• 真情服務(wù)  厚德載物
    今天是:
    聯(lián)系我們

    市場(chǎng)部:0564-3227239
    技術(shù)部:0564-3227237
    財務(wù)部: 0564-3227034
    公司郵箱:lachs@126.com
    技術(shù)郵箱:cc1982@163.com
    地址:六安市淠望路103號

    技術(shù)分類(lèi)
    推薦資訊
    當前位置:首 頁(yè) > 技術(shù)中心 > 安全產(chǎn)品 > 查看信息
    REVIL風(fēng)云再起,APT式勒索爆發(fā)
    作者:永辰科技  來(lái)源:綠盟科技  發(fā)表時(shí)間:2021-5-26 20:21:32  點(diǎn)擊:2523

    一、事件背景

    2021年5月,綠盟科技CERT監測到REvil/Sodinokibi勒索家族的多起活動(dòng),REvil為Ransomware Evil(又稱(chēng)Sodinokibi)的縮寫(xiě),是一個(gè)私人勒索軟件即服務(wù)(RaaS)組織。于2019年4月首次被發(fā)現,在一年內就已被用于一些知名網(wǎng)絡(luò )攻擊,2019年8月的PerCSoft攻擊,2020年1月的Travelex勒索軟件攻擊,及2020年1月的Gedia Automotive攻擊等事件。近期,該組織入侵了蘋(píng)果公司的供應商,并竊取了蘋(píng)果公司即將推出的產(chǎn)品機密原理圖。

    多數網(wǎng)絡(luò )安全專(zhuān)家認為,REvil是以前一個(gè)臭名昭著(zhù)但已解散的黑客團伙GandCrab的分支。該推測源于REvil在GandCrab停止運營(yíng)后立刻開(kāi)始活動(dòng),且二者使用的勒索軟件存在大量共享代碼。

    二、組織分析

    Sodinokibi運營(yíng)商通常雇用黑客攻擊者進(jìn)行初始入侵。他們的攻擊往往從熟悉的技術(shù)開(kāi)始,如帶有魚(yú)叉式釣魚(yú)鏈接或附件的惡意郵件、使用有效賬戶(hù)的RDP訪(fǎng)問(wèn)、已被入侵的web網(wǎng)站和漏洞利用等。并且還會(huì )使用一些對目標具有針對性的技術(shù)。

    Sodinokibi家族采用勒索軟件即服務(wù)的模式,意味著(zhù)分發(fā)的攻擊者將向運營(yíng)商支付最新版本的使用費,并由勒索組織為他們運營(yíng)基礎設施。在Sodinokibi的配置中有兩個(gè)字段,將跟蹤客戶(hù)端和部署勒索軟件期間的特定客戶(hù)端活動(dòng)。

    三、攻擊手法分析

    Sodinokibi病毒本身并不具備自動(dòng)傳播功能,主要依靠攻擊者手動(dòng)傳播,但會(huì )通過(guò)掃描局域網(wǎng)共享資源,嘗試加密共享文件。勒索病毒團伙對特定目標進(jìn)行長(cháng)期滲透,獲取內網(wǎng)權限并控制關(guān)鍵生產(chǎn)設施(例如域控主機),然后通過(guò)特定方式(例如域策略、PsExec遠程連接執行等)在內網(wǎng)中傳播加密病毒主體程序。在入侵過(guò)程中,攻擊者使用了很多類(lèi)似APT組織的手段,如利用CobaltStrike等遠控木馬長(cháng)期駐留、收集敏感文件、白加黑實(shí)現勒索病毒免殺等。

    某案例中,攻擊者通過(guò)powershell命令禁用Windows Defender的實(shí)時(shí)保護:

    通過(guò)共享拷貝與wmic命令,將勒索病毒樣本拷貝到目標主機并執行:

    或者通過(guò)域控下發(fā)組策略的方式,將勒索病毒樣本拷貝到終端并執行。勒索病毒本體具有有效數字簽名,并采用了白加黑的方式,躲避殺毒軟件查殺。

    攻擊者還會(huì )使用powershell或MSBUILD命令執行文件加載CobaltStrike 遠控木馬以實(shí)現長(cháng)期權限維持。

    病毒本身并不具備系統駐留功能,不會(huì )讀寫(xiě)被加密終端的任何啟動(dòng)項。但在一些案例中發(fā)現,部分攻擊者通過(guò)批處理的方式新建定時(shí)計劃任務(wù)來(lái)不斷啟動(dòng)加密程序,以便達到感染新文件、新存儲介質(zhì)的目的。

    REvil家族在滲透的過(guò)程中除了投放勒索病毒,還會(huì )收集上傳被攻擊系統的文件。某案例中,勒索信提到“我們還從您的服務(wù)器下載了大量敏感數據,如果您不付款,我們將會(huì )把您的文件上傳到我們的公共博客”。

