“ 2021年5月8日,美国最大燃油管道公司 Colonial Pipeline 宣称遭到勒索软件攻击,导致公司被迫主动关闭部分IT系统、暂停所有运输管道运行以控制威胁。由于该管道每天运输250万桶精炼燃料,并提供东海岸所需燃料的45%。因此美国政府对受勒索软件事件影响的18个州进入了紧急状态。5月10日,Colonial Pipeline 公司在与美国能源部磋商后,开始将部分管道重新上线,并计划逐步分阶段恢复服务。
”亚信安全威胁情报与数据湖团队长期关注并追踪大型网络安全攻击事件,通过情报系统的预警,第一时间深入调查、跟踪整理此次攻击事件,还原事件过程并进行了深入安全分析。
全美最大成品油输送管道的运营商Colonial Pipeline公司工业控制系统遭黑客勒索软件攻击,被迫全面暂停运营。
Colonial Pipeline发布声明称,为防止病毒扩散,Colonial Pipeline主动将关键系统进行脱机,并已经聘请美国麦迪安网络安全公司(Mandiant)调查网络攻击事件。
截止当日,管道主干线仍然中断,Colonial Pipeline公司尚未给出恢复日期。美国联邦政府交通部联邦汽车运输安全管理局宣布美国17个州和华盛顿特区进入紧急状态,以应对勒索软件的攻击。紧急声明临时给予了上述区域汽油、柴油、航空燃料和其他成品油的临时运输豁免,以便使燃料可以通过公路运输。
DarkSide组织发表新闻声明,称他们的组织与政府无关,我们的目标是赚钱,而不是给社会制造问题。
亚信安全威胁情报与核心技术团队基于公开信息及历史情报进行威胁狩猎与技术分析,发布威胁情报事件预警报告。
亚信安全核心防护引擎完成检测规则更新,已覆盖现有DarkSide攻击手段及常用工具的检测,并将持续追踪。
DarkSide勒索组织最早出现在2020-08月,该团伙是勒索软件即服务(RaaS)的代表。目前已经发布DarkSide2.0版本,以极快的加密速度而著称,目前具有 Windows 和 Linux 双平台攻击能力。
DarkSide公开表示,他们不攻击医院,学校,非营利组织和政府。据外媒报道,DarkSide的勒索软件本身还检查设备语言,以确保它们不会攻击俄罗斯目标。5月10日DarkSide勒索软件组织发布了一份声明,他们的目标是赚钱,而不是给社会制造问题。并声称会对会员的攻击目标进行评估、审核,以确保勒索攻击行为不会带来产生社会后果。亚信安全早在2019年的年报中就明确指出,RaaS就会成为未来恶意软件的趋势,这次DarkSide组织的勒索行为,恰恰印证了这点。DarkSide也拥有一个会员计划,该计划为任何帮助传播恶意软件的人提供10-25%的回报。DarkSide组织遵循双重勒索方式,即当受害者拒绝支付时,DarkSide会把受害者的数据泄露。赎金的需求范围在20万至200万美元之间,根据他们的网站,该组织已发布了40多个受害者的失窃数据。
DarkSide作为新晋的勒索软件组织的一员,虽然其攻击方式具有很大的创新性,但是其攻击战术仍然是有迹可循,接下来我们详细分析其攻击战术点。DarkSide勒索软件在早期阶段攻击活动采用极其隐蔽的技术,该点令人耳目一新。DarkSide在攻击之前会实施仔细的事前侦察,并采取措施确保其攻击工具和技术能够逃避对受监视设备和端点的检测。该隐蔽攻击大概包含以下几个措施:DarkSide在实施完上述的隐蔽实施阶段后,获取受害者的信息后,开始实施真正的攻击:隐蔽阶段的攻击策略是DarkSide勒索软件非常重要的组成部分。在该阶段,DarkSide隐蔽自己行为,类似于一个隐蔽特工一般,在感染主机默默收集被攻击主体的各种有价值信息,该信息被通过后续的攻击阶段消费,下文详细描述其隐藏阶段的攻击策略:DarkSide将通过Tor将HTTPS协议的443端口流量重定向到本地动态端口,因此上述加密流量与正常的Web流量是无法区分的。这些连接是持久的,所以攻击者可以建立持久RDP会话,并通过受到攻击的主机,横向移动,获取其他主机控制权。
