一、事件背景
2021年5月,綠盟科技CERT監(jiān)測(cè)到REvil/Sodinokibi勒索家族的多起活動(dòng),REvil為Ransomware Evil(又稱(chēng)Sodinokibi)的縮寫(xiě),是一個(gè)私人勒索軟件即服務(wù)(RaaS)組織。于2019年4月首次被發(fā)現(xiàn),在一年內(nèi)就已被用于一些知名網(wǎng)絡(luò)攻擊,2019年8月的PerCSoft攻擊,2020年1月的Travelex勒索軟件攻擊,及2020年1月的Gedia Automotive攻擊等事件。近期,該組織入侵了蘋(píng)果公司的供應(yīng)商,并竊取了蘋(píng)果公司即將推出的產(chǎn)品機(jī)密原理圖。
多數(shù)網(wǎng)絡(luò)安全專(zhuān)家認(rèn)為,REvil是以前一個(gè)臭名昭著但已解散的黑客團(tuán)伙GandCrab的分支。該推測(cè)源于REvil在GandCrab停止運(yùn)營(yíng)后立刻開(kāi)始活動(dòng),且二者使用的勒索軟件存在大量共享代碼。
二、組織分析
Sodinokibi運(yùn)營(yíng)商通常雇用黑客攻擊者進(jìn)行初始入侵。他們的攻擊往往從熟悉的技術(shù)開(kāi)始,如帶有魚(yú)叉式釣魚(yú)鏈接或附件的惡意郵件、使用有效賬戶(hù)的RDP訪(fǎng)問(wèn)、已被入侵的web網(wǎng)站和漏洞利用等。并且還會(huì)使用一些對(duì)目標(biāo)具有針對(duì)性的技術(shù)。
Sodinokibi家族采用勒索軟件即服務(wù)的模式,意味著分發(fā)的攻擊者將向運(yùn)營(yíng)商支付最新版本的使用費(fèi),并由勒索組織為他們運(yùn)營(yíng)基礎(chǔ)設(shè)施。在Sodinokibi的配置中有兩個(gè)字段,將跟蹤客戶(hù)端和部署勒索軟件期間的特定客戶(hù)端活動(dòng)。
三、攻擊手法分析
Sodinokibi病毒本身并不具備自動(dòng)傳播功能,主要依靠攻擊者手動(dòng)傳播,但會(huì)通過(guò)掃描局域網(wǎng)共享資源,嘗試加密共享文件。勒索病毒團(tuán)伙對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期滲透,獲取內(nèi)網(wǎng)權(quán)限并控制關(guān)鍵生產(chǎn)設(shè)施(例如域控主機(jī)),然后通過(guò)特定方式(例如域策略、PsExec遠(yuǎn)程連接執(zhí)行等)在內(nèi)網(wǎng)中傳播加密病毒主體程序。在入侵過(guò)程中,攻擊者使用了很多類(lèi)似APT組織的手段,如利用CobaltStrike等遠(yuǎn)控木馬長(zhǎng)期駐留、收集敏感文件、白加黑實(shí)現(xiàn)勒索病毒免殺等。
某案例中,攻擊者通過(guò)powershell命令禁用Windows Defender的實(shí)時(shí)保護(hù):
通過(guò)共享拷貝與wmic命令,將勒索病毒樣本拷貝到目標(biāo)主機(jī)并執(zhí)行:
或者通過(guò)域控下發(fā)組策略的方式,將勒索病毒樣本拷貝到終端并執(zhí)行。勒索病毒本體具有有效數(shù)字簽名,并采用了白加黑的方式,躲避殺毒軟件查殺。
攻擊者還會(huì)使用powershell或MSBUILD命令執(zhí)行文件加載CobaltStrike 遠(yuǎn)控木馬以實(shí)現(xiàn)長(zhǎng)期權(quán)限維持。
病毒本身并不具備系統(tǒng)駐留功能,不會(huì)讀寫(xiě)被加密終端的任何啟動(dòng)項(xiàng)。但在一些案例中發(fā)現(xiàn),部分攻擊者通過(guò)批處理的方式新建定時(shí)計(jì)劃任務(wù)來(lái)不斷啟動(dòng)加密程序,以便達(dá)到感染新文件、新存儲(chǔ)介質(zhì)的目的。
REvil家族在滲透的過(guò)程中除了投放勒索病毒,還會(huì)收集上傳被攻擊系統(tǒng)的文件。某案例中,勒索信提到“我們還從您的服務(wù)器下載了大量敏感數(shù)據(jù),如果您不付款,我們將會(huì)把您的文件上傳到我們的公共博客”。
在本地開(kāi)啟網(wǎng)絡(luò)共享,并通過(guò)psexec工具,利用通用口令,批量將users.ps1拷貝到目標(biāo)主機(jī)。
使用psexec命令,批量執(zhí)行拷貝到目標(biāo)主機(jī)的users.ps1文件。
攻擊者會(huì)通過(guò)powershell腳本搜集系統(tǒng)敏感文件并上傳。腳本作用:收集目標(biāo)主機(jī)120天內(nèi)創(chuàng)建的指定后綴文件,并上傳到目標(biāo)主機(jī)共享目錄。
通過(guò)注冊(cè)表信息,確認(rèn)攻擊者安裝了TntDrive客戶(hù)端,并將云存儲(chǔ)對(duì)象掛載到本地磁盤(pán)U(攻擊者上傳文件的共享目錄)。
四、CobaltStrike分析
原始powershell代碼使用powershell base64編碼:
解碼后內(nèi)容如下:
進(jìn)行二次解碼,獲取到powershell真實(shí)代碼,功能為將腳本中的數(shù)據(jù)進(jìn)行異或,加載到內(nèi)存中執(zhí)行。此腳本為Cobaltstrike powershell形式的payload。
將加載到內(nèi)存中的內(nèi)容恢復(fù)成二進(jìn)制文件,可以獲取到CS beacon的回連地址。通過(guò)回連地址發(fā)現(xiàn),此shellcode是CS的SMB beacon,主要用于內(nèi)網(wǎng)滲透。
五、勒索樣本分析
5.1 釋放本體
樣本入口如下:
會(huì)釋放出一個(gè)exe和一個(gè)dll到臨時(shí)目錄,并啟動(dòng)進(jìn)程MsMpEng.exe
釋放的MsMpEng.exe文件本身無(wú)惡意功能,主要用于給Mpsvc.dll提供運(yùn)行環(huán)境,病毒的所有行為都在該dll文件中。接口為Mpsvc.dll的導(dǎo)出函數(shù)ServiceCrtMain:
導(dǎo)出函數(shù)ServiceCrtMain任務(wù)是:
PE如下:
還原PE標(biāo)記,使用PE文件解析器可正常解析,但導(dǎo)入表被加密,后來(lái)發(fā)現(xiàn)病毒手動(dòng)調(diào)用要使用的API(動(dòng)態(tài)解密)。
該P(yáng)E文件為病毒本體,到此病毒本體釋放完成。
病毒本體概覽:
5.2 病毒配置表
該勒索病毒有張配置表,該配置表單主要記錄了病毒加密行為以及勒索文本如下:
文件目錄排除:
“fld”:[“$windows.~bt”,”intel”,”google”,”windows”,”torbrowser”,”$windows.~ws”,”applicationdata”,”mozilla”,”windows.old”,”perflogs”,”appdata”,”msocache”,”boot”,
“systemvolumeinformation”,”programfiles”,”programfiles(x86)”,”$recycle.bin”,”programdata”],
文件排除:
“fls”:[“thumbs.db”,”bootsect.bak”,”desktop.ini”,”ntldr”,”ntuser.dat”,”autorun.inf”,”iconcache.db”,”boot.ini”,”bootfont.bin”,”ntuser.ini”,”ntuser.dat.log”],
文件擴(kuò)展名排除:
“ext”:[“exe”,”mod”,”shs”,”cpl”,”idx”,”diagcfg”,”ico”,”nomedia”,”sys”,”cmd”,”key”,”msp”,”msstyles”,”bin”,”rom”,”bat”,”cur”,”diagcab”,”ldf”,”dll”,”scr”,”hta”,”rtp”,”hlp”,”theme”,”msi”,”com”,”prf”,”spl”,”wpx”,”deskthemepack”,”diagpkg”,”mpa”,”icns”,”ps1″,”drv”,”ics”,”nls”,”adv”,”msu”,”cab”,”lnk”,”ocx”,”ani”,”themepack”,”icl”,”msc”,”386″,”lock”]},
文件目錄移除:
“wfld”:[“backup”],
停用服務(wù)清單:
“prc”:[“mydesktopqos”,”thebat”,”synctime”,”onenote”,”mspub”,”dbsnmp”,”isqlplussvc”,”tbirdconfig”,”oracle”,”xfssvccon”,”wordpad”,”agntsvc”,”sqbcoreservice”,”ocautoupds”,”firefox”,”msaccess”,”thunderbird”,”excel”,”outlook”,”encsvc”,”visio”,”powerpnt”,”ocomm”,”steam”,”mydesktopservice”,”ocssd”,”sql”,”winword”,”dbeng50″,”infopath”]
殺死服務(wù)清單:
“svc”:[“veeam”,”sql”,”svc$”,”backup”,”sophos”,”vss”,”memtas”,”mepocs”]
勒索文本:
[+] Whats Happen? [+]
Your files are encrypted, and currently unavailable. You can check it: all files on your system has extension u89416xh.
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
[+] What guarantees? [+]
………………………………..