    在本地開(kāi)啟網(wǎng)絡(luò )共享,并通過(guò)psexec工具,利用通用口令,批量將users.ps1拷貝到目標主機。

    使用psexec命令,批量執行拷貝到目標主機的users.ps1文件。

    攻擊者會(huì )通過(guò)powershell腳本搜集系統敏感文件并上傳。腳本作用:收集目標主機120天內創(chuàng )建的指定后綴文件,并上傳到目標主機共享目錄。

    通過(guò)注冊表信息,確認攻擊者安裝了TntDrive客戶(hù)端,并將云存儲對象掛載到本地磁盤(pán)U(攻擊者上傳文件的共享目錄)。

    四、CobaltStrike分析

    原始powershell代碼使用powershell base64編碼:

    解碼后內容如下:

    進(jìn)行二次解碼,獲取到powershell真實(shí)代碼,功能為將腳本中的數據進(jìn)行異或,加載到內存中執行。此腳本為Cobaltstrike powershell形式的payload。

    將加載到內存中的內容恢復成二進(jìn)制文件,可以獲取到CS beacon的回連地址。通過(guò)回連地址發(fā)現,此shellcode是CS的SMB beacon,主要用于內網(wǎng)滲透。

    五、勒索樣本分析

    5.1 釋放本體

    樣本入口如下:

    會(huì )釋放出一個(gè)exe和一個(gè)dll到臨時(shí)目錄,并啟動(dòng)進(jìn)程MsMpEng.exe

    釋放的MsMpEng.exe文件本身無(wú)惡意功能,主要用于給Mpsvc.dll提供運行環(huán)境,病毒的所有行為都在該dll文件中。接口為Mpsvc.dll的導出函數ServiceCrtMain:

    導出函數ServiceCrtMain任務(wù)是:

    PE如下:

    還原PE標記,使用PE文件解析器可正常解析,但導入表被加密,后來(lái)發(fā)現病毒手動(dòng)調用要使用的API(動(dòng)態(tài)解密)。

    該PE文件為病毒本體,到此病毒本體釋放完成。

    病毒本體概覽:

    5.2 病毒配置表

    該勒索病毒有張配置表,該配置表單主要記錄了病毒加密行為以及勒索文本如下:

    文件目錄排除:

    “fld”:[“$windows.~bt”,”intel”,”google”,”windows”,”torbrowser”,”$windows.~ws”,”applicationdata”,”mozilla”,”windows.old”,”perflogs”,”appdata”,”msocache”,”boot”,

    “systemvolumeinformation”,”programfiles”,”programfiles(x86)”,”$recycle.bin”,”programdata”],

    文件排除:

    “fls”:[“thumbs.db”,”bootsect.bak”,”desktop.ini”,”ntldr”,”ntuser.dat”,”autorun.inf”,”iconcache.db”,”boot.ini”,”bootfont.bin”,”ntuser.ini”,”ntuser.dat.log”],

    文件擴展名排除:

    “ext”:[“exe”,”mod”,”shs”,”cpl”,”idx”,”diagcfg”,”ico”,”nomedia”,”sys”,”cmd”,”key”,”msp”,”msstyles”,”bin”,”rom”,”bat”,”cur”,”diagcab”,”ldf”,”dll”,”scr”,”hta”,”rtp”,”hlp”,”theme”,”msi”,”com”,”prf”,”spl”,”wpx”,”deskthemepack”,”diagpkg”,”mpa”,”icns”,”ps1″,”drv”,”ics”,”nls”,”adv”,”msu”,”cab”,”lnk”,”ocx”,”ani”,”themepack”,”icl”,”msc”,”386″,”lock”]},

    文件目錄移除:

    “wfld”:[“backup”],

    停用服務(wù)清單:

    “prc”:[“mydesktopqos”,”thebat”,”synctime”,”onenote”,”mspub”,”dbsnmp”,”isqlplussvc”,”tbirdconfig”,”oracle”,”xfssvccon”,”wordpad”,”agntsvc”,”sqbcoreservice”,”ocautoupds”,”firefox”,”msaccess”,”thunderbird”,”excel”,”outlook”,”encsvc”,”visio”,”powerpnt”,”ocomm”,”steam”,”mydesktopservice”,”ocssd”,”sql”,”winword”,”dbeng50″,”infopath”]

    殺死服務(wù)清單:

    “svc”:[“veeam”,”sql”,”svc$”,”backup”,”sophos”,”vss”,”memtas”,”mepocs”]

    勒索文本:

    [+] Whats Happen? [+]

    Your files are encrypted, and currently unavailable. You can check it: all files on your system has extension u89416xh.

    By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).

    [+] What guarantees? [+]

    ………………………………..

