更多安天智甲防御案例请戳:
☞ 勒索“达世币”的GandCrab勒索软件更新V2版本,安天智甲有效防护
☞ GandCrab勒索软件着眼“达世币”,安天智甲有效防护
☞ 警惕GlobeImposter勒索软件,安天智甲有效防护
其他
FIN6组织针对性勒索行动频发,安天智甲有效防护
概述
自2019年1月起,安天CERT持续监测发现多起目标为大型企业或组织的针对性勒索软件攻击事件。攻击者所使用的勒索软件为LockerGoga,而在LockerGoga之前,另一勒索软件Ryuk同样针对大型企业发起了多次定制攻击。
安天CERT通过多维度的关联分析,揭示了勒索软件LockerGoga与Ryuk之间的关联性与同源性,确定了两个勒索软件的运营者为同一组织。分析人员在相关威胁情报分析中发现,FIN6组织针对POS系统攻击活动的相关IP与LockerGoga勒索活动部分重合,攻击活动中使用的stager为同一类型,据此确定LockerGoga与Ryuk勒索活动的运营者同为FIN6组织。同时,分析人员通过对FIN6组织针对性勒索活动展开关联分析,揭示了FIN6组织针对大型企业或组织的勒索行动的攻击链路。
经验证,安天智甲终端防御系统(英文简称IEP,以下简称安天智甲)可实现对FIN6组织常用勒索软件LockerGoga、Ryuk的有效防护。
FIN6组织系列针对性勒索事件回顾
企业介绍:法国亚创集团成立于1982年,是一家提供创新和工程咨询服务的全球性公司,业务遍布全球30多个国家,涉及汽车、通信、生命科学、航空航天、国防、能源、金融和铁路等行业。
事件回顾:2019年1月24日,攻击者利用LockerGoga勒索软件对亚创集团进行了勒索攻击。2019年1月28日,亚创集团发布声明,称技术专家正在对此次勒索事件进行取证跟进。受此次勒索事件影响,亚创集团暂停了全球多项业务[3]。
图2-1 亚创集团针对勒索事件发布的声明
此次勒索事件涉及到的样本标签如表2-1所示。
表2-1 LockerGoga样本信息
感染勒索软件后,LockerGoga作者要求受害公司通过邮箱联系,支付比特币来解密文件。联系邮箱为CottleAkela@protonmail.com和QyavauZehyco1994@o2.pl,被加密文件后缀为.lock。
图2-2 亚创集团勒索事件中的勒索信
企业介绍:挪威海德鲁公司创建于1905年,主要经营石油、能源、轻金属(铝、镁)、石化产品、水电及设备、工业用化学品等,是世界最大的综合性铝业集团之一。
事件回顾:海德鲁公司于2019年3月19日举行新闻发布会,称3月18日午夜,公司遭到勒索软件攻击,致使主机死机,导致生产业务中断。参会的NorCERT(挪威的国家应急响应中心)代表称此次攻击事件是由一个名为LockerGoga的勒索软件发起的,可能涉及到对海德鲁公司的Active Directory系统的攻击。
该事件所涉及到的样本标签如表2-2所示。
表2-2 LockerGoga样本信息
此次勒索事件中,攻击者使用了与亚创勒索事件中不同的联系邮箱DharmaParrack@protonmail.com、wyattpettigrew8922555@mail.com。
图2-3 海德鲁公司勒索事件中的勒索信
事件回顾:英国警察联合会于2019年3月21日在Twitter上发表声明,称其萨里总部的计算机在3月9日遭受到勒索软件的攻击,几个数据库和电子邮件系统被加密,备份数据也被删除,导致其服务中断[4]。
图2-4 英国警察联合会的声明
根据英国国家网络安全中心发布的预警信息,可以得知此次攻击事件中的勒索软件为LockerGoga。
企业介绍:迈图高新材料集团是全球第二大的有机硅产品及其关联产品的生产商,瀚森化工是一家特种树脂和先进材料的全球领先企业,这两家企业于2010年9月14日宣布合并。
事件回顾:这两家化学公司2019年3月12日遭到LockerGoga勒索软件攻击,迈图称其公司的Windows计算机出现了蓝屏并且文件被加密,受勒索软件攻击的计算机上的数据可能已经丢失。瀚森员工拒绝提供更多关于攻击的信息[5]。
FIN6组织勒索行动关联分析
FIN6组织于2016年首次被FireEye曝光,当时该组织主要针对POS系统,使用Grabnew后门和Framework POS恶意软件窃取了超过1万张支付卡详细数据。但是,自2018年8月起,受高额赎金的经济利益驱使,FIN6组织逐渐将其目标转向大型企业和组织,进行针对性的勒索活动。表3-1是安天内部威胁情报平台给出的FIN6组织画像。
