加密程序:如何应对勒索软件攻击(上)
上个月刚从俄罗斯回国,在莫斯科的图书馆翻阅了大量安全书籍,感叹毛子的黑客技术确实遥遥领先。这些安全技术书籍非常出色,我决定结合人工和GPT的方式对全文进行翻译。
注解
“加密程序”是指发现企业网络漏洞的程序,这些程序利用这些漏洞进入网络,获取企业的重要信息,然后从公司管理层勒索钱财。显然,这些程序是由人创建的,他们可以联合成犯罪团伙,也可以单独行动。
“虽然勒索软件的主要目标仍然集中在北美、拉丁美洲、欧洲、亚太地区,但最近几年俄罗斯也不再被认为是一个避风港。根据Group-IB的数据,仅在2021年,勒索软件对俄罗斯公司的攻击数量就增加了200%以上。”
近年来,通过加密程序的网络攻击正在增加。不幸的是,这一趋势也影响了俄罗斯——仅在2021年,这种攻击的数量就增加了三倍以上。
正因如此,俄文版的Oleg Skulkin的书籍才显得如此及时,作者不仅是俄罗斯的杰出专家,也是国际数字法证领域的专家。作者讲述了关于加密程序的所有内容——从攻击历史到数字证据。在他的叙述中,程序代码片段和彩色截图看起来都很自然。
“对IT基础设施漏洞的细致侦察及其为部署勒索软件的准备工作可以为网络犯罪分子带来数百万美元的加密货币收入。”
根据作者的观点(这一观点基于其在信息安全领域超过十年的工作经验),如果理解勒索软件攻击的生命周期,企业可以保护其网络和资金。这一生命周期在本书的第二章以及最后一章中详细描述,作者帮助读者学习如何重建所有勒索软件所遵循的通用攻击生命周期,无论它们具有何种个性特征。
“新冠病毒加剧了这一局面——许多公司为员工提供了远程工作的机会,并被迫开放了他们的服务器,这些服务器成为了包括勒索软件运营商在内的各种恶意行为者的目标。”
本书特点:
- 勒索软件攻击的历史;
- 网络犯罪分子的行动方式:他们的战术、方法和程序;
- 如何应对勒索软件事件。
适用对象:
- 学习系统管理的学生,
- 系统和网络管理员,以及应对专家和网络威胁分析师。
前言
一个黑客团队攻击政府服务器,加密并提取三十多个部门的重要数据,经济停滞,执法部门无能为力,民众走上街头要求政府辞职,国家进入紧急状态……这不是Netflix的电视剧情节,而是2022年春季真实发生的事情,当时Conti勒索软件攻击了整个哥斯达黎加国家。
连续四年,勒索软件攻击成为最严重和破坏性最大的网络威胁之一,甚至被称为第一大网络威胁。受害者可能是像东芝公司或Colonial Pipeline这样的跨国公司,也可能是小型私营企业。一次成功的攻击就能完全瘫痪生产,使公司失去资金(赎金金额高达数亿美元)和敏感数据,攻击者可以先行下载并出售这些数据,以迫使受害者妥协。虽然勒索软件的主要目标仍在北美、拉美、欧洲和亚太地区,但俄罗斯近年来也不再是一个安全港湾。根据Group-IB的数据,仅在2021年,俄罗斯公司遭受勒索软件攻击的次数就增加了200%以上。2022年上半年,这一数量比2021年第一季度增加了四倍。当偶尔(不常)有逮捕事件发生时,勒索软件运营者会短暂隐藏并清理痕迹,进行品牌重塑。但说勒索软件的黄昏已经到来还为时过早。Group-IB计算机取证实验室团队在大多数人尚未看到勒索软件严重威胁时就开始关注它们。书籍作者奥列格·斯库尔金不仅在俄罗斯,而且在国际数字取证领域都是重要人物。他在信息安全领域工作超过十年,撰写和合著了五本关于取证和事件调查的书籍。奥列格是研究报告、网络研讨会和技术博客的常驻作者,内容涉及勒索软件帝国的发展及最活跃的犯罪集团:Conti、OldGremline、LockBit、Hive、REvil。读者将详细了解勒索软件的历史、运营者使用的战术和技术,以及如何调查这些攻击。这本书对于数字取证、事件响应、主动威胁搜寻、网络情报以及相关领域的专业人士来说都是必不可少的。
Group-IB
引言
人为操控的勒索软件攻击彻底改变了现代威胁格局,成为许多组织面临的主要威胁——这也是为什么各类组织都在提高警惕并准备应对此类事件的原因。
这本书将带你了解现代勒索软件攻击的世界。书中特别关注基于威胁情报分析的主动防御方法,帮助应对和防范此类攻击。
这本书适合谁?
这本书将吸引广泛的技术专家——从学习网络安全的学生,到中小企业的系统和网络管理员,甚至是希望深入了解人为操控勒索软件攻击的事件响应专家和网络威胁分析师。
这本书的内容?
第一章《现代勒索软件攻击的历史》介绍了人为操控勒索软件攻击的世界及其历史。
第二章《现代勒索软件攻击的生命周期》简要描述了现代攻击者在勒索软件攻击中的行为方式。
第三章《事件响应流程》描述了应对勒索软件攻击相关事件的响应流程。
第四章《网络情报与勒索软件》概述了关于勒索软件攻击的网络情报。
第五章《勒索软件团伙的战术、技术和程序》详细描述了勒索软件攻击者常用的战术、技术、方法和工具。
第六章《勒索软件相关的威胁情报数据收集》概述了收集勒索软件攻击相关情报的不同来源和方法。
第七章《数字取证证据及其主要来源》概述了响应事件时可用于重建攻击生命周期的各种取证证据来源。
第八章《初始访问方法》提供了关于攻击者使用的初始访问方法的实用研究。
第九章《后利用方法》讨论了攻击者使用的各种后利用方法。
第十章《数据窃取方法》研究了使用的数据窃取方法。
第十一章《勒索软件部署方法》研究了勒索软件的不同部署方法。
第十二章《统一的勒索软件攻击生命周期》描述了攻击生命周期的独特概念,以及勒索软件的使用。
第1章 现代勒索软件攻击的历史
勒索软件攻击已经成为2020年继COVID-19之后的第二次大流行的攻击方式——不幸的是,它还在继续发展。一些攻击者停止了活动,但很快就会有新一代网络犯罪分子填补他们的位置。
现在这些攻击已经广为人知,但它们早在著名的WannaCry和NotPetya勒索软件爆发之前就已经开始了。与不受控制的勒索软件不同,这些勒索软件由不同的运营商及其同伙操控。对IT基础设施漏洞的详细侦察及其为部署勒索软件的准备工作可以为网络犯罪分子带来数百万美元的加密货币收入。
有很多著名的勒索软件攻击案例。在本章中,我们将重点讨论几个具有历史意义的重要案例,包括现代IT环境中最具代表性的威胁——勒索软件即服务。
我们将讨论以下案例:
- 2016年:SamSam勒索软件
- 2017年:BitPaymer勒索软件
- 2018年:Ryuk勒索软件
- 2019年至今:勒索软件即服务
2016年:SamSam勒索软件
SamSam运营商于2016年初出现,彻底改变了勒索软件威胁格局。他们的目标不是普通用户和单个设备,而是通过手动操作攻击各种公司,渗透网络,尽可能多地加密设备,包括那些包含最重要数据的设备。
攻击目标范围广泛,包括医疗和教育领域的企业,甚至整个城市。一个典型的例子是2018年3月遭受攻击的乔治亚州亚特兰大市,恢复基础设施的成本约为270万美元。
通常,攻击者利用公开应用程序中的漏洞,例如JBOSS系统,或者通过猜测RDP服务器的密码来获得对目标网络的初始访问权。为了获得更高的访问权限,他们使用了一系列常见的黑客工具和漏洞利用程序,包括臭名昭著的Mimikatz,该工具可以获取域管理员的凭证。之后,SamSam运营商扫描内网收集可用主机的信息,将勒索软件复制到每台主机上,并使用另一个常用的双重用途工具PsExec运行它。
