lunes, julio 27, 2020

ATTPwn: Emulación de un ataque de ransomware #Ransomware #Antiransomware

Hoy en día existe una gran cantidad sistemas Windows 10 sin actualizar. Este hecho, puede suponer un verdadero riesgo, no solo para las organizaciones sino para el usuario particular. Como hemos visto, por la pandemia de este año nuestra vida se ha ligado aún más a la tecnología a la hora de trabajar y estudiar, lo que supone una repercusión mayor en nuestras vidas en caso de sufrir un ataque que nos impida acceder a nuestros datos. Por eso, os vamos a mostrar cómo puede afectar el hecho de no tener actualizado tu equipo. 

Figura 1: ATTPwn: Emulación de un ataque de ransomware

ATTPwn, como bien sabemos es una herramienta basada en la emulación de adversarios capaz de automatizar la parte ofensiva de este proceso. Habiendo hablado de los aspectos fundamentales de ATTPWn y de cómo desplegar la aplicación ATTPwn dockerizada en post anteriores, hoy vamos a construir uno de los múltiples casos de uso que se pueden realizar con nuestra querida herramienta. 

Figura 2: ATTPwn en GitHub

Recordad que ATTPwn es un proyecto que cuenta con una parte colaborativa en la que podéis participar implementando técnicas y compartiéndolas con la comunidad.

Figura 3: Máxima Seguridad en Windows Gold Edition
de Sergio de los Santos en 0xWord

El plan que ejecutaremos consiste en realizar un ataque dirigido a un sistema concreto. Para ello, contamos con el siguiente escenario en el que no se ha aplicado la Máxima Seguridad a los equipos Windows y tenemos un sistema Windows 10 comprometido que no cuenta con la actualización 1903 de Windows Update, la cual introducía Tamper Protection. Dicha carencia supone una vulnerabilidad que aprovecharemos para modificar la protección de Windows Defender.

Figura 4: ATTPwn creación de Plan

La estrategia propuesta pretende tener impacto en la máquina objetivo cifrando sus archivos. Para ello y en función de la nomenclatura de MITRE vamos a utilizar las siguientes tácticas que explicaré a continuación:

Figura 5: Función Environment Injection
Esta técnica, explicada en posts anteriores, que hemos migrado de iBombShell, realiza un bypass de UAC para poder ejecutar acciones con integridad alta.

Figura 6: Función Disable Defeneder RealTime Protection
  • Táctica: TA0005 - Defense Evasion
  • Técnica: T1211 - Exploitation for Defense Evasion – Disable Defender Realtime
Una vez realizada la escalada de privilegios es hora de aprovechar la vulnerabilidad comentada anteriormente y deshabilitar la protección a tiempo real de Windows Defender. Para esto utilizaremos el cmdlet Set-MpPreference que configura las preferencias de Windows Defender, en este caso el RealtimeMonitoring.

Figura 7: Función Get Peripherals 
  • Táctica: TA0007 - Discovery
  • Técnica: T1120 - Peripheral Device Discovery - invoke-peripherals
Ahora, es el momento de descubrir los periféricos conectados al dispositivo para poder establecer un impacto en ellos más adelante. En este caso utilizamos el cmdlet Get-PnpDevice con el parámetro -PresentOnly, que recogerá solo los periféricos conectados en ese momento.

Figura 8: Función Services Stop
  • Táctica: TA0040 - Impact
  • Técnica: T1489 - Service Stop - invoke-servicestop
Utilizando los cmdlet gwmi win32_service y Get-Service se asignan los servicios activos a dos variables. Después con Stop-Service paramos dichos servicios ya que varios de ellos podrían estar utilizando ficheros que más tarde querremos cifrar y que podrían interferir en este proceso.

Figura 9: Función Encrypt-Files 
  • Táctica: TA0040 - Impact
  • Técnica: T1486 - Data Encrypted for Impact – Encrypt files
Por último, utilizamos las variables de entorno previamente asignadas y recorremos sus rutas en busca de los ficheros que vamos a cifrar. Al ser una emulación, se han recogido menos de 60 ficheros de diversas extensiones y copiado a la ruta: "$env:appdata\encryptedFiles"

Figura 10: Ficheros cifrados como resultado de la ejecución

A continuación, vamos a mostrar un vídeo de la ejecución de esta estrategia con ATTPwn  para que puedas ver los resultados.

Figura 11: Ejecución de ATTPwn emulando un ataque de Ransomware 

De esta forma y por una sola actualización, nuestro equipo se vería impactado de una forma severa en caso de estar comprometido. Por lo que siempre conviene estar actualizado.

¡Un saludo!

Autor: Luis E. Álvarez (@luisedev) es desarrollador y miembro del equipo Ideas Locas CDCO de Telefónica.

No hay comentarios:

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares