penArk 是一款免費(fèi)的 Windows 平臺(tái)上的開(kāi)源 Ark 工具,主要用于對(duì)抗惡意軟件(Anti-Rootkit)。該工具旨在為逆向工程師、程序員以及希望清除惡意軟件的用戶提供服務(wù)。它提供了多種功能,包括進(jìn)程查詢、內(nèi)核工具、程序編寫助手等,并且支持 Docker 化和 Kubernetes 集成。
具體來(lái)說(shuō),OpenArk 提供了以下主要功能:
此外,OpenArk 支持多版本的 Windows 操作系統(tǒng),從 WinXP 到 Win11 都可以使用。該工具是開(kāi)源的,用戶可以免費(fèi)使用并參與源代碼的改進(jìn)。未來(lái)還將支持更多功能和命令。
總之,OpenArk 是一個(gè)功能強(qiáng)大且免費(fèi)的 Windows 系統(tǒng)工具箱,特別適合需要進(jìn)行逆向工程、編程或清理惡意軟件的用戶。
★★★★★系統(tǒng)工具箱:https://pan.quark.cn/s/92543541f534
您已經(jīng)了解了很多關(guān)于人類操作的勒索軟件的知識(shí),對(duì)它們的攻擊過(guò)程和應(yīng)對(duì)措施有了不錯(cuò)的理解,并理解為什么恰當(dāng)應(yīng)對(duì)事件如此重要。
但要有效地應(yīng)對(duì)事件,僅僅了解攻擊生命周期是不夠的,因?yàn)楣粽咄ǔ?huì)使用各種戰(zhàn)術(shù)、技術(shù)和程序(TTP)來(lái)實(shí)現(xiàn)他們的目標(biāo)。
勒索軟件即服務(wù)(RaaS)的存在使情況更加復(fù)雜,因?yàn)槭褂眠@些程序的攻擊中可能涉及許多關(guān)聯(lián)方,即使是同一種勒索軟件變種,不同參與者的TTP也可能顯著不同。
本章將幫助您詳細(xì)了解攻擊者在攻擊生命周期的各個(gè)階段的行為(基于MITRE ATT&CK)。具體來(lái)說(shuō),我們將討論以下主題:
獲取目標(biāo)網(wǎng)絡(luò)的初始訪問(wèn)權(quán)限是任何入侵的必要部分,勒索軟件攻擊也不例外。
由于勒索軟件攻擊中涉及的攻擊者種類繁多,事件響應(yīng)專家可能會(huì)在工作中遇到幾乎任何技術(shù)。
盡管如此,勒索軟件運(yùn)營(yíng)者最常用的一種技術(shù)是破解外部遠(yuǎn)程訪問(wèn)服務(wù),如遠(yuǎn)程桌面協(xié)議(RDP),所以我們將從這里開(kāi)始。
使用外部遠(yuǎn)程訪問(wèn)服務(wù)的攻擊者非常普遍。例如,根據(jù)Group-IB的《勒索軟件2020/2021》報(bào)告,超過(guò)50%的勒索軟件攻擊是從公開(kāi)的RDP服務(wù)器入侵開(kāi)始的。COVID-19大流行加劇了這一問(wèn)題,許多公司不得不為遠(yuǎn)程員工創(chuàng)建工作站,這進(jìn)一步削弱了全球服務(wù)器的防護(hù)。
遠(yuǎn)程桌面服務(wù)的默認(rèn)端口是3389。如果我們使用Shodan等搜索連接到互聯(lián)網(wǎng)的設(shè)備的搜索引擎,可以看到成千上萬(wàn)這樣的服務(wù)器,這也是為什么攻擊這些服務(wù)器成為最常見(jiàn)技術(shù)之一的原因(見(jiàn)圖5.2)。
圖5.1. 公開(kāi)RDP服務(wù)器的登錄界面
圖5.2. Shodan的搜索結(jié)果
如圖所示,僅在美國(guó)就有超過(guò)150萬(wàn)個(gè)這樣的服務(wù)器。
不難理解為什么這種技術(shù)如此普遍,也不難理解為什么美國(guó)的組織常常成為各種勒索軟件的受害者。
如何獲得公開(kāi)的RDP服務(wù)器的訪問(wèn)權(quán)限?最常見(jiàn)的方法是暴力破解攻擊,即通過(guò)字典進(jìn)行最常見(jiàn)密碼的全盤嘗試。奇怪的是,這種方法相當(dāng)有效。
通常,攻擊者首先使用masscan掃描互聯(lián)網(wǎng),尋找公開(kāi)的RDP服務(wù)器,然后使用NLBrute等工具進(jìn)行暴力破解攻擊。攻擊者甚至不需要自己做這些,他們可以在各種黑市和初始訪問(wèn)經(jīng)紀(jì)人那里購(gòu)買訪問(wèn)權(quán)限。
以下是一些這樣的黑市示例:
需要注意的是,獲得公開(kāi)的RDP服務(wù)器訪問(wèn)權(quán)限可能只需花費(fèi)幾美元。
圖5.3. UAS RDP Shop出售的RDP服務(wù)器
RDP并不是攻擊者使用的唯一外部遠(yuǎn)程訪問(wèn)服務(wù)類型。另一種非常常見(jiàn)的類型是通過(guò)虛擬專用網(wǎng)絡(luò)(VPN)獲得訪問(wèn)權(quán)限。
在這種情況下,勒索軟件運(yùn)營(yíng)者也可能通過(guò)暴力破解攻擊獲得VPN憑證,或者利用軟件漏洞。我們將在下一節(jié)“利用公開(kāi)應(yīng)用程序(T1190)”中討論這一點(diǎn)。
如同RDP訪問(wèn),這種類型的訪問(wèn)也可以從初始訪問(wèn)經(jīng)紀(jì)人那里獲得。圖5.4展示了一個(gè)俄語(yǔ)地下論壇上的相關(guān)廣告。
圖5.4. Group-IB威脅情報(bào)平臺(tái)上的俄語(yǔ)地下論壇廣告
如圖所示,通過(guò)外部遠(yuǎn)程服務(wù)獲得初始訪問(wèn)權(quán)限非常簡(jiǎn)單,尤其是在COVID-19大流行期間。但這并不是唯一的方法。讓我們討論另一種常見(jiàn)技術(shù)——利用公開(kāi)應(yīng)用程序。
在勒索軟件攻擊中,利用公開(kāi)應(yīng)用程序是另一種常見(jiàn)的技術(shù)。
您已經(jīng)知道,勒索軟件運(yùn)營(yíng)者常常攻擊RDP服務(wù)器:他們可以進(jìn)行暴力破解攻擊,或者干脆在黑市或初始訪問(wèn)經(jīng)紀(jì)人那里購(gòu)買訪問(wèn)權(quán)限。
但他們也可以利用RDP實(shí)現(xiàn)中的漏洞遠(yuǎn)程執(zhí)行代碼,例如BlueKeep(CVE-2019-0708)。已知該漏洞至今仍在被積極利用,尤其是與LockBit勒索軟件有關(guān)的人。
同樣,攻擊者也利用多種漏洞獲得VPN訪問(wèn)權(quán)限。我們來(lái)看看一些最常見(jiàn)的漏洞。
Fortinet、FortiOS和FortiProxy中的漏洞(CVE-2018-13379)允許各種勒索軟件運(yùn)營(yíng)者訪問(wèn)系統(tǒng)文件,包括包含憑證的文件,以便之后使用這些憑證獲得VPN訪問(wèn)權(quán)限。
Pulse Secure Pulse Connect Secure中的另一個(gè)漏洞(CVE-2019-11510)也是一種文件讀取漏洞,允許攻擊者獲取私鑰和用戶密碼。該漏洞被與REvil勒索軟件相關(guān)的人積極利用。
最后,SonicWall SMA100中的漏洞(CVE-2019-7481)也被HelloKitty勒索軟件運(yùn)營(yíng)者積極利用。
當(dāng)然,攻擊者利用的初始訪問(wèn)漏洞不限于RDP和VPN。例如,Clop勒索軟件運(yùn)營(yíng)者利用了Accellion FTA中的漏洞:
這些漏洞允許攻擊者將web shell上傳到易受攻擊的服務(wù)器,并利用它們進(jìn)行數(shù)據(jù)盜竊,因?yàn)楣臼褂肁ccellion FTA來(lái)安全傳輸大文件。
另一個(gè)被勒索軟件運(yùn)營(yíng)者利用的漏洞是Citrix Application Delivery Controller(ADC)和Gateway中的漏洞(CVE-2019-19781)。該漏洞允許攻擊者在目標(biāo)服務(wù)器上執(zhí)行命令。
最后,2022年,攻擊者利用了Microsoft Exchange服務(wù)器中的漏洞,包括ProxyLogon(CVE-2021-26855)和ProxyShell(CVE-2021-34473, CVE-2021-34523和CVE-2021-31207)。
勒索軟件攻擊者將這些漏洞添加到他們的工具庫(kù)中。例如,與Conti相關(guān)的人利用ProxyShell漏洞在目標(biāo)服務(wù)器上加載web shell,以便在后期利用階段執(zhí)行進(jìn)一步的操作。
公開(kāi)的服務(wù)器和應(yīng)用程序是勒索軟件運(yùn)營(yíng)者的熱門目標(biāo),但它們的數(shù)量通常不多。此外,它們可能安裝了最新的安全更新并/或使用強(qiáng)密碼。因此,攻擊者不得不尋找其他薄弱環(huán)節(jié),例如企業(yè)網(wǎng)絡(luò)中的普通用戶。在這種情況下,網(wǎng)絡(luò)釣魚(yú)是合適的選擇。
歷史上,網(wǎng)絡(luò)釣魚(yú)一直是攻擊者獲取目標(biāo)網(wǎng)絡(luò)初始訪問(wèn)權(quán)限的最喜歡的方法之一。
目前,網(wǎng)絡(luò)犯罪分子經(jīng)常使用通過(guò)垃圾郵件發(fā)送的特洛伊木馬(或機(jī)器人)來(lái)實(shí)現(xiàn)這一目標(biāo)。這些惡意程序包括Bazar、Qakbot、Trickbot、Zloader、Hancitor和IcedID。
攻擊者通常通過(guò)電子郵件附件(如Microsoft Office文件、壓縮包中的腳本)或包含惡意鏈接的電子郵件發(fā)送這些惡意程序。
攻擊者在創(chuàng)建釣魚(yú)郵件時(shí)表現(xiàn)出驚人的創(chuàng)造力。有時(shí)這些郵件看起來(lái)非常可信,即使是安全專家也可能誤認(rèn)為是真實(shí)郵件。圖5.5展示了Hancitor運(yùn)營(yíng)者發(fā)送的釣魚(yú)郵件示例。
圖5.5. Hancitor運(yùn)營(yíng)者發(fā)送的垃圾郵件示例
點(diǎn)擊該釣魚(yú)鏈接,用戶將被引導(dǎo)到一個(gè)下載惡意Microsoft Office文檔的頁(yè)面。攻擊者并不總是通過(guò)鏈接發(fā)送郵件,有時(shí)他們會(huì)直接在郵件中附上感染文件。
圖5.6. Qakbot運(yùn)營(yíng)者發(fā)送的垃圾郵件示例
下載文件后,受害者需要打開(kāi)文件,并在大多數(shù)情況下啟用宏,以便惡意內(nèi)容被寫入磁盤或從攻擊者控制的服務(wù)器下載。這些惡意文檔通常會(huì)引導(dǎo)用戶啟用宏。
圖5.7. 惡意文檔內(nèi)容示例
受害者啟用宏后,惡意內(nèi)容就會(huì)被激活。然而,如果受害者的垃圾郵件防護(hù)做得很好,攻擊者要發(fā)送感染鏈接或附件并不容易。他們需要更加創(chuàng)造性地行動(dòng)——而他們做到了!