图片 1.1:SamSam勒索信息示例
攻击者使用暗网中的支付网站。受害者收到勒索软件生成的赎金要求和解密信息的通知(见图1.1)。
根据Sophos的数据,2016年至2018年间,攻击者赚取了约600万美元(来源:https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/SamSam-The-Almost-Six-Million-Dollar-Ransomware.pdf)。
SamSam勒索软件的幕后黑手
2018年11月28日,FBI公开了起诉书,指控Faramarz Shahi Savandi和Mohammad Mehdi Shah Mansouri参与了SamSam勒索软件的国际传播。
图片 1.2:FBI通缉海报片段
这两名嫌疑人来自伊朗。起诉书公布后,这些罪犯至少以SamSam的名义结束了他们的犯罪活动。
SamSam案件表明,对公司进行勒索软件攻击可能非常有利可图,随之出现了新的类似犯罪团伙。其中一个例子是BitPaymer勒索软件。
2017年:BitPaymer勒索软件
BitPaymer勒索软件与Evil Corp有关,这是一家被认为源自俄罗斯的网络犯罪组织。这个勒索软件标志着人为操控攻击的新趋势——猎杀大型目标。
一切始于2017年8月,当时BitPaymer的运营者成功攻击了几家NHS Lanarkshire的医院,并要求高达23万美元的赎金(53比特币)。
为了获得初始访问权限,该组织使用了其长期使用的工具——Dridex木马。木马允许攻击者加载PowerShell Empire,一个流行的后期利用框架,以便在网络中横向移动并获取高级权限,包括使用Mimikatz,就像SamSam的运营者一样。罪犯利用组策略修改在整个企业中部署勒索软件,这使他们能够向每个主机发送脚本以启动勒索软件的实例。
攻击者通过电子邮件和在线聊天与受害者沟通。
图片 1.3:BitPaymer勒索信息示例
2019年6月,基于BitPaymer的新勒索软件DoppelPaymer出现。据称它由Evil Corp的一个子集团管理 。
BitPaymer勒索软件的创造者
2019年11月13日,FBI发布了一个声明,指控Maxim Viktorovich Yakubets和Igor Olegovich Turashev操作Dridex木马。
图片 1.4:FBI通缉海报片段
Maxim Viktorovich Yakubets目前因多项网络犯罪指控被通缉。据报道,悬赏500万美元捉拿他。
当然,Dridex并不是唯一用于人为操控勒索软件攻击的木马。另一个显著的例子是与Ryuk勒索软件密切相关的Trickbot。
2018年:Ryuk勒索软件
Ryuk勒索软件将大型猎物的捕猎提升到了一个新的水平。这种勒索软件与Trickbot组织(也称为Wizard Spider)有关,并且至今仍然活跃。
根据AdvIntel的数据,该组织在其历史上攻击了各种组织,赚取了至少1.5亿美元(来源:https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders) 。
某些时候,Ryuk被称为三重威胁,因为感染通常从Emotet木马开始,然后下载Trickbot,后者用于加载后期利用工具和最终部署勒索软件。通常,Trickbot用于加载PowerShell Empire代理或Cobalt Strike Beacon,这是另一个非常流行的后期利用框架的一部分。
最近,该团伙改变了工具集,开始使用一种名为Bazar的新木马。值得注意的是,他们开始使用“vishing”(语音钓鱼)。钓鱼邮件不包含恶意文件或链接,而仅包含虚假的付费订阅信息和一个电话号码,用于取消订阅。如果受害者拨打了电话,操作员会指导他们下载恶意的Microsoft Office文件,打开并启用宏,从而感染计算机Bazar木马。与Trickbot一样,该木马用于加载和运行后期利用框架——通常是Cobalt Strike。
攻击者使用了多种方法来启动Ryuk,包括前面提到的PsExec和组策略修改。起初,他们提供电子邮件地址以便受害者与他们联系,但很快就开始使用Tor的洋葱服务。
图1.5. 赎金消息中的指示[3]
Ryuk勒索软件的运营者仍然活跃,根据AdvIntel和HYAS的数据,他们已经赚取了超过1.5亿美元(来源:https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders)。
谁是Ryuk勒索软件背后的黑手?
2021年6月4日,FBI公布了一份文件,指控Alla Witte(也称为Max)与负责创建和传播Trickbot木马的跨国组织有关。
一些与Ryuk相关的人是Emotet僵尸网络的运营者。他们在2021年1月被荷兰、德国、美国、英国、法国、立陶宛、加拿大和乌克兰的执法部门联合行动中逮捕。最终当局完全控制了僵尸网络的基础设施。
图1.6. Emotet运营者的工作环境
尽管攻击者被逮捕,但“勒索游戏”吸引了越来越多的网络犯罪分子。因此,出现了另一个现象——勒索软件即服务。
2019年至今:勒索软件即服务(RaaS)
2019年是勒索软件即服务(RaaS)流行的一年,至今它仍然是主要趋势。许多勒索软件开发者开始向各种攻击者提供他们的产品,以换取赎金的一部分。
REvil、LockBit、Ragnar Locker、Nefilim只是一些通过勒索软件即服务模型传播的勒索软件家族。即使多个攻击者使用相同类型的勒索软件,他们的策略、技术和程序也可能非常不同。
然而,目前许多攻击者使用同样的方法:在实际部署勒索软件之前提取数据。这一趋势由2019年的Maze勒索软件运营者设立。目前几乎所有实施类似攻击的攻击者都有自己的网站泄露数据(Data Leak Site, DLS)。
以下是DoppelPaymer勒索软件运营中使用的DLS示例。
图1.7. DoppelPaymer的DLS[4]
通常,攻击的发起者不会亲自管理整个攻击生命周期,而是利用其他攻击者的服务。例如,他们可能与初始访问经纪人合作,这些经纪人允许他们进入被攻破的公司网络。在某些情况下,他们可能会支付专业的渗透测试人员(pentesters)以提升权限或绕过保护措施,以便在整个企业范围内无缝地启动勒索软件。
参与该项目的攻击者可以从赎金中获得不同份额。通常,开发者获得约20%,攻击的发起者获得约50%,初始访问经纪人获得10%,其余部分归辅助攻击者,例如渗透测试员或谈判人员。
勒索软件即服务目前非常普遍。根据Group-IB Ransomware Uncovered 2020/2021报告(https://www.group-ib.com/resources/research-hub/ransomware-2021/),2020年64%的勒索软件攻击是由与RaaS相关的人员实施的。
谁是勒索软件即服务背后的黑手?
与NetWalker勒索软件相关的一个人,Sebastien Vachon-Desjardins,加拿大公民,于2021年1月被指控。他据称通过勒索赚取了超过2760万美元。
另一个例子是与Egregor勒索软件相关的两个人,他们在法国当局的帮助下被捕,通过跟踪付给他们的赎金支付。还有一个例子是与Clop勒索软件相关的人,他们帮助攻击者洗钱,也在2021年6月被捕。
因此,勒索软件即服务使许多网络犯罪分子——甚至那些缺乏技能和资源的人——加入了“勒索游戏”。这是使人类驱动的勒索软件攻击成为网络大流行的一个重要因素。
结论
在本章中,您了解了现代勒索软件攻击的历史,并对攻击者的策略、技术和程序、他们的商业模式——甚至一些幕后人物有了一些了解。
https://www.group-ib.com/resources/research-hub/ransomware-2021/
在下一章中,我们将深入了解与勒索软件相关的现代威胁图景,并专注于攻击的生命周期——从初始访问到实际部署勒索软件。
第2章 现代勒索软件攻击的生命周期
使用勒索软件的攻击可能非常复杂,特别是当涉及大型企业时。因此,在深入了解技术细节之前,了解典型攻击的生命周期非常重要。了解攻击的生命周期有助于安全专业人员正确重建事件并在各个阶段做出正确的响应决策。
如您从第1章“现代勒索软件攻击的历史”中所知,勒索软件即服务可以由一群人或一系列个别攻击者管理。这意味着策略、技术和程序可能会有很大不同,但在大多数情况下,攻击生命周期大致相同,因为攻击者通常有两个主要目标——从目标网络中窃取机密信息并在企业范围内部署勒索软件。
在本章中,我们将简要讨论人类驱动的勒索软件攻击的各个阶段,以形成对这些攻击生命周期的清晰理解,并准备好深入技术细节。
本章将讨论以下主题:
- 攻击的初始向量
- 后期利用
- 数据盗窃
- 部署勒索软件
攻击的初始向量
任何攻击都从获得初始访问开始。这可以通过连接到内部网络的VPN、通过有针对性的钓鱼传播的木马、通过入侵公共应用程序的web接口,甚至通过供应链攻击(另一个术语是第三方攻击)来实现。
三种最常见的初始攻击向量是通过远程桌面协议(RDP)获得访问权限、有针对性的钓鱼和利用软件漏洞。
以下是Coveware收集的截至2021年第二季度最常见的勒索软件攻击向量的统计数据(来源:https://www.coveware.com/blog/2021/7/23/q2-ransom-payment-amounts-decline-as-ransomware-becomes-a-national-security-priority)。
图2.1. Coveware认为的最常见勒索软件攻击向量
我们将详细探讨每一个,并辅以示例。
通过远程桌面协议(RDP)获得访问权限
多年来,RDP一直是攻击者访问目标网络的最常见方式。从第1章“现代勒索软件攻击的历史”中,您已经知道其被SamSam运营者使用。当然,SamSam不是唯一的例子。目前,许多攻击者都使用这个向量——包括偶尔为之的攻击者,如Dharma勒索软件运营者,以及有目标的组织团伙,如REvil。
大流行加剧了这种情况——许多公司为员工提供远程工作机会,不得不开放他们的服务器,成为各种攻击者的目标,包括勒索软件运营者。
例如,通过Shodan搜索工具公开的端口3389(RDP的默认端口)可以看到数百万台设备。
图2.2. 端口3389开放的设备数量
简单的搜索就能返回数百万结果——这就是为什么这个初始攻击向量在勒索软件运营者中如此受欢迎的原因之一。
在实践中,攻击者不一定亲自攻击这些服务器,他们可能只是购买对它们的访问权限。勒索软件即服务的运营者不仅可以租用勒索软件,还可以从所谓的初始访问经纪人那里购买企业网络访问权限。这些经纪人通常不参与后期利用阶段,更常见的是,他们以分成的形式(通常约为赎金的10%)出售或分享初始访问权限。
有时勒索软件运营者甚至会在地下论坛上发帖,吸引初始访问经纪人的注意。例如,Crylock勒索软件运营者发布了一条消息,表明他们有意购买各种类型的企业网络访问权限。
图2.3. 地下论坛上的帖子
我们接下来将讨论另一个非常流行的初始攻击向量——有针对性的钓鱼。
有针对性的钓鱼
有针对性的钓鱼涉及使用社会工程学。攻击者操纵用户打开恶意附件或点击危险链接,从而获取可用于获得VPN访问权限的凭证,或如您从第1章“现代勒索软件攻击的历史”中所知,用于感染设备的木马程序。起初,许多攻击者使用这些恶意软件进行银行欺诈,但它们也用于获得企业网络的初始访问权限。
最常见的此类木马例子包括:
- BazarLoader
- Hancitor
- IcedID
- Qakbot
- Trickbot
当然,这不是一个完整的列表——这里只列出了最常见的为勒索软件运营者铺平道路的工具。
通常,这些木马的运营者会进行大规模的垃圾邮件活动,主要针对企业用户。最常见的做法是使用邮件链劫持——攻击者从被攻破的电子邮件地址发送恶意文件作为对真实邮件的回复。
图2.4. Qakbot运营者的邮件链劫持示例5
在某些情况下,攻击者会使用更复杂的方法:如第1章“现代勒索软件攻击的历史”中所述,BazarLoader的运营者也使用了语音钓鱼(vishing)。
以下是此类钓鱼邮件的示例。
图2.5. 用于传播BazarLoader的钓鱼邮件示例6
如您所见,这种情况下没有恶意附件。相反,攻击者要求受害者不要回复邮件,而是致电虚假公司以取消订阅。
如果受害者拨打电话,虚假的呼叫中心工作人员会引导他们访问网站,自行打开恶意文档并启用宏,以便下载并运行BazarLoader。
我们将在后面的章节中讨论这些木马的启动和隐藏技术细节,但请记住,攻击者可以使用这些木马在被攻破的主机上下载其他工具,以进行后期利用步骤并获得特权账户以在网络中推进。
在我们总结初始攻击向量的讨论之前,我们将回顾一些允许勒索软件运营者获得网络访问权限的软件漏洞。
软件漏洞
软件漏洞让许多初始访问经纪人赚取了数十万美元,但通过勒索软件即服务赚取了数百万美元。
当然,不是每个漏洞都能让攻击者获得网络的初始访问权限。最常用的漏洞是那些允许远程执行代码或获取凭证文件的漏洞。
一个很好的漏洞例子是Pulse Secure VPN应用程序。例如,CVE-2019-11510漏洞允许攻击者获取易受攻击设备的用户名和未加密密码,以用于访问网络。
另一个在勒索软件运营者中流行的漏洞是FortiGate VPN服务器中的CVE-2018-13379漏洞。它也允许攻击者读取未加密的凭证文件。
Citrix ADC和Gateway中的CVE-2019-19781漏洞也被许多勒索软件团伙广泛利用——它允许攻击者远程上传和执行恶意代码并执行其他后期利用操作。
另一个例子是Accellion Legacy File Transfer Appliance中的多个漏洞,包括CVE-2021-27101、CVE-2021-27102、CVE-2021-27103和CVE-2021-27104,被Clop勒索软件团伙利用。
最后,在某些情况下,攻击者甚至能够利用零日漏洞——这些是系统或设备中已知但尚未修复的漏洞。2021年7月,REvil团伙成功利用了Kaseya VSA远程管理服务中的多个漏洞,并启动了恶意更新包,导致勒索软件的部署。这次攻击影响了许多Kaseya的客户,包括综合IT基础设施管理服务提供商,因此攻击者要求了巨额赎金——7000万美元。
图2.6. REvil攻击DLS的相关信息7
当然,获得网络的初始访问权限只是第一步。在大多数情况下,攻击者需要提升权限、获取凭证、进行网络侦察和其他后期利用操作。
后期利用
访问网络只是工作的一半。在许多情况下,攻击者对网络不够了解,只能访问有限权限的账户,无法禁用安全控制措施并在网络中推进以获取机密数据和部署勒索软件。
后期利用操作取决于访问类型。例如,如果攻击者有VPN访问权限,他们可以扫描网络中的漏洞,以确保在网络中的推进。
不要惊讶——臭名昭著的EternalBlue漏洞(CVE-2017-0144)在许多企业网络中仍然非常普遍,包括一些大型企业。
另一个广泛用于勒索软件运营者的漏洞是Zerologon(CVE-2020-1472)。它允许攻击者在几次点击内访问域控制器。
使用各种木马的攻击者通常从使用Windows内置服务(如net.exe、nltest等)进行网络和Active Directory目录服务的诊断开始,然后使用第三方工具加载到被攻破的主机上。最常见的工具包括:
- AdFind
- Bloodhound (Sharphound)
- ADRecon
这些工具允许收集有关用户和组、计算机、子网、域权限和Active Directory内信任关系的信息。
如果攻击者通过RDP访问被攻破的节点,他们通常使用各种工具——从网络扫描器到密码转储器。以下是一些最常用的工具:
- SoftPerfect Network Scanner
- Advanced IP Scanner
- Mimikatz
- LaZagne
- Process Hacker
- ProcDump
- NLBrute
在某些情况下,特别是当攻击者已经有了服务器的初始访问权限时,他们几乎可以立即通过加载工具集的一部分来获取提升权限的账户凭证,例如创建LSASS(Local Security Authority Subsystem Service)进程内存的快照。
另一个现代勒索软件攻击的典型特点是广泛使用各种后期利用框架。我几乎可以肯定你听说过Cobalt Strike。这是最广泛使用的框架,不仅被网络犯罪分子使用,还被国家支持的黑客使用。
但这只是一个例子。在响应勒索软件攻击时,您还可能遇到:
- Metasploit
- PowerShell Empire
- CrackMapExec
- Koadic
- PoshC2
这些服务使勒索软件运营者能够解决各种任务:扫描网络、提升权限、转储凭证、加载和运行第三方工具和脚本、使用各种方法在网络中横向移动等。
另一个重要的步骤是确保后备访问。具体来说,他们可能会传播已经用于获得初始访问权限的木马、在远程主机上启动后期利用框架组件,甚至在某些服务器上安装合法的远程访问软件,如TeamViewer。
一旦攻击者对他们侵入的网络有了足够的了解并获得了提升的权限,他们就可以开始实现主要目标——数据盗窃和勒索软件部署。
数据盗窃
数据盗窃有时被称为数据泄露、数据导出或数据外流,它在勒索软件运营者中非常流行。几乎所有与人类驱动的勒索软件攻击有关的攻击者都有自己的网站泄露数据(Data Leak Site, DLS)。他们在这些网站上发布有关成功攻击的信息——甚至在公司拒绝支付赎金时发布被盗数据。
被盗数据的量可以有很大差异。在某些情况下,这只是几个GB的数据,而在其他情况下可能达到TB级别。外流的数据可能包括信用卡信息、社会安全号码(SSN)、个人身份信息(PII)、受保护的健康信息(PHI)和国家医疗服务提供者标识符(NPI),以及公司的私密和机密信息。
下图展示了Conti勒索软件使用的DLS示例。
图2.7. Conti勒索软件的DLS8
大多数此类网站位于暗网,通常通过Tor浏览器访问。如果您想使用普通的Web浏览器跟踪这些网站的变化,建议使用Ransomwatch项目(https://www.ransomwatch.org/)。该网站自动捕获并发布各种勒索软件运营者DLS的截图。
攻击者可能会花费相当长的时间从被攻破的网络中提取数据——有时长达几个月。在此期间,他们可能会找到最机密的数据,并确保额外的远程访问手段,以防止初始访问方法被揭露和封锁。
通常有两种数据外流方法。第一种情况下,攻击者可能会为此目的设置一个服务器或使用发起攻击的服务器,例如,通过后期利用框架。
在这种情况下,攻击者通常使用合法的工具(如WinSCP或FileZilla)进行数据盗窃。检测这些工具可能非常困难,尤其是如果公司的安全团队没有专门的威胁监控组。
通常数据需要先被收集,但在某些情况下,可以直接从文件服务器中提取数据而无需归档。
另一种方法是使用公共云存储服务,如MEGA、DropMeFiles等。攻击者可以使用这些存储服务在他们的DLS上发布数据。
以下是Everest勒索软件运营者盗取的数据上传至DropMeFiles的示例。
图2.8. Everest勒索软件运营者发布的被盗数据
为了以这种方式上传数据,攻击者可以使用普通的Web浏览器,或在某些情况下使用相应的客户端应用程序。例如,Nefilim勒索软件的运营者在目标主机上安装了MEGAsync来上传数据。
另一个明显的例子是Mount Locker的合作伙伴使用Amazon S3存储来窃取收集到的数据。AWS和其他云解决方案对于大规模的数据盗窃非常有帮助,因此在没有适当管理和监督的情况下使用这些解决方案对攻击者非常有利。
一旦所有机密数据(至少从攻击者的角度来看)被提取出来,受害者的网络就可以准备部署勒索软件了。
部署勒索软件
您认为勒索软件运营者的最大敌人是谁?没错,是备份——如果它们受到保护并存放在安全的地方。但它们有一个显著的弱点——攻击者可以删除它们。
不幸的是,系统管理员经常忘记3-2-1规则(3份备份存储在2种不同的介质上,其中1份存放在异地),也忘记了为备份服务器使用单独的账户并启用多因素认证的必要性。如今,妥善保护备份不仅对于防止勒索软件至关重要,而且对于企业遵守行业法规也至关重要。
如果没有足够的安全措施,攻击者可以轻易访问备份服务器并删除所有可用的备份。在这种情况下,受害公司别无选择,只能支付赎金。
一些勒索软件内置了删除典型备份解决方案文件扩展名的功能。例如,TinyCryptor删除的备份文件扩展名列表如下:
- vbm
- vib
- vbk
- bkf
- vlb
- vlm
- iso
您可能知道,Windows操作系统内置了一个名为卷影复制服务(Volume Shadow Copy Service)的备份机制。它创建文件甚至卷的备份,使用户可以将数据恢复到以前的状态。
当然,勒索软件运营者注意到了Windows的这一功能——大多数勒索软件都会禁用它并删除所有可用的卷影副本。
备份并不是勒索软件运营者唯一的敌人。另一个敌人是可以有效阻止勒索软件执行的安全软件——当然,如果它们正常运行的话。