表3-1 FIN6组织画像
归属于FIN6组织的LockerGoga与Ryuk勒索软件存在诸多相似之处,其中比较显著的特点就是针对大型企业或组织执行定制化的勒索活动。Ryuk勒索软件最早出现在2017年12月,早期攻击活动中使用暴露的BTC地址与受害者沟通,后期改为电子邮件的方式进行沟通。LockerGoga勒索软件最早出现在2019年1月,采用电子邮件的方式与受害者进行沟通。Ryuk勒索活动初期需要借助银行木马TrickBot和Emotet才能够传播,但随着Ryuk勒索软件的不断更新,攻击者无需借助其他装备也能够在企业内部署Ryuk勒索软件,而LockerGoga也借鉴了Ryuk勒索软件的部分策略、技术和程序。
表3-2 LockerGoga和Ryuk勒索活动的相似之处
LockerGoga和Ryuk勒索活动的详细对比内容如下:
1. 二者使用同名批处理文件kill.bat结束进程、停止反病毒引擎服务以及删除备份。
图3-1 LockerGoga和Ryuk的kill.bat对比
2. 根据所捕获的IP来看,二者在攻击过程中都使用了CobaltStrike/Powershell Empire/meterpreter。
3. 二者勒索信有多处相似之处。
(1). LockerGoga勒索信中的联系邮箱多为***@protonmail.com和***@oz.pl,Ryuk在勒索信中的联系邮箱为***protonmail.com和***@tutanota.com。
(2). 勒索信部分内容对比。
图中黄色部分为相似之处。
图3-2 LockerGoga和Ryuk勒索信部分对比
这里值得注意的一点是,尽管FIN6组织将目标转向定制化的勒索活动,但并没有放弃针对POS系统的攻击。在2019年2月27日MORPHISEC 实验室发布的《针对POS系统的全球攻击》报告中[6],涉及近期FIN6组织针对POS系统的攻击事件,而针对POS系统攻击活动中的相关IP与FIN6组织入侵工业产业并部署LockerGoga活动中的IP存在部分重合。
表3-3 针对POS系统攻击活动相关IP与LockerGoga重合部分
经过验证,这些IP的whios信息在近一年没有更改,因此,可以判定IP的所有者没有更改。同时报告中所展示的poweshell stager与LockerGoga事件中攻击者所使用的stager为同一类型,详见图3-3。报告中也提到了这些特征属于FIN6组织(WMI/PowerShell、FrameworkPOS、横向移动和权限提升)。
图3-3 针对POS与勒索软件的关联分析
综上所述,攻击者运营LockerGoga的动机(向大型企业勒索比特币获利)、战术(防御规避、账户发现、横向移动)、技术(powershell脚本下载payload、使用psexec分发勒索软件并运行、使用kill.bat进行防御规避)、以及过程(详见图3-4)都与Ryuk十分相似,因此安天CERT可以确定LockerGoga和Ryuk的运营者为同一组织,并将其归因于APT组织FIN6。
随着FIN6组织勒索活动策略和技术的提升,目前已经无需借助其他装备进行勒索软件的传播。近期的活动中,攻击者利用暴露在互联网中的服务器作为攻击入口,利用外网服务器远程登录到内网服务器,借助开源渗透工具实现内网横移,向内网主机分发勒索软件,并使用有效签名规避反病毒监测和多进程技术规避沙箱检测。
图3-4 FIN6组织攻击流程/链路
攻击者在远程登录到内网服务器后,会安装Cobalt Strike、Powershell Empire以及Meterpreter来辅助攻击。攻击者利用提前存储在pastebin.com上的powershell命令,下载payload_1。Powershell所执行的命令经过压缩和base64编码,解密后如下图所示。该命令由Invoke-SMBWmi.ps1(https://gist.github.com/rvrsh3ll/7c2ece5f8d097fbe4c7a)修改而来,功能为利用powershell执行payload。payload_1又继续下载payload_2,由于payload_2大小为0字节,因此并未追踪到最终结果。
图3-5 解密后的powershell命令
攻击者会使用Adfind查询并收集活动目录(Active Directory)中存储的网络对象相关信息(包括用户名、主机名、子网以及组等)。