網(wǎng)絡(luò)犯罪團(tuán)伙Wizard Spider——Bazar、Trickbot、Ryuk、Conti和Diavol的運(yùn)營(yíng)者——使用含有付費(fèi)訂閱信息的釣魚(yú)郵件,并在郵件中提供電話號(hào)碼,受害者可以撥打該電話以取消訂閱。實(shí)際上并沒(méi)有訂閱——這是語(yǔ)音釣魚(yú)(vishing)。電話操作員引導(dǎo)受害者訪問(wèn)一個(gè)虛假網(wǎng)站,以下載取消訂閱所需的表格。圖5.8展示了一個(gè)虛假網(wǎng)站示例。
圖5.8. 虛假網(wǎng)站示例
這些虛假網(wǎng)站的唯一目的是交付惡意文檔。識(shí)別用戶是否遇到了語(yǔ)音釣魚(yú)嘗試相對(duì)簡(jiǎn)單。有時(shí)只需提出幾個(gè)澄清問(wèn)題并深入話題,詐騙者就會(huì)暴露。
另一個(gè)示例是惡意廣告。例如,Zloader運(yùn)營(yíng)者創(chuàng)建惡意廣告,如果受害者在Google中使用某些關(guān)鍵詞搜索,她將被重定向到攻擊者控制的網(wǎng)站,網(wǎng)站上托管了惡意文件。
圖5.9. 傳播Zloader的虛假網(wǎng)站示例
有時(shí),攻擊者會(huì)使用更復(fù)雜的初始訪問(wèn)技術(shù),如供應(yīng)鏈攻擊。
供應(yīng)鏈攻擊通常需要更多的努力。雖然這些攻擊非常有利可圖,但它們并不常見(jiàn),少有人聽(tīng)說(shuō)過(guò)或講述過(guò)。然而,已知的一些攻擊實(shí)例導(dǎo)致了勒索軟件的部署。
第一個(gè)這樣的操作是由REvil勒索軟件運(yùn)營(yíng)者進(jìn)行的,他們?nèi)肭至艘獯罄娴腤inRar網(wǎng)站,以傳播REvil的副本。
另一個(gè)更有趣的案例是,與Darkside勒索軟件相關(guān)的人入侵了SmartPSS軟件網(wǎng)站,并開(kāi)始交付SMOKEDHAM后門程序。有關(guān)此攻擊的更多詳細(xì)信息可以在FireEye博客中找到:https://www.fireeye.com/blog/threat-research/2021/06/darkside-affiliate-supply-chain-software-compromise.html。
因此,我們討論了最常見(jiàn)的初始訪問(wèn)戰(zhàn)術(shù)。接下來(lái),我們將看看攻擊者如何在目標(biāo)系統(tǒng)上啟動(dòng)惡意代碼。
為此,存在各種方法。讓我們來(lái)看看勒索軟件攻擊中最常見(jiàn)的方法。
一旦攻擊者獲得目標(biāo)系統(tǒng)的訪問(wèn)權(quán)限,他們需要啟動(dòng)惡意代碼或雙用途工具以執(zhí)行后期利用任務(wù)。
如您所知,許多攻擊者通過(guò)網(wǎng)絡(luò)釣魚(yú)獲取初始訪問(wèn)權(quán)限,在大多數(shù)情況下,受害者需要打開(kāi)附件或鏈接以啟動(dòng)惡意代碼。只有這樣,攻擊者才能獲得初始訪問(wèn)權(quán)限。
我們可以從另一個(gè)角度來(lái)看待這種方法。例如,如果勒索軟件運(yùn)營(yíng)者通過(guò)公開(kāi)的RDP服務(wù)器進(jìn)入網(wǎng)絡(luò),他們通常會(huì)立即獲得高級(jí)權(quán)限賬戶的訪問(wèn)權(quán)限,例如管理員賬戶。因此,在這種情況下,他們自己可以充當(dāng)惡意用戶,執(zhí)行各種命令和工具。
在攻擊生命周期的某些階段,勒索軟件運(yùn)營(yíng)者可能會(huì)使用各種命令和腳本解釋器。
在網(wǎng)絡(luò)釣魚(yú)的情況下,Windows Command Shell、PowerShell、Visual Basic甚至JavaScript非常常見(jiàn)。讓我們看一些示例。
攻擊者使用感染的Microsoft Word文檔傳播Trickbot,并執(zhí)行惡意VBScript腳本。
這個(gè)腳本可能看起來(lái)復(fù)雜,但實(shí)際上并不復(fù)雜。它只是從172.83.155[.]147地址下載Trickbot(inlinelots.png),將其保存到C:\Users%user%\AppData\Local,并通過(guò)rundll32.exe啟動(dòng)——僅此而已!
另一個(gè)示例是IcedID。攻擊者通過(guò)包含惡意JavaScript文件的壓縮包傳播此特洛伊木馬。腳本啟動(dòng)cmd.exe,后者啟動(dòng)powershell.exe。
如果我們解碼base64,就會(huì)看到它從攻擊者控制的服務(wù)器下載了攻擊的下一階段代碼。
如您所見(jiàn),命令和腳本解釋器的使用非常普遍,但在這些情況下,受害者通常需要啟動(dòng)腳本或啟用宏。當(dāng)然,這不是唯一的選擇,有時(shí)攻擊者會(huì)利用軟件漏洞自動(dòng)啟動(dòng)惡意代碼。盡管如此,利用PowerShell進(jìn)行犯罪行為可能不會(huì)被忽視,但實(shí)際上,PowerShell的監(jiān)控系統(tǒng)會(huì)產(chǎn)生大量噪音,有時(shí)可以輕松縮小搜索范圍。
我們已經(jīng)討論了攻擊者如何利用公開(kāi)應(yīng)用程序中的漏洞獲取初始訪問(wèn)權(quán)限,但在某些情況下,他們也可能利用辦公軟件中的漏洞,例如Microsoft Office。盡管如此,在集中于內(nèi)部漏洞之前,強(qiáng)烈建議先修補(bǔ)公開(kāi)應(yīng)用程序中的漏洞。
一個(gè)很好的例子是最近的MSHTML漏洞(CVE-2021-40444),Wizard Spider團(tuán)伙積極利用該漏洞傳播Bazar和Cobalt Strike。
攻擊者常常濫用內(nèi)置工具。除了命令和腳本解釋器外,另一個(gè)示例是Windows管理規(guī)范(WMI)。
Windows管理規(guī)范(WMI)是一種常用工具,被各種勒索軟件運(yùn)營(yíng)者用于本地和遠(yuǎn)程啟動(dòng)代碼,例如在網(wǎng)絡(luò)中橫向移動(dòng)時(shí)。Cobalt Strike,作為一個(gè)在勒索軟件相關(guān)人員中非常流行的后期利用框架,內(nèi)置了使用WMI遠(yuǎn)程啟動(dòng)代碼的功能。
如您所知,人類操作的勒索軟件攻擊可能持續(xù)相當(dāng)長(zhǎng)時(shí)間,因此攻擊者需要能夠在重新啟動(dòng)時(shí)保持對(duì)被攻破網(wǎng)絡(luò)的持久訪問(wèn)。
在后期利用階段,攻擊者通常需要保持對(duì)網(wǎng)絡(luò)的持久訪問(wèn),因此在事件響應(yīng)過(guò)程中,您可能會(huì)遇到各種持久化方法。這一步幾乎與進(jìn)入網(wǎng)絡(luò)本身同樣重要。使用額外的后門程序可以保證攻擊者隨時(shí)可以返回。讓我們來(lái)看一些最常見(jiàn)的方法。
特別是在RDP或VPN攻擊的情況下,攻擊者會(huì)利用有效賬戶來(lái)訪問(wèn)企業(yè)網(wǎng)絡(luò)。由于他們可能同時(shí)使用多個(gè)被攻破的賬戶,這種方法可以用于在被攻破的網(wǎng)絡(luò)中保持持久化。更重要的是,使用合法憑證,勒索軟件運(yùn)營(yíng)者可以在很長(zhǎng)時(shí)間內(nèi)不被發(fā)現(xiàn)。
如果攻擊者已經(jīng)獲得管理員憑證,他們可以利用這些憑證創(chuàng)建額外的賬戶,即使被攻破的賬戶被安全團(tuán)隊(duì)發(fā)現(xiàn)并封鎖,他們?nèi)匀豢梢酝ㄟ^(guò)這些新賬戶訪問(wèn)網(wǎng)絡(luò)。
通過(guò)使用各種常見(jiàn)的持久化方法,勒索軟件運(yùn)營(yíng)者也會(huì)利用各種廣泛可用的工具。例如,已知Bazar Loader使用了注冊(cè)表鍵Run(Software\Microsoft\Windows\CurrentVersion\Run)來(lái)保持在被攻破的系統(tǒng)中的持久化。
另一個(gè)使用同樣木馬的子方法是濫用Winlogon功能,在用戶登錄時(shí)啟動(dòng)程序。這可以通過(guò)修改注冊(cè)表鍵Software\Microsoft\Windows NT\CurrentVersion\Winlogon來(lái)實(shí)現(xiàn)。
創(chuàng)建計(jì)劃任務(wù)是許多參與勒索軟件攻擊的木馬中最常見(jiàn)的方法之一。以下是Qakbot用于持久化的命令行示例。
計(jì)劃任務(wù)將每六小時(shí)啟動(dòng)一次Qakbot。
如您所知,使用公開(kāi)應(yīng)用程序是勒索軟件運(yùn)營(yíng)者獲取初始訪問(wèn)權(quán)限的一種常見(jiàn)方法。為了確保持久訪問(wèn),他們通常使用web shell。
web shell是部署在公開(kāi)web服務(wù)器上的腳本,允許攻擊者通過(guò)命令行界面執(zhí)行各種命令。
我們已經(jīng)討論了勒索軟件運(yùn)營(yíng)者在被攻破的網(wǎng)絡(luò)中保持持久訪問(wèn)的最常見(jiàn)方法。現(xiàn)在讓我們來(lái)看他們?nèi)绾翁嵘龣?quán)限。
在許多情況下,攻擊者在獲得目標(biāo)系統(tǒng)的初始訪問(wèn)權(quán)限后,沒(méi)有足夠的權(quán)限。為了提升權(quán)限,他們使用各種方法。我們將討論最常見(jiàn)的方法。
在勒索軟件攻擊的生命周期的不同階段,包括權(quán)限提升階段,攻擊者可能會(huì)利用各種漏洞。例如,ProLock勒索軟件運(yùn)營(yíng)者利用CreateWindowEx功能中的漏洞(CVE-2019-0859)來(lái)獲得管理員級(jí)別的權(quán)限。
另一個(gè)示例是REvil勒索軟件,可以利用win32.sys驅(qū)動(dòng)程序中的漏洞(CVE-2018-8453)來(lái)提升權(quán)限。
因此,許多常見(jiàn)的漏洞可以用于獲得更高級(jí)別的權(quán)限。如果公司未能修補(bǔ)和消除這些漏洞,可能會(huì)面臨嚴(yán)重的問(wèn)題。
Windows服務(wù)通常被各種攻擊者,包括勒索軟件運(yùn)營(yíng)者,用于本地或遠(yuǎn)程啟動(dòng)惡意代碼。Windows服務(wù)也可以用于提升權(quán)限,因?yàn)樗鼈兛梢砸許YSTEM權(quán)限運(yùn)行。應(yīng)監(jiān)控與Windows服務(wù)相關(guān)的異常情況,并定期分析其惡意使用的情況,以改進(jìn)監(jiān)控。
另一個(gè)非常常見(jiàn)的方法是代碼注入。攻擊者可以利用系統(tǒng)中具有高權(quán)限的進(jìn)程,在其地址空間中執(zhí)行任意代碼。此方法也可以用于繞過(guò)某些防護(hù)措施。例如,Trickbot使用wermgr.exe(Windows問(wèn)題報(bào)告)進(jìn)行注入,而Qakbot使用explorer.exe(Windows資源管理器)。
Windows中有幾種訪問(wèn)控制機(jī)制,當(dāng)然,勒索軟件運(yùn)營(yíng)者會(huì)找到各種繞過(guò)這些機(jī)制的方法。一個(gè)很好的例子是用戶帳戶控制(UAC)。該機(jī)制允許程序請(qǐng)求用戶確認(rèn)以提升權(quán)限。為了繞過(guò)它,Trickbot利用了WSReset.exe,這是用于重置Windows Store設(shè)置的。
提升權(quán)限不是攻擊者面臨的唯一障礙,各種廣泛使用的防護(hù)措施也會(huì)帶來(lái)困難。
在大多數(shù)情況下,勒索軟件運(yùn)營(yíng)者在攻擊生命周期的各個(gè)階段都需要使用各種規(guī)避方法。他們可能會(huì)禁用或刪除安全軟件,混淆或加密數(shù)據(jù),或刪除被攻破主機(jī)上的痕跡。
攻擊者可能會(huì)利用各種漏洞來(lái)規(guī)避防護(hù)措施。一個(gè)實(shí)例是Robinhood勒索軟件運(yùn)營(yíng)者利用了Gigabyte驅(qū)動(dòng)程序中的漏洞(CVE-2018-19320)。這允許攻擊者加載另一個(gè)未簽名的驅(qū)動(dòng)程序,用于終止與安全產(chǎn)品相關(guān)的進(jìn)程和服務(wù),以確保勒索軟件成功部署。
惡意程序和勒索軟件通常使用各種混淆技術(shù),如加密和編碼,來(lái)規(guī)避檢測(cè)機(jī)制。常見(jiàn)的混淆技術(shù)之一是base64編碼。