攻击者可以将勒索软件添加到排除列表中,或者直接禁用现有的安全软件。在这一步,攻击者通常已经拥有了域管理员权限,因此他们可以部署批处理脚本,操作组策略来达到目的。当然,这不是唯一的方法——也可以通过安全软件的控制台界面禁用它。
勒索软件部署的方法有很多,包括修改组策略、使用PsExec,甚至手动复制和启动——这取决于网络犯罪分子的偏好。
另一个重要的点是系统必须保持可访问,以便受害者可以收到电子邮件或链接与攻击者联系。这就是为什么许多勒索软件会将系统文件夹添加到排除列表中的原因。以下是Darkside勒索软件排除列表中的文件夹:
- $recycle.bin
- config.msi
- $windows.~bt
- $windows.~ws
- windows
- appdata
- application data
- boot
- mozilla
- program files
- program files (x86)
- programdata
- system volume information
- tor browser
- windows.old
- intel
- msocache
- perflogs
- x64dbg
- public
- all users
- default
有趣的是,排除列表中包含了tor browser文件夹。因为Darkside有一个暗网中的受害者门户,只有通过Tor浏览器才能访问。
一旦勒索软件部署完成,攻击者就准备与受害者讨论赎金金额。有时他们会分别要求解密赎金和删除被盗数据的赎金。
有时攻击并不会到此结束。例如,众所周知,与REvil团伙有关的攻击者会对拒绝付款的受害者进行DDoS攻击。
结论
现在您对典型的勒索软件攻击阶段有了清晰的理解。尽管在战术、技术和程序方面这些攻击可能有很大差异,但主要目标几乎总是相同的:获得域的完全控制,窃取最有价值的机密数据,并部署勒索软件。
在下一章中,我们将探讨事件响应过程及其应对现代勒索软件攻击的六个阶段。
第3章 事件响应过程
您已经对现代勒索软件攻击有了相当了解,因此是时候探讨事件响应过程了。分析过程可能看起来有点枯燥,但理解它们非常重要——这将帮助您更快速地响应事件。
我们不会停留在您已经知道的事情上。相反,我们将探讨美国国家标准与技术研究院(NIST)开发的经典事件响应过程,并结合勒索软件攻击的实际案例和经验进行讲解。
这个过程在《计算机安全事件处理指南》(Computer Security Incident Handling Guide)中由Paul Cichonski、Tom Millar、Tim Grance和Karen Scarfone提出。至今,全球许多事件响应团队在实践中仍然使用它。我不会在这里复述这篇文章——我将分享我的意见和经验,以便您在阅读或重读时能更好地理解它。
在本章中,我们将探讨事件响应过程的各个阶段,并讨论以下主题:
- 事件准备
- 威胁检测与分析
- 控制、消除与恢复
- 事件后处理
事件准备
事件准备是事件响应过程中的一个重要部分。这不仅涉及团队,还涉及被攻击的IT基础设施。想象一下,如果您必须应对一个与勒索软件相关的事件,但您的基础设施完全被加密,并且只运行基础级别的日志记录和防病毒软件。听起来很可怕,但这正是我所调查的许多事件的实际情况——公司在受到攻击之前不会考虑安全问题。
非常重要的是要认识到您的基础设施缺乏安全控制和人员。为此,您不需要等待实际的事件发生——在许多情况下,简单的渗透测试就足够了。
一些公司即使在成功的勒索软件攻击之后也不考虑安全问题。一个显著的例子是澳大利亚的运输和物流公司Toll Group。2020年2月,该公司遭到Netwalker勒索软件运营者的攻击。5月,Toll Group恢复正常运行,立即又被另一个团伙Nefilim勒索软件成功攻击。
如您所见,勒索软件的世界非常残酷,因此准备团队和IT基础设施应对威胁至关重要。
团队
实际上,公司不一定需要内部的事件响应团队。许多服务公司提供此类服务,包括识别和分析威胁,并提供消除威胁的指导。
此外,公司还可以利用外部管理检测和响应(Managed Detection and Response, MDR)团队的服务,这些团队负责监控和响应。
当然,如果需要,公司可以在内部创建事件响应团队,作为安全部门或内部安全运营中心(Security Operations Center, SOC)的一部分。
首先,这种团队必须具备响应事件的能力。以下是具体含义:
数据收集能力
在事件响应过程中,能够收集必要的数据至关重要——从单一的运行进程的工件到完整的事件日志或注册表文件。我们一直使用自己的扩展检测和响应(Extended Detection and Response, XDR)解决方案Group-IB MXDR,这是市场上众多解决方案之一。重要的是,选择的解决方案能够监控整个基础设施,从任何主机收集数据,并在必要时进行主动威胁搜索。虽然这些任务可以通过部署各种脚本来解决,但这种方法可能不太高效,并显著增加事件响应的时间。
数据分析能力
数据收集很重要,但分析更重要。XDR数据可以节省大量时间,但如果不可用,您需要使用各种数字取证工具,包括商业和开源工具。这些工具可以提高处理速度,但不幸的是,它们无法加速分析——因为勒索软件攻击的分析,和这些攻击本身一样,总是由人来执行。另一个重要的点是,必须访问良好的威胁情报来源:这将加快分析速度,并帮助您更好地理解您正在寻找的内容。最后,需要进行培训。培训可以通过各种形式进行:在教练指导下,通过预录视频,借助网络研讨会——甚至只是阅读一份好的威胁报告或书籍(例如这本书)。
沟通能力
这是一个非常重要的方面。在事件响应团队中应分配职责——至少一个人负责与管理层的互动,另一个人负责与技术人员的沟通。
基础设施
本节中写的内容仅适用于内部事件响应团队成员,也就是说,您可以与其他团队沟通并向他们提供IT基础设施配置建议。
在事件响应过程中,最糟糕的情况是缺乏通讯和空白(或太短)的事件日志。如您所知,在某些情况下,攻击者在实际部署勒索软件之前可能会在基础设施中待上数周,为了追踪他们到第一个被攻破的主机,您需要该期间内的所有日志。
这在实践中是如何运作的?假设您通过命令jump psexec_psh发现主机上运行了Cobalt Strike Beacon——这种情况很常见,通常会记录创建新服务的事件ID为7045的系统日志。我们首先关注的通常是启动源——这并不难找到,例如,通过系统登录(事件ID 4624)。难题出现在服务创建两周前,而您的安全日志仅记录了最近三天的事件。
另一个例子是防火墙。防火墙确实不能阻止0day,但它们可以在事件响应中非常有用——当然,前提是您保留了需要的时间段的日志。
我曾处理过一个案例,我们在一个小时内确定了所有用于初始访问的主机。攻击者使用目标钓鱼电子邮件附件获取初始访问权限,但这次他们攻击了四台主机。我们快速找到其中一台主机,因为它被用于部署勒索软件——我们发现该主机在四个月前被攻破。客户妥善保存了日志,因此我们能够回溯四个月,通过与命令和控制服务器的通讯识别其他受感染的主机。
在我的实践中,有一次我们在一个小时内确定了所有用于初始访问的主机。攻击者通过带有恶意附件的目标钓鱼电子邮件获取了初始访问权限,但这次他们攻击的不止一台主机,而是四台。我们很快找到了其中一台,因为它被用于部署勒索软件——我们发现这台主机在四个月前被攻破。我们的客户很好地保留了日志,因此我们能够回溯四个月,通过与命令和控制服务器的通信识别出另外三台主机。如果没有这些日志,查找工作可能会花费更多时间,而攻击者也有机会改变战术、技术和程序(TTPs),并植入新的后门。
我想你已经明白,仔细保存日志对于应对任何事件至关重要。如果你目前还没有保存日志,一定要实施日志保存和管理流程。每个行业都有自己的规则和规定,涉及到日志的保存和管理。一定要查清哪些要求适用于你的组织。
另一个与基础设施相关的重要方面是技术安全措施。我之前提到过XDR(扩展检测和响应)。你可能会问,为什么是XDR,而不是市场上的其他许多解决方案?原因在于,XDR可以用于监控、威胁搜寻、收集取证数据,更重要的是,它可以阻止恶意文件并隔离受感染的主机。当然,安全信息和事件管理(SIEM)工具也能提供监控、警报和威胁搜寻功能,但它们不能阻止恶意文件或隔离主机,而这在应对勒索软件攻击时尤为关键。另一方面,SIEM工具可以长期保存日志,因此如果你处理的是长期事件,正确配置的SIEM可能发挥关键作用。
当然,这不仅仅是关于XDR:它只是最现代和有效的防止和应对事件的工具。工具越多,处理事件就越容易。
现在我们来看看威胁检测和分析的阶段。
威胁检测和分析
这是事件响应过程中最重要的两个阶段。为什么?如果检测和分析失败,很可能你的基础设施或客户的基础设施将被某种勒索软件加密。
有两种可能的情况:
- 一切已经被加密——也就是说,已经发生了攻击,需要重建事件。
- 网络中出现了勒索软件的前兆,需要尽快定位并消除。
通常,如果攻击已经发生,确定你遇到的勒索软件变种并不难——只需阅读勒索信息。这些信息通常包含指向门户网站的链接,受害者可以在这些门户网站上与攻击者进行谈判。
图3.1. BlackMatter勒索软件的门户网站
如图3.1所示,这些门户网站向受害者提供了大量信息,包括赎金金额、支付细节、被盗数据——甚至提供测试解密和聊天支持。但更重要的是,屏幕顶部显示了勒索软件家族的名称——BlackMatter。利用这些信息,你可以继续了解该攻击者通常使用的TTP。
你可以从各种公开来源获得一些信息,我们将在第6章“收集勒索软件相关的网络威胁数据”中详细讨论这一点。此外,访问商业网络威胁分析平台也非常有用。
图3.2. Group-IB威胁情报平台上的BlackMatter档案
为什么这很方便?这些平台包含了关于勒索软件的丰富信息,包括战略、操作和战术层面的内容。你可以找到关于勒索软件TTP的信息,包括它们使用的工具、漏洞等。此外,你还会看到许多不同的妥协指标,如哈希值、文件名和IP地址。最后,通常还有关于目标国家和行业的信息。我们将在第4章“网络威胁情报和勒索软件”中更详细地讨论这个主题。
拥有这些信息后,你就可以推测攻击者如何获得初始访问权限,并使用了哪些手段来提升权限、获取凭证、在网络中横向移动等。
让我们看看我们在前几章中讨论过的一个例子——Ryuk勒索软件。
如果攻击已经发生并且文件已被加密,你需要找到勒索软件的部署源及其使用的方法。Ryuk通常从域控制器部署。假设你很幸运找到了具体的控制器,但问题在于,由于日志记录不足,你无法看到连接到这台服务器的源头。
然后你分析已有的网络威胁信息,发现与Ryuk相关的攻击者通常使用Cobalt Strike、AdFind和Bloodhound等工具,并通过目标钓鱼邮件获得初始访问权限,传送Trickbot或BazarLoader。
现在你知道该找什么——勒索软件运营者非常喜欢使用各种后期利用框架,如Cobalt Strike,而这些框架通常会留下大量的痕迹,可以在事件响应过程中找到。关于数字取证工件的来源,你可以在第7章“数字取证工件及其主要来源”中了解更多。
重要的是,威胁主体的TTP信息不仅对于事件响应很重要,也对预防事件有帮助,因此,如果你或你的团队成员找到了关于攻击者行为的信息,应立即调整安全措施以应对。
让我们看看当攻击还未发生时的情况——勒索软件尚未部署,但已经有一些入侵前兆。它们是什么样的?
我们已经知道,攻击者通常使用Trickbot或BazarLoader来获得初始访问权限。这意味着我们必须对任何与这些威胁相关的事件作出反应,例如来自防病毒软件的警报。即使攻击已经发生,防病毒软件也可以有用,因为攻击者使用的各种工具中有些无法避免被检测到。因此,这些警报可以提示我们在后期利用过程中攻击者的行动路径。
此外,隔离工作站(如果可行且不会影响业务流程)并检查是否有其他未发现的工件也非常重要。如果你成功发现并删除了BazarLoader的变种,内存中可能还留有Cobalt Strike Beacon,而威胁主体可能已经在网络中进一步移动。
同样,针对网络或Active Directory的侦查活动的痕迹也很重要。如果你发现了诸如使用AdFind之类的活动,必须判断它是否合法并作出反应。
这当然不是全部例子——我们将在第5章“勒索软件团伙的战术、技术和程序”中更详细地讨论。
现在我们来谈谈遏制、消除和恢复。
遏制、消除和恢复
一旦你了解了所面对的攻击类型,就可以采取遏制措施。
最明显的措施是阻止与命令和控制服务器的连接。没有连接,攻击者很难对网络造成损害——当然,前提是他们没有计划执行某些任务,比如启动一个带有其他命令服务器地址的后门。
因此,可能需要将整个网络与互联网断开连接。这取决于攻击的生命周期阶段——如果你在攻击的早期发现攻击,隔离整个网络可能是多余的,但如果攻击者已经在你的网络中存在一个月,最好谨慎行事。
许多勒索软件运营者使用合法的远程访问应用程序,如:
- TeamViewer
- AnyDesk
- SupRemo
- Remote Utilities
- Atera RMM
- Splashtop
- ScreenConnect
这意味着,一旦你发现了事件,最好立即阻止这些程序。
如你所知,大多数攻击者都会窃取数据。因此,如果你看到勒索软件前兆的活动痕迹,并怀疑攻击者仍在网络中,最好阻止访问常用的云文件共享服务,如MEGA、DropMeFiles、MediaFire等。
在某些情况下——尤其是当你面对初始访问时——隔离受感染的主机可能已经足够。实际上,这应该在分析阶段之前完成,以防止攻击者在网络中进一步移动。
网络犯罪分子总是试图获取更高的权限和有效的账户凭证,因此,如果你发现任何表明账户凭证被泄露的证据,应立即更改其密码。
如果你已经将攻击者与被攻破的网络隔离,并且没有新的恶意活动痕迹出现,可以开始删除恶意软件和攻击者使用的工具。
删除脚本和不需要安装的服务很简单。
远程访问工具如TeamViewer有方便的卸载程序,因此从受感染的主机中删除它们并不困难。
删除恶意软件则稍微复杂一些。例如,它们可能是无文件的,只存在于内存中,不会在磁盘上留下副本。如果恶意软件在被感染的系统中保持持久性,这种情况相当常见,它将在重新启动后仍然存在于内存中。
以下是一些用于勒索软件攻击的恶意软件常用的持久性机制:
- 注册表启动键或启动文件夹
- Windows服务
- 计划任务
如果你已经删除了恶意软件,有时可以不删除持久性机制,但这有时可能导致误报威胁。有一次我的客户发现了一个与Cobalt Strike相关的恶意服务——我的团队立即做出了反应,但很快发现这只是几年前客户团队处理过的一次攻击的残留物。
所以,你已经阻止了命令服务器,修改了泄露账户的密码,删除了恶意软件和攻击者的工具。这样够了吗?你准备重新启动这个工作站或服务器了吗?如果你百分之百确信一切都已清除,那为什么不呢?如果不确定,最好重新从映像中部署系统。
另一种情况是,网络已经被加密。在这种情况下,通常只有两个选择:与网络犯罪分子谈判并支付赎金,或者从头开始重建基础设施。
在第一种情况下,攻击者提供的解密器可能会带来额外的问题。以下是另一个例子:ProLock勒索软件运营者在2020年4月至6月期间活跃,一些受害者同意支付赎金并获得了解密器。但问题在于,解密器不能正常工作,解密过程中超过64MB的文件会被损坏。当这个问题曝光后,攻击者的声誉受损,不久ProLock就消失了。
当然,并非所有解密器都工作不良。许多攻击者提供的可执行文件确实能够解密所有文件。但这并不保证支付赎金后系统的安全——已知有攻击者一次又一次地攻击同一家公司,试图赚取更多的钱。
因此,在成功的攻击后——尤其是如果组织决定支付赎金——改善安全状况以防范未来的攻击是极其重要的。这就是事件后处理阶段的目的。
事件后处理
在最后阶段,事件响应团队应该帮助受害公司了解攻击者为何成功,以及如何避免类似的情况。
根据使用勒索软件的不同,事件的生命周期可能完全不同。根据你发现的内容,你可以提供一系列建议。让我们看看一些通用的建议。
如我们所知,许多勒索软件攻击始于公开可访问的RDP服务器,因此一个好的建议是选择其他远程访问方法,或为这些RDP连接实施多因素认证。
对于公开可访问的基础设施部分,组织应确保修补所有漏洞,特别是那些允许攻击者获取有效账户凭证或远程执行代码的漏洞。
如果攻击者通过目标钓鱼获取访问权限,可能需要对员工进行额外培训,或提高邮件流量的安全性,例如实施恶意软件“沙箱”系统,这些系统会分析所有进出邮件中的附件和链接。
同样地,内部网络安全产品——在某些情况下,只需正确配置它们,而在其他情况下,则需要更换它们。此外,可能还需要额外的监控能力和受过培训的人员。
最后,如果现有的备份最终被删除(如你所知,这是攻击者的常见策略),组织应考虑备份保护,例如实施3-2-1规则,为备份服务器使用单独账户,并为任何类型的访问实施多因素认证。
这不是事件后处理的全部内容,而只是一些示例,帮助你理解通常在这个阶段做什么。
希望现在你对典型的事件响应过程有了更清晰的理解。你可以在NIST编写的《计算机安全事件处理指南》中找到更多信息。
结论
在这一章中,我们讨论了事件响应过程的各个阶段,让你对抗击勒索软件攻击的主要步骤有了清晰的认识。我们将继续研究这个问题,以便你能够更好地了解细节。
你已经知道,网络威胁情报是事件响应过程的重要组成部分,因此在下一章中,我们将讨论不同层次的分析,并特别关注勒索软件攻击。我们将查看公开的威胁报告,并从中提取不同类型的数据,以便充分了解它们的区别。
第4章 网络威胁情报和勒索软件
网络威胁情报是应对事件的重要组成部分。读完前一章后,你应该对当前的威胁形势和攻击者使用的方法有了清晰的了解。现在,快速进行分析并进入应对事件的下一阶段是至关重要的。
接下来,我们将讨论各种类型的网络威胁信息:战略信息、操作信息和战术信息。实践总是胜过理论,因此在我们的讨论中,我们将分析一个公开的报告,尝试从中提取各种类型的分析数据。
因此,在本章中,我们将通过勒索软件的视角来审视所有类型的网络威胁数据:
- who and why?——网络威胁的战略信息。
- how and where?——网络威胁的操作信息。
- what?——网络威胁的战术信息。
网络威胁的战略信息
网络威胁的战略信息通常面向决策者:首席信息安全官(CISO)、首席信息官(CIO)、首席技术官(CTO)等。它包括对攻击者活动和动机的全局描述,并回答“谁”和“为什么”的问题。这些信息为CISO、CIO和其他网络安全领导者提供技术和战术知识,帮助他们预见威胁领域的新趋势。
因此,“谁”指的是针对组织的攻击者,而“为什么”则是他们的动机。
从动机的角度来看,网络犯罪分子相当可预测,他们的主要目标是从受害者那里获取金钱。通常,这涉及到相当可观的金额。
另一个重要的问题是哪些组织成为攻击目标。例如,一些勒索软件运营者不会攻击医院、政府机构、关键基础设施等。BlackMatter运营者就是一个很好的例子,他们禁止其同伙攻击某些类别的组织(见图4.1)。
现在让我们看看SentinelLabs团队的公开报告《Hive攻击:针对医疗行业的人类操作勒索软件分析》(Hive Attacks | Analysis of the Human-Operated Ransomware Targeting Healthcare)。报告可在以下链接查看:https://labs.sentinelone.com/hive-attacks-analysis-of-the-human-operated-ransomware-targeting-healthcare/
图4.1. BlackMatter勒索软件网站上的规则部分
第一个重要的战略事实是,使用Hive勒索软件的攻击者的目标是医疗机构。是的,一些运营者及其同伙可能专门针对特定的业务领域或行业,有时是在特定的国家。例如,研究人员描述了对俄亥俄州Memorial Healthcare System医院的攻击,导致该组织不得不将急诊患者从其多个医院转移到其他机构。攻击者非常清楚,医疗行业是一个有利可图的环境,包含大量数据。医疗行业有许多入口点,允许攻击者随心所欲地渗透和移动。如果我们尝试深入分析这一点,并分析在攻击者泄漏数据网站(DLS)上可以找到的受害者数据,可以发现更多与攻击相关的数据(见图4.2)。
由于受害者名单不仅限于医疗机构,分析可以提供更详细的目标概览。这使得决策者能够清楚地了解他们的业务是否真的面临威胁。
图4.2. Hive泄漏数据网站上的受害者信息
此外,从报告中可以看出,使用Hive勒索软件的团伙非常活跃。他们在2021年6月底开始活动,已经进行了至少30次成功的攻击。这一事实也有助于在防御策略中确定优先事项。
让我们进一步分析报告中可以提取的网络威胁的操作信息。
网络威胁的操作信息
网络威胁的操作信息帮助我们了解攻击者的能力,了解他们的基础设施,当然还有他们的战术、技术和程序。这种信息让我们知道“如何”和“在哪里”,因此它面向安全运营中心(SOC)分析师、事件响应专家、威胁猎人等。
你可能已经明白,“如何”的答案让安全人员能够收集关于犯罪者使用的各种战术、技术和程序的信息,并帮助发现和消除它们。回答“在哪里”可以让我们知道在哪里寻找实施各种战术、技术和程序的痕迹,这使得我们可以采取预防性措施。
让我们继续分析SentinelLabs关于Hive勒索软件的报告,并专注于“技术分析”部分。