    并且病毒會(huì )判斷所感染計算機使用的語(yǔ)言,如下:

    使用函數GetUserDefaultUILanguage,GetSystemDefaultUILanguage返回的ID和列表框中的ID不同,那么為感染目標,通過(guò)此處來(lái)看修改非目標計算機語(yǔ)言可排除感染該病毒。病毒會(huì )創(chuàng )建互斥體確保唯一運行,病毒會(huì )多次檢查自己的句柄權限是否為管理員權限,如果權限不夠將會(huì )重新以管理員權限重新啟動(dòng)自己,并且激活相關(guān)權限。

    5.3 主體功能

    5.3.1 本地加密

    病毒實(shí)際的行為是在Sub_F4476F_Start函數中,如下:

    病毒首先清空回收站,關(guān)閉清單中的相關(guān)服務(wù),殺死清單中進(jìn)程,然后在激活相關(guān)權限的情況下,開(kāi)始加密功能。主要使用FindFirstFile 和FindNextFile來(lái)查找所有文件,使用salsa20+AES的算法進(jìn)行文件加密。

    在加密的過(guò)程如果發(fā)現文件為目標感染文件,但被進(jìn)程占用,病毒會(huì )調用terminateProcesss結束相關(guān)進(jìn)程,再進(jìn)行加密。

    加密函數如下:

    網(wǎng)絡(luò )磁盤(pán)加密

    病毒也會(huì )同時(shí)對網(wǎng)絡(luò )磁盤(pán)中的文件進(jìn)行加密,如下:

    5.3.2 嘗試加密局域網(wǎng)共享文件

    在加密的過(guò)程中病毒有枚舉局域網(wǎng)計算機的行為,主要是查找局域網(wǎng)共享,嘗試加密共享文件。

    5.4 顯示桌面勒索背景

    在加密功能完成以后會(huì )通過(guò)設置注冊表設置桌面背景為勒索圖片。

    六、勒索軟件防范建議

    • 加強企業(yè)員工安全意識培訓,不輕易打開(kāi)陌生郵件或運行來(lái)歷不明的程序;
    • 盡量排除危險端口對外開(kāi)放,利用IPS、防火墻等設備對危險端口進(jìn)行防護(445、139、3389等);
    • 開(kāi)啟Windows系統防火墻,通過(guò)ACL等方式,對RDP及SMB服務(wù)訪(fǎng)問(wèn)進(jìn)行加固;
    • 通過(guò)Windows組策略配置賬戶(hù)鎖定策略,對短時(shí)間內連續登陸失敗的賬戶(hù)進(jìn)行鎖定;
    • 加強主機賬戶(hù)口令復雜度及修改周期管理,并盡量排除出現通用或規律口令的情況;
    • 修改系統管理員默認用戶(hù)名,排除使用admin、administrator、test等常見(jiàn)用戶(hù)名;
    • 安裝具備自保護的防病毒軟件,防止被黑客退出或結束進(jìn)程,并及時(shí)更新病毒庫;
    • 及時(shí)更新操作系統及其他應用的高危漏洞安全補;
    • 定時(shí)對重要業(yè)務(wù)數據進(jìn)行備份,防止數據破壞或丟失。

    七、產(chǎn)品防護

    針對此類(lèi)事件,綠盟科技網(wǎng)絡(luò )入侵防護/檢測系統(IPS/IDS)、綜合威脅探針(UTS)與下一代防火墻 (NF)已發(fā)布規則升級包。請相關(guān)用戶(hù)升級至最新版本規則,以形成安全產(chǎn)品防護能力。產(chǎn)品規則版本號如下:

    產(chǎn)品 升級包版本 升級包下載鏈接
    IPS/IDS規則包 5.6.9.25418 5.6.10.25418 5.6.11.25418 http://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.9 http://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.10 http://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.11
    UTS規則包 5.6.10.25418 http://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.0
    NF規則包 6.0.1.850 6.0.2.850 http://update.nsfocus.com/update/listNewNfDetail/v/rule6.0.1 http://update.nsfocus.com/update/listNewNfDetail/v/rule6.0.2

    八、IOCs

    835f242dde220cc76ee5544119562268

    7d1807850275485397ce2bb218eff159

    8cc83221870dd07144e63df594c391d9

    主機特征:

    %TEMP%\MsMpEng.exe

    %TEMP%\Mpsvc.dl

     
     
     
    合作伙伴
    微軟中國 | 聯(lián)想集團 | IBM | 蘋(píng)果電腦 | 浪潮集團 | 惠普中國 | 深信服 | 愛(ài)數軟件 | 華為
    六安市永辰科技有限公司 版權所有 © Copyright 2010-2021 All Rights 六安市淠望路103號 最佳瀏覽效果 IE8或以上瀏覽器
    訪(fǎng)問(wèn)量:2730559    皖I(lǐng)CP備11014188號-1
    国产女人18毛片水真多18精品| 最美情侣中文版| 樱桃熟了a级毛片| 噼里啪啦免费高清看| 三年片免费观看影视大全| 一边摸一边抽搐一进一出视频| 无码一区二区| 成人网站免费观看|