并且病毒會(huì)判斷所感染計(jì)算機(jī)使用的語(yǔ)言,如下:
使用函數(shù)GetUserDefaultUILanguage,GetSystemDefaultUILanguage返回的ID和列表框中的ID不同,那么為感染目標(biāo),通過(guò)此處來(lái)看修改非目標(biāo)計(jì)算機(jī)語(yǔ)言可排除感染該病毒。病毒會(huì)創(chuàng)建互斥體確保唯一運(yùn)行,病毒會(huì)多次檢查自己的句柄權(quán)限是否為管理員權(quán)限,如果權(quán)限不夠?qū)?huì)重新以管理員權(quán)限重新啟動(dòng)自己,并且激活相關(guān)權(quán)限。
5.3 主體功能
5.3.1 本地加密
病毒實(shí)際的行為是在Sub_F4476F_Start函數(shù)中,如下:
病毒首先清空回收站,關(guān)閉清單中的相關(guān)服務(wù),殺死清單中進(jìn)程,然后在激活相關(guān)權(quán)限的情況下,開(kāi)始加密功能。主要使用FindFirstFile 和FindNextFile來(lái)查找所有文件,使用salsa20+AES的算法進(jìn)行文件加密。
在加密的過(guò)程如果發(fā)現(xiàn)文件為目標(biāo)感染文件,但被進(jìn)程占用,病毒會(huì)調(diào)用terminateProcesss結(jié)束相關(guān)進(jìn)程,再進(jìn)行加密。
加密函數(shù)如下:
網(wǎng)絡(luò)磁盤(pán)加密
病毒也會(huì)同時(shí)對(duì)網(wǎng)絡(luò)磁盤(pán)中的文件進(jìn)行加密,如下:
5.3.2 嘗試加密局域網(wǎng)共享文件
在加密的過(guò)程中病毒有枚舉局域網(wǎng)計(jì)算機(jī)的行為,主要是查找局域網(wǎng)共享,嘗試加密共享文件。
5.4 顯示桌面勒索背景
在加密功能完成以后會(huì)通過(guò)設(shè)置注冊(cè)表設(shè)置桌面背景為勒索圖片。
六、勒索軟件防范建議
- 加強(qiáng)企業(yè)員工安全意識(shí)培訓(xùn),不輕易打開(kāi)陌生郵件或運(yùn)行來(lái)歷不明的程序;
- 盡量排除危險(xiǎn)端口對(duì)外開(kāi)放,利用IPS、防火墻等設(shè)備對(duì)危險(xiǎn)端口進(jìn)行防護(hù)(445、139、3389等);
- 開(kāi)啟Windows系統(tǒng)防火墻,通過(guò)ACL等方式,對(duì)RDP及SMB服務(wù)訪(fǎng)問(wèn)進(jìn)行加固;
- 通過(guò)Windows組策略配置賬戶(hù)鎖定策略,對(duì)短時(shí)間內(nèi)連續(xù)登陸失敗的賬戶(hù)進(jìn)行鎖定;
- 加強(qiáng)主機(jī)賬戶(hù)口令復(fù)雜度及修改周期管理,并盡量排除出現(xiàn)通用或規(guī)律口令的情況;
- 修改系統(tǒng)管理員默認(rèn)用戶(hù)名,排除使用admin、administrator、test等常見(jiàn)用戶(hù)名;
- 安裝具備自保護(hù)的防病毒軟件,防止被黑客退出或結(jié)束進(jìn)程,并及時(shí)更新病毒庫(kù);
- 及時(shí)更新操作系統(tǒng)及其他應(yīng)用的高危漏洞安全補(bǔ);
- 定時(shí)對(duì)重要業(yè)務(wù)數(shù)據(jù)進(jìn)行備份,防止數(shù)據(jù)破壞或丟失。
七、產(chǎn)品防護(hù)
針對(duì)此類(lèi)事件,綠盟科技網(wǎng)絡(luò)入侵防護(hù)/檢測(cè)系統(tǒng)(IPS/IDS)、綜合威脅探針(UTS)與下一代防火墻 (NF)已發(fā)布規(guī)則升級(jí)包。請(qǐng)相關(guān)用戶(hù)升級(jí)至最新版本規(guī)則,以形成安全產(chǎn)品防護(hù)能力。產(chǎn)品規(guī)則版本號(hào)如下:
產(chǎn)品 |
升級(jí)包版本 |
升級(jí)包下載鏈接 |
IPS/IDS規(guī)則包 |
5.6.9.25418 5.6.10.25418 5.6.11.25418 |
http://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.9 http://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.10 http://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.11 |
UTS規(guī)則包 |
5.6.10.25418 |
http://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.0 |
NF規(guī)則包 |
6.0.1.850 6.0.2.850 |
http://update.nsfocus.com/update/listNewNfDetail/v/rule6.0.1 http://update.nsfocus.com/update/listNewNfDetail/v/rule6.0.2 |
八、IOCs
835f242dde220cc76ee5544119562268
7d1807850275485397ce2bb218eff159
8cc83221870dd07144e63df594c391d9
主機(jī)特征:
%TEMP%\MsMpEng.exe
%TEMP%\Mpsvc.dl