描述战术、技术和程序(TTPs)的最佳结构之一是MITRE ATT&CK®。
MITRE ATT&CK®是一个关于攻击者在网络攻击中采取的行动的知识库和分类系统。它由以下主要部分组成:
- 战术——攻击者的战术目标,如获得对目标网络的初始访问权限。
- 技术——攻击者为实现目标使用的一般方法定义,例如目标钓鱼。
- 子技术——更具体的方法描述,例如使用恶意附件。
- 程序——攻击者具体如何使用技术或子技术,例如在目标钓鱼电子邮件中嵌入恶意的Microsoft Office文档。
在本书中,我们将频繁引用MITRE ATT&CK®,因此如果你不熟悉这个知识库,可以访问官方网站:https://attack.mitre.org/
在SentinelLabs报告的“技术分析”部分,首先我们看到初始攻击向量可能不同。遗憾的是,报告中没有具体说明可能的选项。
但我们立即了解到攻击者最喜欢的后期利用框架是Cobalt Strike。不过,报告中没有详细说明它在攻击中的具体使用方式。与此同时,研究人员分享了有关另一种工具的信息,即ConnectWise——一种被攻击者用于维持对被攻破网络访问的合法远程管理工具。正如你从第3章“事件响应过程”中所知,这种工具在与勒索软件相关的团伙中非常普遍。
MITRE ATT&CK®中记录了这种方法。其ID为T1219,名称为Remote Access Software(https://attack.mitre.org/techniques/T1219/)。该方法的要点是,攻击者可以使用各种远程访问工具,如TeamViewer、AnyDesk等,作为备用访问受感染主机的通信渠道。
接下来我们看看报告中描述的其他方法。
首先,我们看到攻击者使用cmd.exe来启动可执行文件。现在我们知道了子技术,即Windows命令外壳(T1059.003)。
此外,攻击者使用rundll32.exe绕过保护措施——这是通过签名二进制代理执行的子技术(T1218.011)。
最后,我们看到的主要目标是获取凭证。在这种情况下,攻击者通过滥用系统库comsvcs.dll来获取lsass.exe进程的转储,即操作系统凭证转储子技术——本地安全认证子系统服务(LSASS)内存转储(T1003.001)。
为什么要进行转储?因为系统会在其内存中存储各种凭证元素,如果攻击者能将内存内容转储到磁盘,他们就能使用各种工具提取有效的凭证。
为了在明文中启用凭证缓存,攻击者使用cmd.exe修改了注册表:
这是MITRE ATT&CK®中记录的另一种方法,即修改注册表(T1112)。
报告中另一个重要的事实是,攻击者在后期利用阶段使用了ADRecon。这是另一个流行的工具,许多勒索软件运营者在网络侦察阶段使用它来从Active Directory环境中提取各种工件。同样,报告中没有说明它在此次活动中的具体使用方式。然而,由于这是一个基于PowerShell的工具,我们可以确定另一个子技术,即命令和脚本解释器——PowerShell(T1059.001)。PowerShell脚本非常普遍,你几乎在所有与勒索软件攻击相关的事件中都会遇到它们。
报告的下一部分专注于分析Hive勒索软件本身。这也可能揭示攻击者的TTP。首先,我们看到该程序是用Go语言编写的,这在勒索软件创作者中越来越受欢迎。另一个重要点是,该程序使用UPX进行打包,这是一种常见的打包工具,许多攻击者用它来绕过一些防护措施。这里我们涉及到文件或信息混淆子技术——软件包(T1027.002)。
接下来,我们看到另一种非常普遍的方法,即许多与勒索软件相关的犯罪分子使用的方法——停止多个进程和服务,以便不受干扰地加密所有文件。MITRE ATT&CK®中也记录了这种方法——停止服务(T1489)。
继续,我们看到勒索软件创建了一个名为hive.bat的批处理文件,用于删除恶意程序的组件。以下是它的内容:
这里我们涉及到在主机上清除痕迹的子技术——删除文件(T1070.004)。
这并不是勒索软件创建的唯一批处理文件。另一个名为shadow.bat的文件被用来删除阴影副本,以防止使用操作系统的内置功能恢复文件。
以下是该命令文件的内容:
这里涉及到抑制系统恢复能力的方法(T1490)。
最后,勒索软件最重要的技术之一是加密数据,以对受害者施加影响(T1486)。
让我们将找到的数据汇总到一张表中。
表4.1. MITRE ATT&CK汇总表
正如表中所示,我们无法从报告中重建整个攻击生命周期,但我们仍然提取了许多TTP,这些知识可以在应对事件和主动威胁搜寻中使用。
我们将在第6章“收集与勒索软件相关的网络威胁数据”中继续分析可用报告。
网络威胁的战术信息
网络威胁的战术信息用于各种安全产品的工作,如安全信息和事件管理系统(SIEM)、防火墙、入侵检测/防护系统(IDS/IPS)等。这些产品利用妥协指标(IoC)。
这一层次的网络威胁信息集中于“什么”——具体发生了什么。传统上,这种分析最为常见,许多供应商提供所谓的供稿——新闻提要或最新信息提要,但目前越来越多的组织转向TTP,因为传统的指标生命周期非常短。
在大多数情况下,这些指标包括IP地址、域名和哈希值。通常哈希值有以下几种类型:
- MD5
- SHA1
- SHA256
这些指标可以通过MISP等网络威胁分析平台进行共享,可以用于研究和检测。
回到我们正在分析的报告。报告中有一个“妥协指标”部分。它包含多个哈希值,包括SHA1和SHA256类型。由于这些是同一文件的哈希值,我们专注于第一种类型——SHA1:
如果使用VirusTotal(https://www.virustotal.com/)等分析各种恶意内容的服务,可以发现所有这些哈希值都与Hive勒索软件的变种有关。
图4.3. VirusTotal中一个哈希值的记录
从检测的角度来看,它们并不十分有用,因为大多数情况下,勒索软件的版本是专为每次攻击定制的,这意味着它们的哈希值不会匹配。
此外,报告中还提到了与Cobalt Strike Beacon相关的IP地址。你总可以收集更多关于IP地址的信息,特别是那些与各种后期利用框架相关的IP地址。例如,可以检查服务器是否与Cobalt Strike相关(见图4.4)。
图4.4. Group-IB MXDR平台收集的关于检查过的IP地址的信息
Group-IB MXDR平台具有构建关系图的功能,可以用于收集关于你收集的指标的更多信息。图4.4中我们看到IP地址176.123.8.228属于Cobalt Strike服务器,因此安全团队应当阻止或检查它。
如你所见,即使分析一个简短的公开报告,有经验的分析师也能收集足够的网络威胁信息,这对应对事件非常有用。
结论
在本章中,我们讨论了各种类型的网络威胁信息,包括战略信息、操作信息和战术信息,它们的区别和目标受众。我们还分析了一份公开的威胁报告,提取了不同类型的数据,以便你能清晰地了解它们的区别。
你已经知道,TTP是攻击者行为最重要的要素,因此在下一章中,我们将讨论许多真实生活中的例子,以便你有一个丰富的实际信息来源,了解人类操作的勒索软件攻击。
赞赏微信赞赏支付宝赞赏
3条评论