adfind.exe -f (objectcategory=person) > ad_users.txt adfind.exe -f objectcategory=computer > ad_computers.txt adfind.exe -f (objectcategory=organizationalUnit) > ad_ous.txt adfind.exe -subnets -f (objectCategory=subnet) > ad_subnets.txt adfind.exe -f "(objectcategory=group)" > ad_group.txt adfind.exe -gcb -sc trustdmp > ad_trustdmp.txt 7.exe a -mx3 ad.7z ad_* |
攻击者利用从活动目录中收集到的信息和一些已经掌握的口令信息,生成针对特定主机的批处理文件xa?.bat(xab.bat、xac.bat等)。批处理文件中命令如下。
start copy svchost.exe \\10.1.1.1\c$\windows\temp\start psexec.exe \\10.1.1.1 -u domain\domainadmin -p "password" -d -h -r mstdc -s -accepteula -nobanner c:\windows\temp\svchost.exe |
该命令将svchost.exe(勒索软件)拷贝到目标主机的共享文件夹c:\windows\temp\start,再利用psexec.exe连接目标主机,使用参数-r 指定psexec创建的服务名为mstdc(系统服务),然后运行勒索软件程序,加密目标主机文件。
▼
注:psexec通过指定的账户口令连接到远程主机,创建并启动psexesvc服务,psexesvc服务会创建新的命名管道,psexec连接至psexesvc创建的管道,将账号、口令以及要执行的命令发送至管道,psexesvc从管道接收这些信息,创建新的会话,执行命令[7]。
在部署勒索软件之前,攻击者会先在目标主机上执行kill.bat(MD5:595a37f59f4fe020876d4e1329e167d6),结束文档编辑器、数据库、邮箱客户端以及游戏客户端等常见进程,停止备份相关服务,停止反病毒引擎相关服务。kill.bat如下。
net stop "Acronis VSS Provider" /y net stop "Enterprise Client Service" /y net stop "Sophos Agent" /y …… sc config VeeamBackupSvc start= disabled sc config VeeamBrokerSvc start= disabled sc config VeeamCatalogSvc start= disabled …… taskkill /IM CNTAoSMgr.exe /F taskkill /IM Ntrtscan.exe /F taskkill /IM mbamtray.exe /F |
FIN6组织针对性勒索活动的过程
FIN6组织攻陷内网之后,会在内网中部署勒索软件,本小节以LockerGoga为例,阐述勒索软件的运行过程。LockerGoga勒索软件会根据不同的参数执行指定的操作。
表4-1 LockerGoga根据不同的参数执行不同的操作
LockerGoga以不同参数运行后都会进行提权操作。在使用参数-m启动后,会创建进程logoff.exe来进行会话注销,使用net.exe修改管理员账户口令以及其他用户口令,新口令为“HuHuHUHoHo283283@dJD”。在加密完成后枚举WiFi和以太网适配器,并试图禁用适配器来阻断主机与外网的连接。
图4-1 修改管理员账户口令
LockerGoga以参数-m启动后,会遍历文件,收集文件列表信息,然后以参数-i SM-originalname -s 创建自身子进程,使用子进程进行加密。其中SM-originalname为共享内存命名,本例中为SM- tgytutrc,样本通过创建共享内存的方式,从父进程向子进程传递要加密的文件路径。
图4-2 创建共享内存
图4-3 获取文件列表