我们观察到威胁行为者使用许多帐户登录虚拟桌面环境,有时并发登录。每次威胁参与者登录时,都会在受感染用户的主文件夹中创建.lnk文件。.lnk文件活动有助于确定哪些帐户和VDI环境已受到威胁,以及何时在攻击中使用了每个帐户。被DarkSide感染且激活Windows服务器充当了发起渗透之前存储数据的中心。该批处理位于\ Desktop \ Dump目录中,名称是dump.bat,其能够从数百台服务器中提取数据,将文件写入同一位置,并使用简单的命名约定*.7z.[001]-[999]。DarkSide获取了特权,并且提升了对文件系统的权限,同时将其打开,以便可以使用任何域用户帐户访问文件。攻击者在收集后的数小时内删除了批处理文件,目标数据和存档。在网络中获得初步立足点之后,攻击者开始收集有关环境和公司的信息。如果事实证明潜在目标是攻击者的受攻击组织(即医院,收容所,学校,大学,非营利组织或政府机构),则他们不会继续进行攻击。如果不在禁止列表中,则攻击者将继续执行此操作:攻击者已经通过隐蔽阶段收集文件、凭据和其他敏感信息,并将其回传。攻击者使用PowerShell通过“ DownloadFile”命令将DarkSide二进制文件下载为“ update.exe”,并在此过程中滥用Certutil.exe和Bitsadmin.exe:
【使用DownloadFile命令下载DarkSide勒索软件二进制文件】
【使用Certutil.exe下载DarkSide勒索软件二进制文件】除了将DarkSide二进制文件下载到C:\Windows和临时目录之外,攻击者还在受感染的计算机上创建一个共享文件夹,并使用PowerShell在此处下载恶意软件的副本。亚信安全高级威胁检测与响应系统(EDR)使用Indicator of Attack 技术对于未知威胁进行检测, 针对APT 攻击的各个阶段有效的布控检测点, 让黑客无处遁形。 在成功获得环境中一台计算机的立足点之后,攻击者开始在环境中横向移动,其主要目标是征服域控制器(DC)。一旦攻击者到达DC,他们便开始收集其他敏感信息和文件,包括转储存储目标密码的SAM配置单元。除了从DC收集数据外,攻击者还使用PowerShell从先前感染的主机上创建的共享文件夹中下载DarkSide二进制文件:
攻击者还使用DC上的公司名称创建共享文件夹,然后复制DarkSide二进制文件。在攻击的稍后部分,在所有数据都被泄露之后,攻击者使用bitsadmin.exe将勒索软件二进制文件从共享文件夹分发到环境中的其他资产,以最大程度地发挥破坏作用。为了在DC上执行勒索软件,攻击者创建了一个名为“ Test1”的计划任务,该任务配置为执行勒索软件。当DarkSide勒索软件首次在受感染的主机上执行时,它将使用GetSystemDefaultUILanguage和GetUserDefaultLangID函数检查系统上的语言,以避免对位于前苏联Bloc国家的系统进行加密:
【调试勒索软件-检查安装的语言是否为俄语(419)】
在安装了以下语言的系统上,该恶意软件不会加密文件:
然后,DarkSide继续停止与安全和备份解决方案有关的以下服务:
调试勒索软件-停止服务,并建立与硬编码C2的连接然后,它创建与其C2(命令和控制)服务器的连接,并且在所分析的不同样本中,攻击者使用不同的IP地址。
卸载卷影复制服务(VSS)之后,DarkSide然后通过启动使用WMI删除的模糊PowerShell脚本来删除卷影副本:
DarkSide为受害者创建一个唯一的User_ID字符串,并将其添加到加密文件扩展名中,如下所示:<File_name>.{userid}。此外,该恶意软件还更改了加密文件的图标并更改了桌面背景:
当然,它还留下了赎金字样:“ README.{userid}.TXT”。亚信安全高级威胁检测与响应系统(EDR), 支持IOA 与IOC技术对于高级威胁进行检测,及时向用户推送热点事件的检测特征码。
依托IOA规则及高清记录能力, 在黑客攻击的各个阶段进行持续检测。
结合亚信安全推出的勒索狩猎专项筛查服务,基于终端产品组件所产生并提供的勒索事件威胁线索,以及EDR产品的IOA和IOC,可有效地检测用户环境中的勒索迹象。同时亚信安全服务专家根据使用EDR高效工具,根据勒索事件的威胁线索进行关联分析形成的经验,编写了《勒索狩猎专项筛查报告》,协助用户进行勒索攻击的威胁狩猎。
基于上述分析,我们给出如下建议,客户必须严肃认真对待此类APT勒索攻击事件,建立一个层次化、立体化的网络安全防护体系。我们推荐采用亚信安全的XDR解决方案,建立基于ATT&CK框架的威胁研判能力,协助企业在数字化转型的过程中,将安全能力融入业务流程,打造坚不可破的网络安全防护体系。 行业热点:
突发!勒索攻击致美国多州进入紧急状态,关基安全敲响警钟
亚信安全 “威胁狩猎服务” 开辟高级网络威胁治理新赛道
威胁狩猎服务 | “深度体检+专项筛查”灵魂拷问威胁入侵
终端安全 | 终端准入:违规不入网,入网必合规
了解亚信安全,请点击“阅读原文”