一個(gè)典型的示例是使用PowerShell啟動(dòng)Cobalt Strike SMB Beacon。
正如之前提到的,Cobalt Strike是一個(gè)廣泛使用的后期利用框架,被許多與勒索軟件相關(guān)的攻擊者使用。最初,該工具集是為了模擬攻擊而開(kāi)發(fā)的,但不幸的是,它在實(shí)際攻擊者中也很受歡迎。
攻擊者常常需要訪問(wèn)受保護(hù)的文件。這些文件可能是加密的。
許多勒索軟件菌株使用內(nèi)置的icacls工具,允許用戶查看和修改文件和文件夾的安全描述符。以下是Ryuk勒索軟件使用該工具的示例。
該命令移除了對(duì)文件和文件夾的所有訪問(wèn)限制。
大多數(shù)環(huán)境中至少存在最低限度的防護(hù)機(jī)制,攻擊者必須繞過(guò)這些機(jī)制才能實(shí)現(xiàn)目標(biāo)。例如,他們可能需要禁用防病毒軟件或清除Windows事件日志。
在一次對(duì)Kaseya的攻擊中(https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689),REvil運(yùn)營(yíng)者使用了以下腳本。
如您所見(jiàn),腳本的一部分旨在禁用Windows Defender的各種功能——Windows內(nèi)置的防病毒軟件。
在大多數(shù)情況下,攻擊者還需要處理其他防護(hù)措施。常見(jiàn)的方法是使用Process Hacker或GMER等工具終止與防病毒相關(guān)的進(jìn)程和服務(wù)。
勒索軟件運(yùn)營(yíng)者通常需要在網(wǎng)絡(luò)中盡可能長(zhǎng)時(shí)間地保持活動(dòng),因此他們會(huì)試圖通過(guò)刪除日志和文件來(lái)使網(wǎng)絡(luò)防御者的工作變得困難,從而跟蹤他們?cè)诒还テ凭W(wǎng)絡(luò)中的活動(dòng)。
在一次最新的事件響應(yīng)中,我們看到攻擊者使用了一條非常簡(jiǎn)單但非常有效的命令。
這條簡(jiǎn)單的命令允許他們清除所有事件日志。
最后一個(gè)我們將討論的防護(hù)規(guī)避方法是通過(guò)簽名的二進(jìn)制文件執(zhí)行代碼。勒索軟件運(yùn)營(yíng)者可以使用合法的二進(jìn)制文件作為中介來(lái)執(zhí)行惡意代碼。最常見(jiàn)的選項(xiàng)是rundll32.exe和regsvr32.exe。
以下是攻擊者使用rundll32.exe啟動(dòng)Cobalt Strike Beacon的示例。
另一個(gè)示例是IcedID。這次攻擊者使用了regsvr32.exe。
當(dāng)然,攻擊者還可以使用其他簽名的二進(jìn)制文件。例如,在一次最近的攻擊活動(dòng)中,Zloader運(yùn)營(yíng)者使用了msiexec.exe試圖繞過(guò)防護(hù)。
接下來(lái),我們將討論攻擊者獲取憑證的常見(jiàn)方法。
由于大多數(shù)情況下,勒索軟件運(yùn)營(yíng)者試圖加密盡可能多的主機(jī),他們需要能夠橫向移動(dòng)或至少遠(yuǎn)程啟動(dòng)惡意代碼。為了以隱蔽和高效的方式進(jìn)行操作,他們通常首先獲取高級(jí)權(quán)限的憑證,但他們的主要目標(biāo)是域管理員賬戶。
有許多方法可以讓攻擊者獲取身份驗(yàn)證數(shù)據(jù)。我們將討論最常見(jiàn)的方法。
您已經(jīng)知道RDP、VPN和其他外部遠(yuǎn)程訪問(wèn)服務(wù)常被用于勒索軟件攻擊。這些服務(wù)在許多情況下防護(hù)不足,因此初始訪問(wèn)經(jīng)紀(jì)人或勒索軟件運(yùn)營(yíng)者可以通過(guò)暴力破解攻擊成功獲取合法賬戶。
另一個(gè)廣泛使用的方法是憑證轉(zhuǎn)儲(chǔ)。勒索軟件的操作員仍然經(jīng)常使用Mimikatz,盡管它很容易被檢測(cè)到。一些攻擊者甚至手動(dòng)將其從官方GitHub倉(cāng)庫(kù)下載到被攻破的主機(jī)上。
這并不是唯一用來(lái)轉(zhuǎn)儲(chǔ)憑證的工具。我們?cè)絹?lái)越頻繁地遇到的一個(gè)替代工具是LaZagne,這個(gè)工具不僅能從易失性內(nèi)存中提取憑證,還能從各種密碼存儲(chǔ)中提取,如網(wǎng)頁(yè)瀏覽器。
另一個(gè)例子是使用ProcDump工具,這個(gè)工具通常用來(lái)為本地安全認(rèn)證子系統(tǒng)服務(wù)(LSASS)進(jìn)程創(chuàng)建內(nèi)存轉(zhuǎn)儲(chǔ)。
攻擊者可以下載這些轉(zhuǎn)儲(chǔ),并使用諸如Mimikatz之類的工具從中提取憑證。
勒索軟件的操作員甚至不需要下載額外的工具來(lái)轉(zhuǎn)儲(chǔ)憑證——他們可以利用Windows的內(nèi)置功能。例如,Conti團(tuán)伙的成員使用COM+服務(wù)的MiniDump功能來(lái)創(chuàng)建lsass.exe的轉(zhuǎn)儲(chǔ)。
如果攻擊者能夠訪問(wèn)域控制器,他們也可以創(chuàng)建整個(gè)Active Directory域數(shù)據(jù)庫(kù)的轉(zhuǎn)儲(chǔ),該數(shù)據(jù)庫(kù)保存在NTDS.dit文件中。
Conti團(tuán)伙使用內(nèi)置的ntdsutil工具來(lái)創(chuàng)建NTDS.dit的副本。
這個(gè)文件不僅可以被勒索軟件操作員用來(lái)獲取憑證,還可以用來(lái)收集有關(guān)域的信息。
由于無(wú)法總是創(chuàng)建快照或破解憑證,攻擊者不斷找到新的獲取有效賬戶的方法。最近,類似Kerberoasting的憑證獲取方法在勒索軟件操作員中越來(lái)越受歡迎。
攻擊者利用Kerberos票據(jù)授權(quán)票據(jù)(TGT)或截獲網(wǎng)絡(luò)流量以獲取票據(jù)授權(quán)服務(wù)(TGS)提供的票據(jù)。例如,Ryuk勒索軟件操作員使用Rubeus進(jìn)行Kerberoasting攻擊。
一旦獲得所需級(jí)別的憑證,勒索軟件操作員就準(zhǔn)備好在網(wǎng)絡(luò)中橫向移動(dòng)。
在開(kāi)始橫向移動(dòng)之前,攻擊者需要收集他們滲透的網(wǎng)絡(luò)的信息。這些活動(dòng)可能包括網(wǎng)絡(luò)掃描和Active Directory偵察。
兩個(gè)最常見(jiàn)的網(wǎng)絡(luò)掃描工具,被各種勒索軟件操作員使用的是Advanced IP Scanner和SoftPerfect Network Scanner。
一個(gè)最常用的Active Directory偵察工具是AdFind,這是一個(gè)合法的命令行查詢工具。
以下是Netwalker勒索軟件操作員使用該工具的示例。
AdFind允許攻擊者收集有關(guān)用戶、計(jì)算機(jī)、域間信任、子網(wǎng)等的信息。這些信息可以幫助他們找到最有價(jià)值的主機(jī),如備份和機(jī)密信息所在的主機(jī)。
另一個(gè)流行的Active Directory偵察工具是ADRecon,它被REvil勒索軟件操作員廣泛使用。
正如在前幾個(gè)階段一樣,攻擊者可以使用Windows的內(nèi)置功能進(jìn)行網(wǎng)絡(luò)偵察。例如,Conti勒索軟件的成員使用PowerShell的命令集進(jìn)行網(wǎng)絡(luò)偵察。
網(wǎng)絡(luò)橫向移動(dòng)是另一種積極使用漏洞的策略。許多攻擊者偏好使用常見(jiàn)的漏洞,一個(gè)顯著的例子是EternalBlue(CVE-2017-0144),這是一個(gè)服務(wù)器消息塊(SMB)協(xié)議的漏洞,早在2017年被臭名昭著的WannaCry勒索軟件利用。
這個(gè)漏洞仍然存在于許多企業(yè)網(wǎng)絡(luò)中,因此它仍然受到攻擊者的歡迎,例如LockBit團(tuán)伙。
其他常見(jiàn)的橫向移動(dòng)漏洞包括SMBGhost(CVE-2020-0796)和Zerologon(CVE-2020-1472)。
勒索軟件操作員使用各種遠(yuǎn)程服務(wù),如RDP、SMB等,通過(guò)使用有效的賬戶進(jìn)行橫向移動(dòng)。如果攻擊者通過(guò)RDP獲得了初始訪問(wèn)權(quán)限,他們通常利用同一協(xié)議連接到被攻破網(wǎng)絡(luò)中的其他主機(jī),在那里他們部署惡意軟件、遠(yuǎn)程訪問(wèn)工具,當(dāng)然還有勒索軟件。
攻擊者喜歡使用RDP,因此他們的工具庫(kù)中甚至包括預(yù)配置的腳本,用于修改配置以便與目標(biāo)主機(jī)建立RDP連接。
其他子技術(shù)包括SMB和Windows遠(yuǎn)程管理(WinRM)。
勒索軟件操作員并不總能獲取到明文密碼,因此在某些情況下,他們必須使用密碼哈希或Kerberos票據(jù)進(jìn)行橫向移動(dòng)。哈希傳遞(Pass the Hash, PtH)和票據(jù)傳遞(Pass the Ticket, PtT)攻擊可以通過(guò)Mimikatz或后期利用框架如Cobalt Strike和Metasploit執(zhí)行。
橫向移動(dòng)的目標(biāo)之一是尋找包含機(jī)密數(shù)據(jù)的主機(jī),這些數(shù)據(jù)可以被收集和盜取。接下來(lái)我們將討論一些常見(jiàn)的數(shù)據(jù)收集和外泄方法。
正如我們之前所討論的,勒索軟件操作員通常不僅僅加密數(shù)據(jù),還會(huì)盜取數(shù)據(jù)。數(shù)據(jù)可以從多個(gè)來(lái)源被盜取。讓我們來(lái)看看一些最常見(jiàn)的來(lái)源。
攻擊者可能會(huì)在被攻破的系統(tǒng)中找到有價(jià)值的數(shù)據(jù)。協(xié)議、合同或包含個(gè)人數(shù)據(jù)的文件——所有這些都可能被勒索軟件操作員用于進(jìn)一步的敲詐。
網(wǎng)絡(luò)共享驅(qū)動(dòng)器是潛在重要信息的常見(jiàn)來(lái)源,因此參與勒索軟件攻擊的攻擊者通常也會(huì)收集并盜取這些數(shù)據(jù)。
一些攻擊者更加有針對(duì)性。例如,Clop勒索軟件的操作員通常會(huì)尋找屬于公司高管的主機(jī),并收集他們的電子郵件作為勒索的材料。
在某些情況下,勒索軟件操作員在盜取數(shù)據(jù)之前會(huì)對(duì)收集的數(shù)據(jù)進(jìn)行歸檔。例如,Conti團(tuán)伙使用流行的7-Zip工具在外泄前對(duì)收集的數(shù)據(jù)進(jìn)行歸檔。
各種Web服務(wù),如MEGA、DropMeFiles等,在勒索軟件操作員中非常流行。他們可以使用Web瀏覽器將收集的數(shù)據(jù)上傳到存儲(chǔ)中,或者使用諸如RClone之類的工具自動(dòng)化這一過(guò)程。
以下是使用RClone進(jìn)行數(shù)據(jù)外泄的示例。
有時(shí)攻擊者甚至?xí)_(kāi)發(fā)專門的數(shù)據(jù)收集和外泄工具。
LockBit操作員不僅向其合作伙伴提供用于部署的勒索軟件,還提供數(shù)據(jù)盜取工具——StealBit。
該工具自動(dòng)從被攻破的主機(jī)中提取所有可用文件,除了系統(tǒng)文件、注冊(cè)表文件和一些其他擴(kuò)展名的文件。一旦所有收集的數(shù)據(jù)被盜取,就可以進(jìn)行最后的步驟——部署勒索軟件。
任何勒索軟件攻擊的最終目標(biāo)是直接部署勒索軟件。此時(shí),備份已經(jīng)被刪除(或?qū)⑹紫缺患用埽踩a(chǎn)品被禁用,數(shù)據(jù)被盜。
最常見(jiàn)的部署方法之一是通過(guò)SMB復(fù)制勒索軟件,并使用PsExec(SysInternals工具包中的合法工具)進(jìn)行執(zhí)行。攻擊者通常用它進(jìn)行遠(yuǎn)程執(zhí)行。
以下是Netwalker勒索軟件操作員使用此工具進(jìn)行遠(yuǎn)程執(zhí)行的示例。
另一個(gè)示例是Egregor惡意軟件操作員,他們使用Windows管理工具命令行(WMIC)進(jìn)行部署。
讓我們看看另一個(gè)示例——Ryuk勒索軟件。這次攻擊者使用后臺(tái)智能傳輸服務(wù)(BITS)進(jìn)行部署。
勒索軟件本身通常實(shí)現(xiàn)了多種技術(shù)。讓我們來(lái)看看它們。
幾乎每個(gè)勒索軟件都有內(nèi)置功能來(lái)刪除或禁用系統(tǒng)恢復(fù)功能。一個(gè)非常常見(jiàn)的示例是刪除卷影副本的功能。最后一步是加密數(shù)據(jù)。
任何勒索軟件攻擊的主要目標(biāo)是加密被攻破主機(jī)上的文件。開(kāi)發(fā)者使用各種加密算法,包括AES、RSA、Salsa20、ChaCha和定制算法。沒(méi)有攻擊者提供的密鑰,很遺憾,無(wú)法解密文件。受害者支付贖金,這激勵(lì)了勒索軟件的創(chuàng)建者進(jìn)行更多攻擊。
我們已經(jīng)研究了攻擊的整個(gè)生命周期,重點(diǎn)是勒索軟件操作員使用的最常見(jiàn)方法。需要注意的是,犯罪分子的TTP會(huì)周期性變化,因此了解最新的網(wǎng)絡(luò)威脅信息非常重要。
現(xiàn)代的人類操作的勒索軟件攻擊不僅僅是加密數(shù)據(jù)。為了在企業(yè)范圍內(nèi)部署勒索軟件,攻擊者必須從初始訪問(wèn)到數(shù)據(jù)盜取進(jìn)行長(zhǎng)時(shí)間的準(zhǔn)備,因此網(wǎng)絡(luò)安全部門通常有很多檢測(cè)機(jī)會(huì)。然而,作為事件響應(yīng)專家,我們必須對(duì)勒索軟件操作員當(dāng)前使用的TTP有充分的了解,以便快速有效地應(yīng)對(duì)攻擊。
由于TTP可能隨著時(shí)間變化,事件響應(yīng)專家和其他安全部門人員必須能夠收集、處理和傳播與勒索軟件相關(guān)的網(wǎng)絡(luò)威脅的實(shí)用信息。
在下一章中,我們將探討各種可用于收集網(wǎng)絡(luò)威脅信息的公開(kāi)來(lái)源。
如您所知,勒索軟件的運(yùn)營(yíng)者可能會(huì)使用廣泛的策略、技術(shù)和程序(TTP),因此了解他們?cè)谀鷳?yīng)對(duì)的攻擊中具體使用了什么非常有用。其中一些策略和方法是短期使用的,另一些是長(zhǎng)期的,這取決于攻擊者的最終目標(biāo)。
通常,您在開(kāi)始應(yīng)對(duì)事件(Incident Response,IR)時(shí)首先會(huì)了解到的是攻擊者使用的勒索軟件類型。許多勒索軟件類型以“勒索軟件即服務(wù)”(RaaS)的模式傳播,不同的合作伙伴可能對(duì)攻擊生命周期有不同的方法,因此他們的TTP也可能有所不同。
考慮到這一點(diǎn),擁有可靠的網(wǎng)絡(luò)威脅情報(bào)(Cyber Threat Intelligence,CTI)對(duì)您應(yīng)對(duì)攻擊非常有幫助。商業(yè)CTI平臺(tái)當(dāng)然非常有用,但即使在這些來(lái)源中也可能沒(méi)有您需要的所有信息,因此學(xué)會(huì)獲取詳細(xì)信息以應(yīng)對(duì)當(dāng)前或未來(lái)的響應(yīng)活動(dòng)非常重要。
在本章中,我們將討論一些網(wǎng)絡(luò)威脅情報(bào)的來(lái)源,具體包括:
大多數(shù)網(wǎng)絡(luò)安全公司都會(huì)發(fā)布各種關(guān)于威脅的報(bào)告,包括與勒索軟件攻擊相關(guān)的威脅報(bào)告,因此這些來(lái)源是收集網(wǎng)絡(luò)威脅情報(bào)的方便工具。威脅研究報(bào)告是評(píng)估威脅環(huán)境的重要部分。這些報(bào)告幫助技術(shù)人員和非專業(yè)人士評(píng)估公司當(dāng)前的情況,并將其與整體威脅形勢(shì)進(jìn)行比較。
當(dāng)然,沒(méi)有一份報(bào)告是全面的,因此最好根據(jù)不同網(wǎng)絡(luò)安全解決方案提供商的研究來(lái)研究某個(gè)威脅。一些報(bào)告包含妥協(xié)指標(biāo)(indicators of compromise, IoC)和其他重要數(shù)據(jù),值得與公眾分享。這些報(bào)告中的一些可以幫助他人準(zhǔn)備應(yīng)對(duì)攻擊者及其攻擊。
在本部分中,我們將討論與勒索軟件Egregor相關(guān)的各種報(bào)告,并嘗試獲取盡可能多的TTP信息。
我們從Group-IB的報(bào)告《勒索軟件Egregor:Maze的遺產(chǎn)繼續(xù)》(Egregor ransomware: The legacy of Maze lives on)開(kāi)始討論,該報(bào)告的作者之一就是我。資料可通過(guò)以下鏈接獲取:Group-IB Egregor Report。
所有勒索軟件攻擊都始于對(duì)目標(biāo)網(wǎng)絡(luò)的初步訪問(wèn)。根據(jù)我們分析的報(bào)告,Egregor的合作伙伴使用通過(guò)釣魚(yú)郵件向受害者分發(fā)的Qakbot。目標(biāo)釣魚(yú)是獲取網(wǎng)絡(luò)訪問(wèn)權(quán)限的最常見(jiàn)且非常有效的方法之一。攻擊者知道他們可以攻擊普通用戶,因?yàn)檫@些用戶可能缺乏識(shí)別攻擊的技術(shù)技能。
那么Qakbot是什么?最初這是一個(gè)在2007年首次發(fā)現(xiàn)的銀行木馬。現(xiàn)在,它主要用于加載其他工具,例如Cobalt Strike Beacon,并使用受感染的主機(jī)大規(guī)模發(fā)送垃圾郵件以感染更多設(shè)備。許多勒索軟件操作員,包括ProLock、Egregor、REvil、Conti等,都使用這種木馬來(lái)獲得對(duì)目標(biāo)網(wǎng)絡(luò)的初步訪問(wèn)。
Group-IB報(bào)告還包含有關(guān)Qakbot在受感染系統(tǒng)中持久化機(jī)制的信息。這些機(jī)制包括在啟動(dòng)文件夾中放置實(shí)例或快捷方式(LNK)、在系統(tǒng)注冊(cè)表的Run鍵中記錄程序路徑以及創(chuàng)建計(jì)劃任務(wù)。
在后期利用中,使用了Cobalt Strike。這種商業(yè)全功能后期利用框架最初是為模擬高級(jí)攻擊而創(chuàng)建的,但很快成為現(xiàn)實(shí)攻擊者的工具庫(kù)之一,允許他們使用MITRE ATT&CK中描述的許多方法。
根據(jù)報(bào)告,攻擊者還使用ADFind收集Active Directory(AD)信息。如您從上一章中了解到的,這個(gè)工具在勒索軟件攻擊中相當(dāng)常用。
為了實(shí)現(xiàn)橫向移動(dòng),Egregor的合作伙伴編寫腳本在注冊(cè)表和防火墻中進(jìn)行必要的更改,以便使用遠(yuǎn)程桌面協(xié)議(RDP)。腳本通過(guò)PsExec傳播,PsExec是Sysinternals Suite的合法工具,允許在遠(yuǎn)程主機(jī)上執(zhí)行命令。合法工具和各種腳本是幫助攻擊者保持隱身的主要手段。
另一個(gè)由Egregor相關(guān)人員使用的常見(jiàn)方法是通過(guò)Cobalt Strike Beacon進(jìn)行進(jìn)程注入。這種技術(shù)可以在被破壞的網(wǎng)絡(luò)中用于橫向移動(dòng)。這樣的方法允許攻擊者隱藏他們使用的命令,不暴露他們的存在。
為了從網(wǎng)絡(luò)中提取機(jī)密數(shù)據(jù),Egregor的操作員使用Rclone,這是一個(gè)用于管理云存儲(chǔ)中文件的命令行工具。此外,他們還使用了偽裝技術(shù),將Rclone可執(zhí)行文件重命名為svchost.exe。
為了禁用防病毒保護(hù),攻擊者使用組策略和scepinstall.exe來(lái)移除System Center Endpoint Protection(SCEP)。此類攻擊是攻擊者濫用現(xiàn)代操作系統(tǒng)合法功能的一個(gè)鮮明例子。
Egregor的合作伙伴使用基于腳本的各種方法來(lái)部署勒索軟件,包括:
正如您所見(jiàn),即使是一份報(bào)告也可以成為良好的信息來(lái)源,但額外的數(shù)據(jù)永遠(yuǎn)不會(huì)有害。
讓我們研究另一份報(bào)告,這次是Cybereason公司發(fā)布的《Cybereason對(duì)抗Egregor勒索軟件》(Cybereason vs. Egregor Ransomware)。報(bào)告可通過(guò)以下鏈接獲取:Cybereason Egregor Report。
我們需要分析報(bào)告,提取我們尚未掌握的數(shù)據(jù),并將其轉(zhuǎn)化為可實(shí)際應(yīng)用的CTI。
首先,從Cybereason的報(bào)告中我們看到,Egregor的合作伙伴不僅通過(guò)Qakbot感染目標(biāo)網(wǎng)絡(luò),還通過(guò)Ursnif和IcedID進(jìn)行感染。與Qakbot一樣,這兩個(gè)惡意軟件家族以前是銀行木馬,但現(xiàn)在廣泛用于加載其他工具。攻擊者經(jīng)常開(kāi)發(fā)新功能,使他們的攻擊帶來(lái)更多收益。
此外,根據(jù)報(bào)告,Egregor的操作員使用SharpHound(BloodHound的數(shù)據(jù)收集器,通常由滲透測(cè)試員和攻擊者用于查找Active Directory中的連接)來(lái)收集有關(guān)用戶、組、計(jì)算機(jī)等的信息。
我們成功收集了更多的CTI,讓我們?cè)傺芯苛硪环菸臋n,這是Morphisec公司的報(bào)告《Egregor勒索軟件分析》(An analysis of the Egregor ransomware)。報(bào)告可通過(guò)以下鏈接獲取:Morphisec Egregor Report。
根據(jù)這份報(bào)告,Egregor的用戶通過(guò)防火墻中的漏洞獲得初步訪問(wèn)權(quán),進(jìn)入虛擬專用網(wǎng)絡(luò)(VPN),這次沒(méi)有使用木馬。
攻擊者使用合法的遠(yuǎn)程訪問(wèn)軟件,如AnyDesk和SupRemo,保持對(duì)受感染網(wǎng)絡(luò)的訪問(wèn)。2021年,AnyDesk成為攻擊者用于備份訪問(wèn)的最常見(jiàn)工具之一。
為了終止不需要的進(jìn)程(例如屬于防病毒軟件的進(jìn)程),攻擊者使用了免費(fèi)的反rootkit工具PowerTool,并使用流行的免費(fèi)工具SoftPerfect Network Scanner收集受感染網(wǎng)絡(luò)的信息。
為了獲取憑據(jù),Egregor的操作員使用了Mimikatz,這是滲透測(cè)試和攻擊者常用的工具,用于從內(nèi)存中提取密碼和其他身份驗(yàn)證材料——哈希、PIN和Kerberos票證。
攻擊者通過(guò)各種云服務(wù)(如WeTransfer和SendSpace,以及MEGA Desktop App)進(jìn)行數(shù)據(jù)盜竊。為了在遠(yuǎn)程主機(jī)上執(zhí)行腳本,攻擊者使用了PsExec,在這些主機(jī)上運(yùn)行勒索軟件。
最后,為了掩蓋蹤跡,攻擊者使用SDelete,這是一款命令行工具,用于不可恢復(fù)地刪除文件。讓我們總結(jié)從所有三份報(bào)告的分析中獲得的結(jié)果。
Egregor的操作員通過(guò)釣魚(yú)郵件感染目標(biāo)主機(jī),或者通過(guò)漏洞VPN獲得初步訪問(wèn)權(quán)。
Egregor的操作員使用各種持久化機(jī)制,包括啟動(dòng)文件夾、系統(tǒng)注冊(cè)表的Run鍵和計(jì)劃任務(wù)。
為了收集受感染網(wǎng)絡(luò)和Active Directory的信息,Egregor的操作員使用了ADFind、SharpHound和SoftPerfect Network Scanner。
在后期利用階段,使用了Cobalt Strike。
為了橫向移動(dòng),使用了RDP。
為了執(zhí)行命令和腳本,包括部署勒索軟件,Egregor的操作員使用了PsExec。
為了禁用防病毒軟件,使用了組策略和PowerTool;為了移除SCEP,使用了scepinstall.exe。
通過(guò)AnyDesk和SupRemo,Egregor的操作員保持對(duì)受感染網(wǎng)絡(luò)的訪問(wèn)。
通過(guò)Rclone和MEGA Desktop App以及各種云服務(wù)進(jìn)行數(shù)據(jù)盜竊。
為了部署勒索軟件,Egregor相關(guān)人員使用了BITS、PowerShell、共享網(wǎng)絡(luò)資源和rundll32。
如您所見(jiàn),從不同網(wǎng)絡(luò)安全公司的報(bào)告分析中可以獲得許多關(guān)于勒索軟件操作員活動(dòng)的有價(jià)值信息,這些信息可以用來(lái)提高和加速事件響應(yīng)。
接下來(lái)我們將討論如何從網(wǎng)絡(luò)安全社區(qū)獲得CTI。
全球有成千上萬(wàn)的事件響應(yīng)專家,當(dāng)然,其中一些人愿意分享工作中獲得的數(shù)據(jù)。我們已經(jīng)討論了威脅研究報(bào)告,但通常制作這些報(bào)告需要相當(dāng)長(zhǎng)的時(shí)間。因此,響應(yīng)專家通常使用其他平臺(tái),簡(jiǎn)要介紹他們學(xué)到的新知識(shí)。最流行的媒體平臺(tái)之一是Twitter。
如果您遇到勒索軟件攻擊并已經(jīng)確定了勒索軟件的類型,您可以在Twitter上找到很多關(guān)于攻擊者及其TTP的信息。最重要的是理解攻擊者。通常,勒索軟件操作員在攻擊生命周期的特定階段使用特定的工具和流程。
讓我們從勒索軟件RagnarLocker開(kāi)始,看看Sophos公司事件響應(yīng)總監(jiān)Peter Mackenzie的以下推文(圖6.1):Twitter鏈接。
從這條推文中我們可以了解到什么?首先,我們看到RagnarLocker相關(guān)的攻擊者可能使用ProxyLogon(常見(jiàn)漏洞和暴露,CVE-2021-26855)來(lái)獲得對(duì)目標(biāo)的初步訪問(wèn)權(quán)限。ProxyLogon是Microsoft Exchange Server中的一個(gè)漏洞,允許攻擊者繞過(guò)身份驗(yàn)證并冒充管理員。
為了收集內(nèi)部網(wǎng)絡(luò)信息,RagnarLocker的操作員使用了Advanced IP Scanner,這是Famatech Corp開(kāi)發(fā)的一款免費(fèi)的網(wǎng)絡(luò)掃描器,在各種RaaS(勒索軟件即服務(wù))用戶中相當(dāng)受歡迎。
圖6.1顯示了RagnarLocker相關(guān)的信息。
像許多其他攻擊者一樣,RagnarLocker的合作伙伴在后期利用階段廣泛使用Cobalt Strike,包括橫向移動(dòng)(以及RDP)。為了將實(shí)例加載到遠(yuǎn)程主機(jī)上,攻擊者使用了PaExec,這是Sysinternals的PsExec的開(kāi)源替代品。
為了保持對(duì)受感染網(wǎng)絡(luò)的備份訪問(wèn),RagnarLocker的操作員使用了ScreenConnect,這是一款合法的遠(yuǎn)程管理軟件。攻擊者可以利用這種軟件訪問(wèn)受感染網(wǎng)絡(luò),即使該軟件是為合法目的設(shè)計(jì)的。
攻擊者使用WinRAR對(duì)收集到的機(jī)密數(shù)據(jù)進(jìn)行壓縮,并使用Handy Backup(一種商業(yè)備份解決方案)從目標(biāo)主機(jī)中竊取數(shù)據(jù)。在數(shù)據(jù)外傳階段,攻擊者經(jīng)常使用壓縮和密碼保護(hù),但可以通過(guò)多種線索來(lái)源檢測(cè)到這些行為。
如您所見(jiàn),即使是幾條Twitter消息也可以獲得許多有價(jià)值的信息。讓我們看看同一作者的另一條推文(圖6.2)。
圖6.2顯示了DoppelPaymer相關(guān)的信息。
與RagnarLocker的攻擊者一樣,DoppelPaymer的操作員在后期利用中積極使用Cobalt Strike。
此外,我們看到攻擊者利用Rubeus,這是一個(gè)相當(dāng)流行的工具包,用于與Kerberos交互并對(duì)其進(jìn)行攻擊。
另一個(gè)攻擊者用來(lái)確保備份訪問(wèn)的合法遠(yuǎn)程訪問(wèn)工具是TightVNC。
最后,DoppelPaymer的操作員通過(guò)RDP進(jìn)行橫向移動(dòng)——這是一種非常常見(jiàn)的方法,被攻擊者用來(lái)進(jìn)行初步訪問(wèn)以及訪問(wèn)目標(biāo)網(wǎng)絡(luò)中的遠(yuǎn)程主機(jī)。
有趣的是,創(chuàng)建虛擬機(jī)(VM)以在其中運(yùn)行勒索軟件的方法。最初這種方法由Maze和RagnarLocker的合作伙伴嘗試,但現(xiàn)在包括DoppelPaymer在內(nèi)的其他團(tuán)伙也在使用這種方法。
如圖6.3所示,DoppelPaymer操作員有一個(gè)專門的數(shù)據(jù)泄露網(wǎng)站(DLS),用于存儲(chǔ)被盜信息。根據(jù)分析來(lái)源,他們使用MediaFire存儲(chǔ)數(shù)據(jù)。
如您所見(jiàn),我們僅從一條推文中就能獲得許多關(guān)于勒索軟件攻擊者的有價(jià)值的數(shù)據(jù)。
讓我們看看Confiant威脅分析總監(jiān)Taha Karim的另一條推文(圖6.3)。
圖6.3顯示了Clop相關(guān)的信息。
值得注意的是,這條推文發(fā)布的時(shí)間遠(yuǎn)早于關(guān)于Clop操作員TTP的任何信息公開(kāi)時(shí)。
如推文所示,Clop的操作員使用釣魚(yú)活動(dòng)感染受害者的FlawedAmmyy RAT。FlawedAmmyy是一種常見(jiàn)的遠(yuǎn)程訪問(wèn)木馬(RAT),通常與TA505有關(guān)。這個(gè)RAT基于Ammyy Admin源代碼泄漏,允許攻擊者秘密操縱被感染的主機(jī)。
我們已經(jīng)知道,Cobalt Strike在攻擊者中非常流行,Clop的用戶也不例外。正如您所見(jiàn),它允許攻擊者繞過(guò)用戶賬戶控制(UAC)并使用常見(jiàn)的憑證轉(zhuǎn)儲(chǔ)工具,如Mimikatz。盡管它會(huì)留下很多痕跡,勒索軟件傳播者仍然積極利用它。
最后,從推文可以看出,Clop的用戶濫用服務(wù)控制管理器(SCM)在整個(gè)企業(yè)范圍內(nèi)部署勒索軟件。
不幸的是,并不總是可以獲得足夠的信息來(lái)了解攻擊者在攻擊生命周期中使用的TTP。此外,可能需要有關(guān)勒索軟件本身的信息。這里有一條Andrey Zhdanov的推文,他積極跟蹤BlackMatter勒索軟件的樣本(圖6.4)。
圖6.4顯示了BlackMatter相關(guān)的信息。
如您所見(jiàn),這條推文中關(guān)于TTP的信息不多,但有一個(gè)指向正在分析的樣本的鏈接,以及一些關(guān)于其功能的信息。
Twitter并不是收集此類分析的唯一媒體平臺(tái):LinkedIn也是另一個(gè)有用的來(lái)源。此外,您可以隨時(shí)請(qǐng)求事件響應(yīng)專家和CTI分析師分享他們發(fā)現(xiàn)的數(shù)據(jù),因此不要猶豫,參與到全球社區(qū)中。
讓我們討論一個(gè)更有趣的CTI來(lái)源——攻擊者自己。
如您所知,這本書是關(guān)于人類操縱的勒索軟件攻擊。我們的對(duì)手是人,而人們交流和分享信息,這通常發(fā)生在地下論壇上。
在本節(jié)中,我們將研究由Group-IB Threat Intelligence平臺(tái)收集的論壇消息。
第一個(gè)帖子是由一個(gè)與REvil、LockBit等合作計(jì)劃有關(guān)的攻擊者FishEye創(chuàng)建的。
圖6.5顯示了FishEye的帖子。
攻擊者想要獲得一個(gè)用于SonicWall VPN漏洞的有效利用工具。他寫道,Conti勒索軟件的操作員已經(jīng)在他們的活動(dòng)中使用了它。
很可能攻擊者指的是SonicWall Secure Mobile Access(SMA)100系列產(chǎn)品中的漏洞(CVE-2021-20016)。此漏洞可以遠(yuǎn)程利用,允許犯罪分子訪問(wèn)憑證,通過(guò)這些憑證,他們可以進(jìn)入內(nèi)部網(wǎng)絡(luò)并在后期利用階段使用這些憑證。
接下來(lái)的帖子是由REvil的臭名昭著代表UNKN發(fā)布的(圖6.6)。
圖6.6顯示了UNKN的帖子。
該帖子邀請(qǐng)合作參與REvil的RaaS計(jì)劃,并描述了對(duì)合作伙伴的要求。首先,我們看到潛在的參與者需要能夠處理備份技術(shù)——網(wǎng)絡(luò)附加存儲(chǔ)(NAS)和磁帶數(shù)據(jù)存儲(chǔ)。
其次,攻擊者指出,潛在的合作伙伴需要能夠使用各種后期利用框架。以下是其中的一些:
此外,參與者還需要能夠?qū)ctive Directory進(jìn)行攻擊,包括kerberoasting攻擊,允許攻擊者提取服務(wù)帳戶的哈希并在離線環(huán)境中破解密碼。
最后,由于許多現(xiàn)代企業(yè)網(wǎng)絡(luò)使用虛擬化技術(shù),參與者需要了解并能夠攻擊如Hyper-V等技術(shù)。
如您所見(jiàn),在某些情況下,攻擊者分享了大量有關(guān)其同伙潛在TTP的信息。他們還經(jīng)常評(píng)論論壇上討論的各種問(wèn)題,例如,以下是LockBit勒索軟件操作員LockBitSupp關(guān)于數(shù)據(jù)盜竊方法的評(píng)論(圖6.7)。
圖6.7顯示了LockBitSupp的帖子。
攻擊者描述了一種流行的勒索軟件操作員用來(lái)從受感染網(wǎng)絡(luò)中盜取數(shù)據(jù)的方法。根據(jù)帖子的作者,犯罪分子通常使用Rclone和常見(jiàn)云存儲(chǔ)提供商的帳戶,如MEGA和pCloud。他還提到,一些RaaS程序提供了專用的數(shù)據(jù)盜竊工具(竊取者)。實(shí)際上,他是在為L(zhǎng)ockBit勒索軟件用戶提供的StealBit工具做廣告。
另一個(gè)由同一攻擊者發(fā)布的帖子涉及在企業(yè)范圍內(nèi)禁用防病毒軟件(圖6.8)。
圖6.8顯示了LockBitSupp的帖子。
濫用組策略對(duì)象(GPO)不僅用于禁用安全產(chǎn)品,這也是在企業(yè)范圍內(nèi)執(zhí)行各種腳本的廣泛方法。值得注意的是,LockBit勒索軟件本身內(nèi)置了濫用組策略對(duì)象在企業(yè)網(wǎng)絡(luò)中傳播其副本的功能。
最后一個(gè)我們要討論的帖子是由一個(gè)名為uhodiransomwar的LockBit勒索軟件用戶發(fā)布的(圖6.9)。
圖6.9顯示了uhodiransomwar的帖子。
在這次對(duì)話中,攻擊者分享了一份已受感染的Pulse Secure VPN服務(wù)器列表,其他黑客可以利用這些服務(wù)器獲得對(duì)網(wǎng)絡(luò)的初步訪問(wèn)權(quán)。很可能這些服務(wù)器容易受到CVE-2019-11510漏洞的攻擊,這使得攻擊者可以使用任意文件讀取方法獲得有效憑證。
如您所見(jiàn),確實(shí)有許多收集有用CTI的機(jī)會(huì),這些CTI可以顯著簡(jiǎn)化您處理勒索軟件相關(guān)事件響應(yīng)的工作。
在本章中,我們討論了與勒索軟件相關(guān)的各種CTI來(lái)源。我們分析了幾份公開(kāi)報(bào)告,并提取了有價(jià)值的數(shù)據(jù),使我們能夠重構(gòu)攻擊生命周期的各個(gè)部分并將其轉(zhuǎn)化為CTI。
我們學(xué)會(huì)了如何分析社交媒體,以獲取網(wǎng)絡(luò)安全社區(qū)成員分享的威脅信息。
最后,我們研究了地下論壇,了解了如何直接從我們的對(duì)手——勒索軟件操作員那里獲取CTI。
現(xiàn)在,您已經(jīng)了解了許多關(guān)于人類操縱的勒索軟件攻擊,并且對(duì)這些攻擊的發(fā)生有了清晰的認(rèn)識(shí),您已經(jīng)準(zhǔn)備好深入調(diào)查過(guò)程。
在下一章中,我們將討論主要的數(shù)字取證來(lái)源,這些來(lái)源使事件響應(yīng)團(tuán)隊(duì)能夠重構(gòu)勒索軟件攻擊并確定在其生命周期內(nèi)所做的具體事情。
您已經(jīng)了解了很多關(guān)于人為操作的勒索軟件攻擊的知識(shí)——包括攻擊者使用的最常見(jiàn)策略、技術(shù)和程序(TTP),以及通過(guò)收集有用的網(wǎng)絡(luò)威脅情報(bào)來(lái)加速事件調(diào)查的方式。現(xiàn)在,是時(shí)候集中注意力于調(diào)查過(guò)程本身了。
您可能聽(tīng)說(shuō)過(guò)洛卡德交換原則,但我還是要提醒一下:犯罪者總會(huì)在犯罪現(xiàn)場(chǎng)留下痕跡,并帶走一些東西。這些痕跡都可以用作證據(jù)。
這聽(tīng)起來(lái)很熟悉,不是嗎?勒索軟件使用者在犯罪現(xiàn)場(chǎng)留下他們的工具,包括勒索軟件本身,通常還會(huì)帶走大量機(jī)密數(shù)據(jù)。
我們已經(jīng)知道,勒索軟件攻擊的生命周期相當(dāng)復(fù)雜。但如何確定攻擊者在不同階段使用了哪些方法呢?答案是使用數(shù)字取證方法!
在本章中,我們將討論各種數(shù)字取證證據(jù)的來(lái)源,這些證據(jù)可以幫助事件響應(yīng)團(tuán)隊(duì)重建勒索軟件攻擊的過(guò)程。數(shù)字取證可以發(fā)現(xiàn)和重建數(shù)據(jù),從而緩解網(wǎng)絡(luò)攻擊的后果或降低相關(guān)風(fēng)險(xiǎn)。
我們將重點(diǎn)關(guān)注以下來(lái)源:
由于許多攻擊者使用現(xiàn)成的工具——即目標(biāo)基礎(chǔ)設(shè)施中已有的工具,分析易失性內(nèi)存有助于找到關(guān)鍵痕跡,這些痕跡對(duì)于事件響應(yīng)專家正確重建入侵方法至關(guān)重要。否則,攻擊者可能會(huì)逃過(guò)安全團(tuán)隊(duì)的視線。
由于易失性數(shù)據(jù)通常存儲(chǔ)在設(shè)備的隨機(jī)存取存儲(chǔ)器(RAM)中,提取這些數(shù)據(jù)通常采用創(chuàng)建內(nèi)存轉(zhuǎn)儲(chǔ)的方法。
有許多工具可以用來(lái)轉(zhuǎn)儲(chǔ)易失性內(nèi)存。以下是其中的一些:
注意:切勿將數(shù)據(jù)收集工具和獲取的內(nèi)存轉(zhuǎn)儲(chǔ)文件復(fù)制到相同的設(shè)備上。請(qǐng)使用外部硬盤或網(wǎng)絡(luò)資源。為什么?因?yàn)槟赡軙?huì)意外覆蓋潛在的數(shù)字痕跡來(lái)源!
圖7.1展示了使用AccessData FTK Imager進(jìn)行內(nèi)存捕獲的示例。
最流行的內(nèi)存轉(zhuǎn)儲(chǔ)分析工具是Volatility,這是一款開(kāi)源平臺(tái),用于內(nèi)存轉(zhuǎn)儲(chǔ)的取證調(diào)查。撰寫本書時(shí),這款工具有兩個(gè)版本:
兩個(gè)版本都需要至少一些命令行操作技能,但由于有清晰的說(shuō)明,學(xué)習(xí)使用它們并不難。
如果您不喜歡命令行,可以試試PassMark的Volatility Workbench——這是Volatility的圖形用戶界面(GUI)。
圖7.2展示了通過(guò)PassMark Volatility Workbench啟動(dòng)Volatility插件的過(guò)程。
內(nèi)存轉(zhuǎn)儲(chǔ)分析有助于發(fā)現(xiàn)許多與攻擊相關(guān)的證據(jù),這些證據(jù)隨后可以作為企業(yè)范圍內(nèi)威脅檢測(cè)的重要妥協(xié)指標(biāo)(IoC)。
PassMark Volatility Workbench有針對(duì)Volatility 2和Volatility 3的版本。兩個(gè)版本都可以從這里下載。
內(nèi)存轉(zhuǎn)儲(chǔ)并不總是最好的分析方法。您可能不知道需要檢查哪些主機(jī),而分析數(shù)百臺(tái)機(jī)器的內(nèi)存轉(zhuǎn)儲(chǔ)是一項(xiàng)耗時(shí)且低效的策略。
有些工具允許事件響應(yīng)專家進(jìn)行實(shí)時(shí)分析。例如,Process Hacker是一款廣受攻擊者歡迎的工具,也可以被防御者使用。它允許檢查易失性內(nèi)存數(shù)據(jù),包括運(yùn)行的進(jìn)程、它們的命令行以及網(wǎng)絡(luò)連接等。這僅僅是其功能的一部分。圖7.3展示了使用Process Hacker進(jìn)行實(shí)時(shí)分析的示例。
圖7.3展示了使用Process Hacker檢查運(yùn)行的進(jìn)程。
Process Hacker可以從這里下載。有趣的是,易失性內(nèi)存痕跡不僅可以在內(nèi)存轉(zhuǎn)儲(chǔ)中找到。有些系統(tǒng)文件也包含內(nèi)存殘留:
我們將返回討論文件系統(tǒng)證據(jù)及其如何幫助我們調(diào)查勒索軟件攻擊。但首先,我們需要學(xué)習(xí)如何收集非易失性內(nèi)存數(shù)據(jù)——即系統(tǒng)關(guān)閉時(shí)可訪問(wèn)的數(shù)據(jù)。
在深入研究各種非易失性內(nèi)存數(shù)據(jù)來(lái)源之前,讓我們了解如何獲取這些數(shù)據(jù)。您可能聽(tīng)說(shuō)過(guò)取證鏡像——這是數(shù)字存儲(chǔ)設(shè)備的位拷貝。有時(shí)我們?nèi)匀粍?chuàng)建這種鏡像,例如,用于第一個(gè)被攻破的主機(jī),因?yàn)樯厦婵赡芰粲性S多與攻擊者活動(dòng)相關(guān)的各種證據(jù)。可以使用AccessData FTK Imager創(chuàng)建這些鏡像。
但是,被攻破的主機(jī)可能相當(dāng)多,每個(gè)系統(tǒng)都進(jìn)行克隆是一項(xiàng)繁重的任務(wù)。在這種情況下,您可以創(chuàng)建選擇性鏡像——它將包含一系列文件以及一些額外的數(shù)據(jù),例如網(wǎng)絡(luò)連接信息。
圖7.4展示了使用AccessData FTK Imager創(chuàng)建鏡像的示例。
Live Response Collection(下載鏈接)是Brian Moran開(kāi)發(fā)的一款收集初始數(shù)據(jù)的好工具。
圖7.5展示了使用Live Response Collection創(chuàng)建初始處理鏡像的示例。
有趣的是,該工具不僅可以收集初始數(shù)據(jù),還可以復(fù)制內(nèi)存,甚至創(chuàng)建完整的鏡像。請(qǐng)記住,應(yīng)從外部硬盤或網(wǎng)絡(luò)資源運(yùn)行這些工具。
如果您需要更有針對(duì)性地操作,可以使用Kroll Artifact Parser and Extractor(KAPE),它允許事件響應(yīng)專家執(zhí)行高度聚焦和緊湊的數(shù)據(jù)收集。它有圖形界面和命令行版本(圖7.6),可在整個(gè)企業(yè)范圍內(nèi)使用。
此外,KAPE不僅用于數(shù)據(jù)收集,還可用于自動(dòng)化處理數(shù)據(jù)。還有一些代理解決方案,包括開(kāi)源的,能夠?qū)崟r(shí)收集數(shù)據(jù)。一個(gè)好的例子是Velociraptor。
圖7.6展示了使用KAPE進(jìn)行有針對(duì)性的數(shù)據(jù)收集。
許多EDR/XDR解決方案也允許收集取證證據(jù)。下圖展示了Group-IB Managed XDR框架的數(shù)據(jù)收集參數(shù)。
EDR/XDR解決方案本身就是非常有價(jià)值的取證證據(jù)來(lái)源,因?yàn)樗鼈儾粩嗍占嘘P(guān)運(yùn)行進(jìn)程、網(wǎng)絡(luò)連接、文件和注冊(cè)表更改等信息。正如您所見(jiàn),有相當(dāng)多的選項(xiàng)可以收集易失性和非易失性數(shù)據(jù)。現(xiàn)在,讓我們研究各種數(shù)字取證證據(jù)的來(lái)源。
圖7.7展示了Group-IB Managed XDR框架的數(shù)據(jù)收集參數(shù)。
文件系統(tǒng)包含許多不同的證據(jù),可以幫助進(jìn)行調(diào)查。Windows注冊(cè)表和各種日志也屬于文件系統(tǒng),但它們相當(dāng)復(fù)雜,我們將單獨(dú)討論它們。
您在調(diào)查勒索軟件攻擊時(shí)最常遇到的文件系統(tǒng)類型是新技術(shù)文件系統(tǒng)(NTFS)。目前,這是Windows操作系統(tǒng)中最常見(jiàn)的文件系統(tǒng)——正如您已經(jīng)知道的那樣,這是勒索軟件使用者的主要目標(biāo)。盡管對(duì)Linux系統(tǒng)的興趣有所增加,但攻擊者通常通過(guò)入侵Windows基礎(chǔ)設(shè)施來(lái)接觸這些系統(tǒng),因此我們將重點(diǎn)放在這個(gè)操作系統(tǒng)上。
作為事件響應(yīng)專家,我們首先關(guān)心的是元數(shù)據(jù)分析,因此讓我們研究NTFS的一個(gè)主要組件——主文件表(MFT)。它包含有關(guān)文件名稱、位置、大小和時(shí)間戳的信息。我們可以使用從MFT提取的信息來(lái)構(gòu)建時(shí)間線,這有助于我們恢復(fù)攻擊者創(chuàng)建和使用的文件信息。
這些信息可以從元文件$MFT中提取。包括$MFT在內(nèi)的元文件可以使用各種數(shù)字取證工具提取。一個(gè)示例工具是AccessData FTK Imager。
圖7.8展示了AccessData FTK Imager中顯示的$MFT和其他NTFS元文件。
我不會(huì)讓您疲于了解NTFS的內(nèi)部結(jié)構(gòu)——關(guān)于這個(gè)主題有很多優(yōu)秀的資源,例如Brian Carrier的《文件系統(tǒng)取證分析》 。
提取$MFT元文件后怎么做?可以直接查看它,或者先解析它,然后分析提取的數(shù)據(jù)。
我會(huì)引用2019年“年度計(jì)算機(jī)取證專家”得主和SANS講師Eric Zimmerman及其著名的免費(fèi)數(shù)字取證工具包。這些工具可以從這里獲取。
如果您更喜歡直接查看$MFT,可以使用MFTExplorer。不幸的是,這類查看工具速度不快,因此我建議先解析元文件。為此,有一個(gè)單獨(dú)的工具——MFTECmd。使用它,您可以將$MFT中的數(shù)據(jù)轉(zhuǎn)換為易于讀取的逗號(hào)分隔值(CSV)文件,您可以使用您喜歡的工具(如Microsoft Excel)進(jìn)行分析。
另一個(gè)在Eric Zimmerman工具包中提供的工具是Timeline Explorer。以下是通過(guò)Timeline Explorer分析的$MFT文件的示例。
圖7.9展示了通過(guò)Timeline Explorer打開(kāi)的已分析$MFT文件。
Timeline Explorer允許您選擇要重點(diǎn)關(guān)注的列。它還具有方便的過(guò)濾功能,使您能夠輕松排除不需要的內(nèi)容。在Windows操作系統(tǒng)中,有許多對(duì)事件響應(yīng)專家有用的證據(jù)來(lái)源。讓我們從有助于收集執(zhí)行痕跡的來(lái)源開(kāi)始,首先討論預(yù)取文件。
預(yù)取文件位于C:\Windows\Prefetch文件夾中,用于通過(guò)預(yù)加載常用應(yīng)用程序的代碼來(lái)提高系統(tǒng)性能。
這些文件的擴(kuò)展名為.pf,包含程序執(zhí)行的時(shí)間戳和執(zhí)行次數(shù),以及與可執(zhí)行文件交互的文件夾和文件列表。預(yù)取文件可以使用PECmd進(jìn)行分析。
圖7.10展示了PECmd的一部分輸出。
當(dāng)然,預(yù)取文件不是唯一的程序執(zhí)行痕跡來(lái)源,其他來(lái)源將在“Windows注冊(cè)表”和“Windows事件日志”部分討論。現(xiàn)在讓我們來(lái)看看文件訪問(wèn)的證據(jù)——LNK文件和跳轉(zhuǎn)列表。
LNK文件(或“快捷方式”)在用戶(或攻擊者)打開(kāi)本地或遠(yuǎn)程文件時(shí)由Windows操作系統(tǒng)自動(dòng)創(chuàng)建。可以在以下位置找到這些文件:
這些文件包含LNK文件本身和其指向的文件(即被打開(kāi)的文件,可能已經(jīng)被刪除)的時(shí)間戳等數(shù)據(jù)。
存在一個(gè)工具可以解析這些文件——LECmd。
圖7.11展示了LECmd的一部分輸出。
屏幕截圖顯示了攻擊者使用一種非常常見(jiàn)的憑證獲取方法進(jìn)行LSASS轉(zhuǎn)儲(chǔ)的證據(jù)。讓我們來(lái)看看另一個(gè)與文件系統(tǒng)相關(guān)的類似數(shù)字取證證據(jù)來(lái)源——跳轉(zhuǎn)列表。
跳轉(zhuǎn)列表是Windows任務(wù)欄的一個(gè)功能,允許用戶查看最近使用的項(xiàng)目列表。事件響應(yīng)專家可以利用這一功能來(lái)研究最近訪問(wèn)的文件列表。
這些文件可以在以下文件夾中找到:
存在一個(gè)圖形界面工具可以查看這些文件的內(nèi)容——JumpList Explorer。
如圖7.12所示,跳轉(zhuǎn)列表不僅包含文件信息,還包含例如通過(guò)RDP訪問(wèn)的主機(jī)信息。這在跟蹤網(wǎng)絡(luò)中的橫向移動(dòng)時(shí)非常有用。
圖7.12展示了通過(guò)JumpList Explorer查看跳轉(zhuǎn)列表的過(guò)程。
讓我們來(lái)看看數(shù)據(jù)盜竊調(diào)查工具之一——系統(tǒng)資源使用監(jiān)視器(SRUM)。
Windows使用該功能來(lái)監(jiān)視系統(tǒng)性能,有助于事件響應(yīng)專家獲取每小時(shí)每個(gè)應(yīng)用程序發(fā)送/接收的數(shù)據(jù)量,這在調(diào)查數(shù)據(jù)盜竊時(shí)至關(guān)重要。
SRUM數(shù)據(jù)的數(shù)據(jù)庫(kù)位于C:\Windows\System32\SRU文件夾中。
您還可能需要C:\Windows\System32\config文件夾中的SOFTWARE注冊(cè)表節(jié)文件來(lái)進(jìn)行正確的數(shù)據(jù)分析。
兩個(gè)文件都可以使用SrumECmd進(jìn)行處理。生成的文件可以通過(guò)Timeline Explorer查看(圖7.13)。
圖7.13展示了通過(guò)Timeline Explorer查看已分析的SRUM數(shù)據(jù)。
攻擊者還使用什么工具來(lái)竊取數(shù)據(jù)和復(fù)制工具?當(dāng)然是網(wǎng)絡(luò)瀏覽器!
網(wǎng)絡(luò)瀏覽器廣泛用于普通用戶,他們可能成為目標(biāo)釣魚(yú)攻擊的受害者,也被攻擊者用來(lái)下載額外的工具和竊取數(shù)據(jù)。
讓我們關(guān)注三個(gè)主要瀏覽器——Microsoft Edge、Google Chrome和Mozilla Firefox。
與瀏覽器相關(guān)的主要證據(jù)來(lái)源是瀏覽歷史。其分析可以揭示攻擊者下載工具的來(lái)源或他們存放數(shù)據(jù)的位置。這些數(shù)據(jù)通常存儲(chǔ)在SQLite數(shù)據(jù)庫(kù)中,可以在以下位置找到:
SQLite數(shù)據(jù)庫(kù)可以手動(dòng)分析,例如使用DB Browser for SQLite(下載鏈接),或者使用專用的瀏覽器取證工具,例如BrowsingHistoryView(下載鏈接)。
圖7.14展示了通過(guò)BrowsingHistoryView分析網(wǎng)絡(luò)搜索歷史的過(guò)程。
有用的取證證據(jù)還包括Cookie文件和緩存。
Cookie文件允許網(wǎng)絡(luò)瀏覽器跟蹤和保存每個(gè)用戶會(huì)話的信息,包括訪問(wèn)的網(wǎng)站。這些信息也存儲(chǔ)在SQLite數(shù)據(jù)庫(kù)中:
另一個(gè)與瀏覽器相關(guān)的證據(jù)是其緩存,即本地保存的網(wǎng)頁(yè)組件,以便下次訪問(wèn)時(shí)更快加載。
以下是不同瀏覽器緩存文件的位置:
有幾個(gè)工具可以解釋緩存文件中存儲(chǔ)的數(shù)據(jù)。一些工具包括ChromeCacheView(下載鏈接)和MozillaCacheView(下載鏈接),但也有其他工具。
另一個(gè)數(shù)字證據(jù)來(lái)源是Windows注冊(cè)表。
Windows注冊(cè)表是一個(gè)分層數(shù)據(jù)庫(kù),存儲(chǔ)了各種配置參數(shù)以及重要的程序啟動(dòng)和用戶活動(dòng)信息。
注冊(cè)表文件的位置如下:
現(xiàn)在讓我們來(lái)看一下分析Windows注冊(cè)表文件時(shí)可以找到的最常見(jiàn)的證據(jù)來(lái)源:
當(dāng)然,程序啟動(dòng)痕跡并不是可以從Windows注冊(cè)表中提取的唯一數(shù)字證據(jù)。另一個(gè)重要的證據(jù)類型是最近使用的文件和文件夾的痕跡。讓我們來(lái)看一下最常見(jiàn)的:
這些僅是可以在Windows注冊(cè)表中找到的有價(jià)值證據(jù)的一些例子。其他例子包括系統(tǒng)持久化機(jī)制、遠(yuǎn)程訪問(wèn)痕跡等。
有多種方法可以分析注冊(cè)表。可以手動(dòng)分析,重點(diǎn)是基于現(xiàn)有的妥協(xié)指標(biāo)進(jìn)行關(guān)鍵字搜索。例如,您可以使用Registry Explorer(下載鏈接)——這是Eric Zimmerman開(kāi)發(fā)的另一個(gè)有用工具,它允許您查看提取的注冊(cè)表文件和當(dāng)前注冊(cè)表,包括已刪除的鍵和值。
我推薦這個(gè)工具進(jìn)行手動(dòng)分析,但它也提供許多用于自動(dòng)分析常見(jiàn)證據(jù)的插件。
圖7.15展示了在Registry Explorer中打開(kāi)的正在運(yùn)行系統(tǒng)中的SYSTEM注冊(cè)表文件。
另一個(gè)優(yōu)秀的注冊(cè)表分析工具是Harlan Carvey的RegRipper(下載鏈接)。它有圖形界面和命令行版本,以及用于分析注冊(cè)表證據(jù)的各種插件。您還可以自己編寫額外的插件。
下一個(gè)有價(jià)值的數(shù)字取證證據(jù)來(lái)源是Windows事件日志。
日志記錄是Windows操作系統(tǒng)及其各種應(yīng)用程序記錄各種事件的內(nèi)置機(jī)制。它也可以成為與勒索軟件攻擊相關(guān)證據(jù)的極有價(jià)值的來(lái)源。
有時(shí),攻擊者會(huì)刪除這些日志以掩蓋痕跡,這本身就可以作為主機(jī)已被入侵的可靠指示。
默認(rèn)情況下,日志文件位于C:\Windows\System32\winevt\Logs文件夾中,擴(kuò)展名為.evtx。
Windows事件日志也可以使用SIEM(確保記錄正確的日志)或EDR/XDR解決方案進(jìn)行收集。
圖7.16展示了AccessData FTK Imager中列出的Windows事件日志文件。
讓我們看看一些常用的日志文件和事件ID。
這不是一個(gè)詳盡的列表,但我們可以看到其中有很多有用的事件,可以幫助事件響應(yīng)。
發(fā)生在Windows環(huán)境中的事件不僅記錄在Windows事件日志中,還有其他日志也可能對(duì)我們有用。
最后,讓我們列出一些可能在您的調(diào)查中起關(guān)鍵作用的其他日志。
正如您所知,勒索軟件操作員可能會(huì)使用許多工具——這意味著其中一些工具會(huì)被防病毒軟件檢測(cè)到。防病毒軟件日志可能非常有用。
這些日志可以成為網(wǎng)絡(luò)連接的寶貴信息來(lái)源,包括入侵嘗試。這是極其寶貴的取證數(shù)據(jù)來(lái)源,尤其是當(dāng)數(shù)據(jù)保存時(shí)間較長(zhǎng)且您有一些網(wǎng)絡(luò)妥協(xié)指標(biāo)時(shí)。
VPN是訪問(wèn)網(wǎng)絡(luò)的熱門初始向量之一,因此VPN日志也可能揭示一些關(guān)于攻擊者網(wǎng)絡(luò)基礎(chǔ)設(shè)施的信息。進(jìn)行GeoIP(地理位置)分析非常有用——您可能會(huì)發(fā)現(xiàn)來(lái)自與公司無(wú)關(guān)國(guó)家的連接。
如果您有網(wǎng)絡(luò)指標(biāo)或想要跟蹤異常事件,請(qǐng)檢查代理服務(wù)器是否可用。
如果您懷疑勒索軟件操作員使用Web Shell進(jìn)行初始持久化,請(qǐng)確保檢查Web服務(wù)器日志。
郵件服務(wù)器也可能存在漏洞:回想一下Conti組織使用ProxyLogon獲取初始訪問(wèn)權(quán)。這就是為什么郵件服務(wù)器日志可能非常有用的原因。
現(xiàn)在,您對(duì)各種數(shù)字取證證據(jù)來(lái)源有了更好的了解,并準(zhǔn)備好進(jìn)行最有趣的部分——調(diào)查。
在本章中,我們討論了最常見(jiàn)的數(shù)字取證證據(jù)來(lái)源,這些證據(jù)可以幫助事件響應(yīng)團(tuán)隊(duì)調(diào)查勒索軟件攻擊。
我們研究了文件系統(tǒng)中最受歡迎的證據(jù)來(lái)源、注冊(cè)表、各種日志,并了解了如何從易失性和非易失性內(nèi)存中提取數(shù)據(jù)以及如何將收集的數(shù)據(jù)轉(zhuǎn)換為便于深入取證分析的格式。
現(xiàn)在,您已準(zhǔn)備好進(jìn)行更實(shí)際的任務(wù)——根據(jù)各種數(shù)字取證證據(jù)重建實(shí)際的勒索軟件攻擊。
在下一章中,我們將討論幾種初始訪問(wèn)場(chǎng)景,并利用所獲得的知識(shí)來(lái)理解攻擊者如何獲得初始訪問(wèn)權(quán)限并進(jìn)行后期利用。
在第7章中,我們討論了在Windows操作系統(tǒng)中可用的各種數(shù)字取證證據(jù)來(lái)源。現(xiàn)在是時(shí)候分析具體示例,了解如何使用這些證據(jù)來(lái)重建勒索軟件攻擊的生命周期了。
讓我們從最常見(jiàn)的初始訪問(wèn)方法的痕跡開(kāi)始——濫用外部遠(yuǎn)程訪問(wèn)服務(wù)和釣魚(yú)攻擊。
攻擊外部遠(yuǎn)程訪問(wèn)服務(wù),特別是公共RDP服務(wù)器,是極其流行的。超過(guò)50%的成功攻擊是通過(guò)暴力破解這些服務(wù)器開(kāi)始的。
釣魚(yú)攻擊也是如此——勒索軟件攻擊的前兆通常是通過(guò)電子郵件和社交網(wǎng)絡(luò)大量傳播的各種機(jī)器人。
在本章中,我們將基于真實(shí)攻擊場(chǎng)景討論兩個(gè)案例。我們將討論以下主題:
為了確定初始攻擊向量,首先需要收集相關(guān)數(shù)據(jù)。通常,我的團(tuán)隊(duì)已經(jīng)根據(jù)觀察到的攻擊者行為,列出了一份可能的入侵方法簡(jiǎn)要清單。事實(shí)上,在實(shí)際調(diào)查中,我們通常在分析結(jié)束時(shí)才會(huì)弄清楚使用的初始訪問(wèn)方法,因?yàn)橥ǔP枰獜囊粋€(gè)被加密的主機(jī)和消除后果開(kāi)始調(diào)查。但是在本章和接下來(lái)的章節(jié)中,我們將一步步尋找證據(jù),仿佛我們?cè)谧粉櫪账鬈浖舻纳芷趶念^到尾。在實(shí)際調(diào)查中,您也可以按照相反的順序執(zhí)行相同的分析步驟。
在許多與勒索軟件相關(guān)的事件中,受害者沒(méi)有安裝高級(jí)安全產(chǎn)品,因此我們將專注于幾乎總是可用的方法和證據(jù)。
分析外部遠(yuǎn)程訪問(wèn)服務(wù)的濫用通常包括日志分析。這些日志可能是防火墻日志、VPN日志或最常見(jiàn)的Windows事件日志,特別是涉及RDP攻擊時(shí)。
有趣的是,在許多情況下,當(dāng)我們幾乎確定攻擊始于公共RDP服務(wù)器的入侵時(shí),客戶的IT團(tuán)隊(duì)會(huì)試圖說(shuō)服我們?cè)摻M織沒(méi)有這樣的服務(wù)器——盡管防火墻規(guī)則明顯表明存在或最近存在這樣的服務(wù)器(規(guī)則剛剛被刪除)。有時(shí)IT團(tuán)隊(duì)想讓您的工作變得更困難并隱藏證據(jù),因?yàn)樵谠S多事件中,人為因素起著重要作用——那些使攻擊成為可能的人不想被抓住。
由于我們決定專注于流行且更重要的是免費(fèi)的工具,我們將使用KAPE來(lái)收集數(shù)據(jù)。
如果您已經(jīng)確定了服務(wù)器,可以直接連接外部硬盤并運(yùn)行KAPE的圖形界面版本,選擇感興趣的對(duì)象并開(kāi)始收集數(shù)據(jù)。
圖8.1展示了使用KAPE收集與RDP相關(guān)的Windows事件日志的過(guò)程。
如圖8.1所示,KAPE中有一個(gè)預(yù)設(shè)配置,用于收集與RDP相關(guān)的日志。圖8.2顯示了該工具收集的具體日志文件。
通過(guò)這種方式,我們可以獲得以下文件:
圖8.2展示了為EventLogs-RDP配置收集的Windows事件日志文件。
如果有多臺(tái)服務(wù)器,或者您不確定選擇哪臺(tái)服務(wù)器,可以使用KAPE的命令行版本。例如,您可以將其放在共享網(wǎng)絡(luò)磁盤上,并使用組策略同時(shí)從多臺(tái)主機(jī)收集數(shù)據(jù)。
因此,我們使用KAPE從被認(rèn)為通過(guò)暴力破解攻擊入侵的服務(wù)器上獲取了一些Windows事件日志文件進(jìn)行進(jìn)一步分析。讓我們重點(diǎn)關(guān)注Security.evtx文件,因?yàn)樗S多適合此類調(diào)查的記錄。以下是兩個(gè)對(duì)分析暴力破解RDP攻擊有用的主要事件ID。
第二個(gè)事件有助于我們識(shí)別入侵嘗試,第一個(gè)事件則顯示成功登錄的情況。
您可能需要一本事件ID參考手冊(cè),以了解在調(diào)查特定類型的事件時(shí)應(yīng)關(guān)注的內(nèi)容。
