos diseccionando múltiples puertas traseras

Ponentes: Hiroaki Hara (Trend Micro, Inc.), Shota Nakajima y Ryonosuke Kawakami (Cyber ​​​​Defense Institute Inc.)
Diapositivas (inglés)

Hiroaki, Shota y Ryonosuke discutieron las campañas de ataque GroundPeony y Ratel Master y Earth Estries, ya que encontraron puntos en común y similitudes entre los actores. Las razones para asumir esta relación son las siguientes:

  • GroundPeony y Ratel Master tienen TTP similares y cargadores coincidentes
  • Earth Estries y Ratel Master tienen TTP similares y código de malware parcialmente coincidente, y la infraestructura explotada en el pasado coincide
  • Los dominios explotados en el pasado en Earth Estries y GroundPeony coinciden

También identificaron una cuenta de VirusTotal que cargaba Mofu Loader, un cargador de malware utilizado por GroundPeony y Ratel Master. El titular de la cuenta subió varios programas maliciosos, incluido HemiGate, una puerta trasera utilizada por Earth Estries. Era posible que la cuenta no perteneciera a un investigador, sino a un atacante para probar múltiples tipos de malware. Finalmente, los oradores mencionaron el momento de las actividades de cada actor en el pasado para mostrar que las tres campañas pueden haber sido llevadas a cabo en cooperación entre ellos.

Presentación de TeleBoyi: grupo chino APT que apunta a infraestructuras críticas en todo el mundo

Yi-Chin Chuang y Yu-Tung Chang (Equipo T5)
Diapositivas (inglés)

Yi-Chin y Yu-Tung dieron una charla sobre TeleBoyi, un actor de amenazas supuestamente radicado en China.

Afectó principalmente a la industria energética de la India, pero el número de países e industrias afectados ha aumentado, lo que muestra un gran interés en infraestructuras críticas y propiedad intelectual. Se describieron casos de ataque y varios TTP, incluido el disfraz de malware como aplicaciones legítimas o archivos de documentos que contienen macros y la explotación de servidores vulnerables. Los atacantes utilizan herramientas que han sido explotadas en otras campañas de ataque y las modifican a su manera, como PlugX, que contiene cadenas significativas en chino en partes del código, y Double Shell, que explota servicios externos. El análisis de la infraestructura utilizada en los ataques confirmó que los dominios contenían nombres de empresas conocidas.

Los oradores examinaron las relaciones entre TeleBoyi y varios actores de amenazas basándose en el análisis y explicaron la conexión con APT41, Earth Berberoka y SLIME40 (FamousSparrow), etc. Parece que los grupos de APT con sede en China tienden a compartir herramientas de ataque en los últimos años.

Inteligencia sobre amenazas de marcos públicos post-explotación abusados

Ponentes: Masafumi Takeda y Tomoya Furukawa (Internet Initiative Japan Inc.)
Diapositivas (inglés)

Masafumi y Tomoya dieron una presentación sobre Post-Exploitation Framework, un marco de código abierto con una categorización detallada de las herramientas de comando y control y discutieron el resultado del análisis de sus funciones y comportamiento, así como las ventajas de usar la categorización.

El análisis, que cubrió las herramientas clasificadas como ‘Ejecución’ y ‘Persistencia’ en ATT&CK de MITRE, elaboró ​​los detalles sobre las funcionalidades, resultados y seguimientos del comportamiento de las herramientas. Se centraron en las herramientas con las siguientes tres condiciones: código fuente disponible públicamente, explotación confirmada en la naturaleza y 5 o más ‘tácticas’ asociadas. Argumentaron que podría resultar útil categorizar el código por comportamiento para su detección y seguimiento.

Les gustaría crear reglas de detección reales y analizar más a fondo las herramientas externas utilizadas como módulos en el futuro.

Para cerrar En este artículo, presentamos las presentaciones realizadas el primer día de JSAC2024. El próximo artículo cubrirá las presentaciones del segundo día.

Masumi Uno (Traducido por Masa Toyama)



Source link

Translate »