查看原文
其他

针对工控的勒索软件Cring样本分析

安天CERT 安天 2021-07-05
点击上方"蓝字"关注我们吧!

01概述
工业企业网络环境主要由工业控制网络和信息网络组成。通常企业信息网络会接入互联网,因此会受到互联网环境中勒索软件的攻击。如果企业信息网与工业控制网络直接或间接连接,勒索软件可能会通过企业信息网络或摆渡方式传播到工控网络中,从而感染工业控制系统。勒索软件加密计算机磁盘中的文件,就会影响到工业企业中信息系统和工业控制系统的正常运行,最终造成工业企业经济层面和信誉上的损失。所以工业企业应当重视对勒索软件的防护。


近年来,针对工业控制系统的勒索软件增长迅速,其中以Sodinokibi、Ryuk和Maze为首的勒索软件家族最为猖獗。近日,安天CERT发现一起入侵工业控制系统并最终投放勒索软件的攻击事件,此次事件影响了欧洲一些国家的工业企业,其工业控制环境的服务器被加密,导致工控业务系统临时关闭。经过分析,该起攻击事件归属于一个新的勒索软件家族Cring(也被称为Crypt3r,Vjiszy1lo,Ghost,Phantom等)。该勒索软件最早出现于2020年末,使用AES256+RSA8192算法加密受害者的数据,要求支付2个比特币作为赎金才能恢复数据。攻击者利用CVE-2018-13379漏洞进行攻击,一旦获取系统中的访问权限后,会下载Mimikatz和Cobalt Strike进行横向移动和远程控制,最终下载Cring勒索软件并执行。工业控制系统是国家基础设施的重要组成部分,也是工业基础设施的核心,被广泛用于炼油、化工、电力、电网、水厂、交通、水利等领域,其可用性和实时性要求高,系统生命周期长,一旦受到勒索软件的影响,不仅会导致大面积停产,也会产生更广泛的负面社会效应。


02Cring勒索软件对应的ATT&CK的映射图谱

该勒索软件技术特点分布图:


图 2‑1  技术特点对应ATT&CK的映射


具体ATT&CK技术行为描述表:

表 2‑1  ATT&CK技术行为描述表


03样本分析

3.1 样本标签


表3‑1  二进制可执行文件

3.2 攻击流程

攻击者利用FortiGate VPN服务器中的CVE-2018-13379漏洞获取访问工控网络的权限,如未打补丁的FortiGateVPN设备会受到目录遍历攻击,攻击者可以利用该遍历攻击访问FortiGateSSL VPN设备上的系统文件。未经身份验证的攻击者可以通过互联网连接到该设备,从而远程访问文件“sslvpn_websession”,该文件中包含用于访问VPN的用户名和密码(均以明文形式存储)。在攻击者拿到访问VPN的用户名和密码并获取工控网络的第一个系统权限后,会下载Mimikatz工具并使用该工具窃取以前登录的Windows用户的账户凭据 。通过此种方法可以获取到域控管理员的凭据,然后通过该凭据将CobaltStrike框架的PowerShell脚本分发到其他系统中。PowerShell脚本解密有效载荷为Cobalt Strike Beacon后门,该后门为攻击者提供了对受感染系统的远程控制能力。在获得对受感染系统的控制后,攻击者使用cmd脚本将Cring勒索软件下载到系统中,并使用PowerShell启动加密整个系统。

图 3‑1  攻击流程


3.3 样本分析

该样本首先会使用名为“kill.bat”的批处理脚本执行一系列系统命令,其中包括暂停BMR Boot和NetBackup BMR服务,配置SQLTELEMETRY和SQLWriter等服务为禁用状态,结束mspub.exe、mydesktopqos.exe和mydesktopservice.exe进程,删除特定扩展名的备份文件,并且如果文件和文件夹的名称以“Backup”或“backup”开头,则还会删除位于驱动器根文件夹中的文件和文件夹,该脚本在执行后会删除自身。


图 3‑2  kill.bat文件

表3‑2  结束相关进程和服务


样本检测带参数执行,如未带参数执行,则执行完kill.bat后退出。如带参数“cc”执行,则开始全盘遍历文件并加密,最后释放勒索信并使用批处理脚本删除自身。


图 3‑3  样本带参数执行

加密以下扩展名文件:.vhdx、.ndf、.wk、.xlsx、.txt、.doc、.xls、.mdb、.mdf、.sql、.bak、.ora.pdf、.ppt、.dbf、.zip、.rar  、.aspx、.php 、.jsp、.bkf、.csv。全盘遍历目录获取文件。

图 3‑4  全盘遍历

使用AES算法加密受害者系统上的文件。


图 3‑5  AES算法加密文件

使用RSA公钥加密AES私钥。


图 3‑6  加密文件

RSA公钥大小为8192位,具体公钥值如下。


图 3‑7  RSA公钥被加密的文件会在原文件名后追加后缀".cring"。

图 3‑8  追加后缀名

创建名为“deReadMe!!!.txt”的勒索信,大致内容为需要支付2个比特币才能解密文件,攻击者在勒索信中还提供了邮箱作为联系的唯一手段。

图 3‑9  创建勒索信

勒索后使用名为“killme.bat”批处理文件删除自身。


图 3‑10  删除自身


04IoCs

MD5

c5d712f82d5d37bb284acd4468ab3533(Cring可执行程序)317098d8e21fa4e52c1162fb24ba10ae(Cring可执行程序)

44d5c28b36807c69104969f5fed6f63f(downloader脚本)

参考资料

1. Vulnerability in FortiGate VPNservers is exploited in Cring ransomware attackshttps://ics-cert.kaspersky.com/reports/2021/04/07/vulnerability-in-fortigate-vpn-servers-is-exploited-in-cring-ransomware-attacks/


往期回顾

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存