讓我們查看收集的事件日志。首先檢查是否存在ID為4625的事件。這里我要介紹另一個(gè)來(lái)自Eric Zimmerman收藏的工具——EvtxExplorer。您可以使用它來(lái)分析事件日志文件,并將數(shù)據(jù)保存為便于閱讀的格式,例如CSV。生成的文件可以通過(guò)Timeline Explorer進(jìn)行分析。
圖8.3展示了通過(guò)EvtxExplorer提取的ID為4625的事件。
我們獲得了196,378個(gè)ID為4625的事件——這意味著此服務(wù)器遭受了暴力破解密碼的攻擊。但攻擊成功了嗎?為了弄清楚這一點(diǎn),我們需要查看ID為4624的事件(圖8.4)。
圖8.4展示了通過(guò)EvtxExplorer提取的ID為4624的事件。
這些事件很多,但我們需要專注于兩件事:異常的連接來(lái)源和通過(guò)RDP(類型10)登錄系統(tǒng)的情況。
如果按類型10進(jìn)行過(guò)濾,只剩下兩個(gè)事件。兩個(gè)連接都來(lái)自同一個(gè)IP地址——185.191.32.164。讓我們?cè)囍私飧嘈畔ⅰ?/p>
圖8.5展示了從Group-IB圖表中獲取的IP地址信息。
根據(jù)收集的信息,我們可以準(zhǔn)確識(shí)別出惡意連接——來(lái)源位于俄羅斯,而這樣的連接對(duì)該受害者來(lái)說(shuō)完全不正常。
從日志中還可以獲取更多信息,例如攻擊者使用管理員帳戶登錄系統(tǒng)。具有如此常見(jiàn)名稱的帳戶通常成為暴力破解攻擊的目標(biāo)。
現(xiàn)在讓我們尋找數(shù)據(jù)源,以研究另一種初始訪問(wèn)方法——釣魚(yú)。
我們已經(jīng)知道,像Emotet、Trickbot和IcedID這樣的機(jī)器人是人為操作勒索軟件攻擊的常見(jiàn)前兆。通常,它們通過(guò)電子郵件附帶的惡意Office文檔傳播。在大多數(shù)情況下,為了下載和運(yùn)行木馬,受害者需要啟用宏。此外,攻擊者還可能利用軟件漏洞來(lái)實(shí)現(xiàn)這一點(diǎn)。
這些機(jī)器人通常用于進(jìn)行基礎(chǔ)偵察和為后期利用做準(zhǔn)備,例如交付Cobalt Strike Beacon等工具。
我們已經(jīng)使用了一些KAPE工具,現(xiàn)在讓我們使用另一個(gè)工具——Live Response Collection。
這個(gè)工具更容易使用:只需從外部或網(wǎng)絡(luò)硬盤運(yùn)行它,并選擇操作模式。
圖8.6展示了Live Response Collection的啟動(dòng)界面。
這次我們不僅需要收集包含各種證據(jù)來(lái)源的初始數(shù)據(jù),還需要對(duì)易失性內(nèi)存進(jìn)行轉(zhuǎn)儲(chǔ),以便使用Volatility Framework進(jìn)行分析。
收集到的數(shù)據(jù)分為兩個(gè)文件夾——ForensicImages和LiveResponseData。內(nèi)存鏡像位于ForensicImages文件夾中。現(xiàn)在我們準(zhǔn)備進(jìn)入分析階段。
要研究通過(guò)Live Response Collection獲取的內(nèi)存鏡像,我們將使用Volatility 3。如我們?cè)诘?章《勒索軟件團(tuán)伙的戰(zhàn)術(shù)、技術(shù)和程序》中記得的那樣,惡意軟件使用的最流行的方法之一是進(jìn)程注入。讓我們從最簡(jiǎn)單的開(kāi)始,運(yùn)行malfind插件來(lái)分析內(nèi)存鏡像。
圖8.7展示了malfind的部分輸出。
這個(gè)插件有助于找到隱藏代碼、注入代碼和DLL形式的代碼,因此非常有助于檢測(cè)進(jìn)程注入。
通過(guò)malfind,我們提取了一些證據(jù),但最有趣的是與進(jìn)程rundll32.exe相關(guān)的PID 9772。根據(jù)輸出,這很可能是代碼注入。通常,IT專家和初級(jí)安全分析師會(huì)忽略合法文件rundll32.exe,但它需要仔細(xì)檢查,因?yàn)樗?jīng)常成為攻擊者的目標(biāo)。
讓我們繼續(xù),通過(guò)pstree插件檢查進(jìn)程樹(shù)。
圖8.8展示了pstree的部分結(jié)果。
這個(gè)插件以樹(shù)狀結(jié)構(gòu)顯示正在運(yùn)行的進(jìn)程。
現(xiàn)在我們獲得了更多關(guān)于所討論進(jìn)程的信息——它有一個(gè)PID為5952的父進(jìn)程。不幸的是,沒(méi)有關(guān)于該P(yáng)ID進(jìn)程的信息。但這不是問(wèn)題——讓我們從另一側(cè)入手。我們可以使用cmdline插件收集每個(gè)進(jìn)程的命令行參數(shù)信息。
圖8.9展示了cmdline的部分輸出。
如您所見(jiàn),rundll32.exe用于啟動(dòng)一個(gè)沒(méi)有擴(kuò)展名的文件dll,名稱隨機(jī)生成——jwkgphpq.euz。這非常可疑。此外,該文件位于一個(gè)隨機(jī)命名的文件夾中,這是惡意活動(dòng)的另一個(gè)常見(jiàn)特征。
現(xiàn)在我們幾乎可以確定,rundll32.exe用于啟動(dòng)惡意文件。讓我們嘗試找出是否有可疑的網(wǎng)絡(luò)連接。為提取此信息,我們需要netscan插件。
圖8.10展示了netscan的部分輸出。
第一個(gè)可疑的IP地址是81.0.236.93。讓我們使用Group-IB圖表收集更多關(guān)于它的信息。
圖8.11展示了Group-IB圖表中的可疑IP地址。
如您所見(jiàn),這個(gè)IP地址與許多惡意文件有關(guān)。單擊其中一個(gè)文件,我們可以獲取更多詳細(xì)信息。能夠轉(zhuǎn)換視角并關(guān)聯(lián)證據(jù)是調(diào)查事件的重要技能。
圖8.12展示了Group-IB圖表中的惡意文件信息。
我們找到了一個(gè)DLL文件,其名稱與我們先前發(fā)現(xiàn)的文件非常相似。這很可能是類似的惡意軟件。
讓我們深入一點(diǎn)——使用分析功能。現(xiàn)在我們不僅有一個(gè)網(wǎng)絡(luò)指標(biāo),還有一個(gè)哈希值。此外,正如您在圖8.12所見(jiàn),該文件在VirusTotal上可用。讓我們根據(jù)獲得的哈希值找到它(圖8.13)。
圖8.13展示了VirusTotal上的惡意文件信息。
看起來(lái)是Emotet。盡管其操作員已被捕(參見(jiàn)第1章《現(xiàn)代勒索軟件攻擊的歷史》),但在2021年11月,Emotet的基礎(chǔ)設(shè)施開(kāi)始恢復(fù),許多公司再次面臨其垃圾郵件活動(dòng)。
盡管我們已經(jīng)識(shí)別了惡意軟件家族,但讓我們進(jìn)一步深入。例如,嘗試從netscan中提取更多指標(biāo)。如果查看輸出,可以注意到另一個(gè)可疑的IP地址——163.172.50.82。該地址也與幾個(gè)惡意文件有關(guān)。
如圖8.14所示。
讓我們?cè)敿?xì)查看其中一個(gè)文件(圖8.15)。
如您所見(jiàn),結(jié)果與前一個(gè)非常相似。讓我們?cè)俅问褂肰irusTotal上的哈希值(圖8.16)。
又是Emotet!我們通過(guò)內(nèi)存取證分析獲得的兩個(gè)IP地址都與惡意活動(dòng)有關(guān)。
現(xiàn)在讓我們分析非易失性數(shù)據(jù)。Live Response Collection不僅讓我們獲得了內(nèi)存鏡像,還獲取了許多我們?cè)谇耙徽掠懻撨^(guò)的證據(jù)來(lái)源,例如預(yù)取文件。
我們已經(jīng)知道我們正在處理Emotet。這種機(jī)器人通常通過(guò)帶有惡意附件的釣魚(yú)電子郵件傳播,例如Microsoft Word文檔或Excel電子表格。
圖8.16展示了VirusTotal上的惡意文件信息。
如果查看收集的文件,很容易找到winword.exe的預(yù)取文件。讓我們使用PECmd解析它,并檢查其中的引用文件。
圖8.17展示了PECmd的部分輸出。
非常有趣——在Microsoft Outlook使用的臨時(shí)文件夾中,有一個(gè)可疑的DOCM文件:受害者很可能通過(guò)電子郵件收到了它。
我們還看到用戶名為CARPC,因此現(xiàn)在我們可以獲取NTUSER.DAT注冊(cè)表文件,并使用RegRipper提取與該用戶相關(guān)的數(shù)據(jù)。
首先,分析存儲(chǔ)最近打開(kāi)文檔信息的注冊(cè)表鍵,我們看到可疑的DOCM文件是用戶在2021年11月16日08:49:55(UTC)打開(kāi)的。
另一個(gè)有趣的發(fā)現(xiàn)是Software\Microsoft\Windows\CurrentVersion\Run鍵中的jwkgphpq.euz值及其數(shù)據(jù)。
看起來(lái)很熟悉,不是嗎?這是Emotet使用的系統(tǒng)持久化機(jī)制!
現(xiàn)在讓我們查看事件日志。如我們所知,攻擊者經(jīng)常使用PowerShell從遠(yuǎn)程服務(wù)器下載文件,因此在調(diào)查釣魚(yú)攻擊時(shí),一定要檢查Windows PowerShell事件日志。
確實(shí),在該日志中有一條有趣的記錄。
這意味著什么?PowerShell被用來(lái)從前面列出的七個(gè)URL地址之一下載文件。程序被保存到C:\ProgramData文件夾中,并通過(guò)rundll32.exe啟動(dòng)。更重要的是,這一事件發(fā)生在打開(kāi)可疑的DOCM文件之后。
總結(jié)一下:2021年11月16日08:49:55(UTC),用戶CARPC打開(kāi)了通過(guò)電子郵件收到的惡意文檔FILE_24561806179285605525.docm。打開(kāi)文檔并啟用受保護(hù)內(nèi)容后,PowerShell啟動(dòng)以從遠(yuǎn)程服務(wù)器下載并啟動(dòng)Emotet。該機(jī)器人將自身復(fù)制到C:\Users\CARPC\AppData\Local\Iqnmqm\jwkgphpq.euz,并通過(guò)在Software\Microsoft\Windows\CurrentVersion\Run中記錄路徑來(lái)確保在受感染系統(tǒng)中持久存在。用于控制和管理的遠(yuǎn)程服務(wù)器IP地址為81.0.236.93和163.172.50.82。
在本章中,我們討論了勒索軟件操作員使用的兩種非常常見(jiàn)的初始訪問(wèn)方法——攻擊外部遠(yuǎn)程訪問(wèn)服務(wù)和釣魚(yú)。
正如您所見(jiàn),在重建惡意行為時(shí),可以依賴各種來(lái)源的證據(jù)——從易失性內(nèi)存到Windows事件日志。此外,我們可以使用各種數(shù)據(jù)收集工具并對(duì)收集到的數(shù)據(jù)進(jìn)行過(guò)濾。這一點(diǎn)非常重要,特別是在需要同時(shí)從多臺(tái)主機(jī)收集和分析數(shù)據(jù)時(shí)。
當(dāng)然,初始訪問(wèn)只是勒索軟件攻擊的開(kāi)始,因此事件響應(yīng)專家需要能夠發(fā)現(xiàn)許多其他證據(jù)。
在下一章中,我們將重點(diǎn)討論各種后期利用活動(dòng),例如網(wǎng)絡(luò)偵察和憑證獲取。
from zgao.top