以参数-i SM-originalname –s启动的进程会判断互斥量MX-originalname是否存在,若不存在则程序退出。子进程会从共享内存中读取base64编码的文件路径,解码后执行加密操作。样本使用AES算法加密文件,利用随机数生成AES密钥和初始化向量(IV),使用硬编码在样本中的RSA公钥加密AES密钥相关信息。样本中虽硬编码了文件类型,但实际加密过程中并未只加密硬编码在样本中的文件类型。使用RSA公钥加密数据的结构如下。
表4-2 RSA公钥加密数据的结构
图4-4 RSA公钥
加密后的数据会附加在加密文件结尾,结构如下。
图4-5 被加密文件尾部结构
LockerGoga会使用wevtutil.exe清除windows事件日志,语句如下。
"C:\Windows\System32\wevtutil.exe" cl Microsoft-Windows-WMI-Activity/Trace |
使用有效签名
LockerGoga的样本使用了有效的数字签名来规避反病毒引擎检测,涉及到的数字签名如表4-2所示。在这些签名未被撤回之前,LockerGoga在VT上的检出率极低。
表4-3 LockerGoga使用的数字签名
图4-6 数字签名有效时VT检出率
使用多进程加密文件
一些基于沙箱的检测系统对系统中进行写入操作的文件数量设置了一定的阈值,会监视进行写入操作的文件的数量并会将这些文件的扩展名进行关联。若LockerGoga使用同一进程进行文件加密操作,则极大可能会超过上述的阈值,并且其写入的文件扩展名都为“.lock”,很容易被该类沙箱视为异常操作。因此,LockerGoga使用多进程加密文件可能绕过该类检测技术[8]。
单个进程对大量文件进行加密时,会产生大量的I/O请求,可能会被基于过量I/O操作的检测系统检测到。LockerGoga使用多个进程进行加密操作,并且每个进程只加密少量的文件,控制了单个进程发出I/O请求的数量,便可以绕过该类检测技术[8]。
安天针对勒索软件的解决方案
安天建议企业客户针对勒索软件类的安全威胁防护可从预警、防御、保护、处置和审计几个步骤来进行有效防御和处理,保护系统免受攻击。
1. 将未知应用程序进行特征检测鉴定,对勒索行为进行动态实时监控,及时发现恶意程序与勒索行为并进行阻断。
2. 企业将具有重要价值的文件资源的主机设置为重要计算机或受限计算机,一旦勒索软件或其它可疑程序运行时,可以通过可信应用基线(白名单)检测的方式及时将其发现,并予以阻止。
3. 可采用安全文档措施保护具有重要价值的文件。
4. 通过云端追溯功能来对勒索软件进行全网追查,便于事后审计和定损。
面对勒索软件的盛行,为能更好的保障用户数据资产安全,安天智甲嵌入了多维度的防勒索能力,通过勒索行为感知、传输文件深度检测与管控、文档访问控制等方式,对勒索软件进行多维度的安全防护。
图1 安天智甲有效防勒索能力
图2 安天智甲有效防护FIN6攻击活动
安天智甲简介
安天智甲是一款面向政府、军工、能源、金融、交通、电信等各行业用户的企业级防护产品,产品集成了病毒检测查杀、系统加固、主动防御、介质管控、文档保护、行为画像等功能,并能有效与管理中心和安天态势感知产品互动,协助客户建立更全面的资产防护体系和风险认知能力,使态势感知能够有效落地。
► 安天智甲:更全面的场景应用——多场景支持、满足差异化需求
安天智甲不仅是一款终端防护产品,还能够以资产保障和威胁认知为视角,以形成有效的资产深度普查和端点画像为能力输出,并将数据同步至安天态势感知平台中,让用户对整个端点的资产一览无余。
► 安天智甲:更广阔的适配性——全面兼容国产化系统
► 安天智甲:更强大的功能——不仅仅是反病毒
► 安天智甲:更精准的威胁感知——3D可视化拓扑、感知全局态势
总结
从FIN6组织近期的攻击活动来看,其不仅在实施针对POS系统的攻击活动,同时也在运营勒索软件攻击活动。因此目前还不能简单给出FIN6组织的目标已经从POS系统逐渐转移到勒索活动这样的结论。不论是Ryuk勒索活动,还是LockerGoga勒索活动,FIN6组织都能够准确地定位目标,对目标网络中的关键信息系统实施定制化的勒索攻击,致使受害者蒙受巨大的经济和声誉损失。因此,大型企业或组织应该高度警惕和重视利用勒索软件实施的针对性勒索攻击,对于绑架用户数据的勒索软件而言,若没有可靠的事前防御和检测能力,面对已经被勒索软件加密的用户数据,侧重于保护系统安全的反病毒软件也无能为力。只有安装专门针对保护数据安全的工具或部署针对企业安全特点的安全产品,才能避免给勒索软件以可乘之机。安天建议企业客户除了及时进行漏洞修复,不要随意打开邮件附件之外,还要使用安全防护软件如安天智甲进行有效防护。