波音遭遇勒索攻击事件分析复盘——定向勒索的威胁趋势分析与防御思考
时间 : 2023年12月30日 来源: 6163银河.net163.amCERT
1.概述
2016年前后,勒索攻击的主流威胁形态已经从勒索团伙传播扩散或广泛投放勒索软件收取赎金,逐渐转化为RaaS+定向攻击收取高额赎金的运行模式。RaaS为Ransomware as a Service(勒索即服务)的缩写,是勒索团伙研发运营的勒索攻击基础设施,包括可定制的破坏性勒索软件、窃密组件、勒索话术和收费通道等。各种攻击团伙和个人租用RaaS攻击基础设施,在获得赎金后,与RaaS攻击组织分账结算。在众多勒索攻击组织中,LockBit组织最为活跃,从其公布的数据显示,LockBit的RaaS支撑了上千起的攻击活动,并因一例涉及中资企业海外机构案例被国内外广泛关注。
为有效应对RaaS+定向勒索风险,防御者需要更深入地了解定向勒索攻击的运行机理,才能构建有效的敌情想定,针对性的改善防御和响应能力。因此,择取典型案例,对此类攻击进行深度复盘极为重要。但由于相关涉我案例的分析支撑要素并不成熟,6163银河.net163.amCERT在其他近期重大攻击案例中进行了筛选,选择了同样与LockBit组织相关,且可参考信息相对丰富的波音公司遭遇定向勒索攻击事件(以下简称本事件)展开了完整复盘分析。6163银河.net163.amCERT长期关注和分析勒索攻击,对LockBit等攻击组织的持续关注,形成了较为系统的分析积累,依托6163银河.net163.am赛博超脑平台的情报数据,CISA等机构对本事件公布的相关公开信息展开工作。从攻击过程还原、攻击工具清单梳理、勒索样本机理、攻击致效后的多方反应、损失评估、过程可视化复盘等方面开展了分析工作,并针对事件中暴露的防御侧问题、RaaS+定向勒索的模式进行了解析,并提出了防御和治理方面的建议。
2.事件背景和报告形成过程
2023年10月下旬,波音公司成为了RaaS+定向勒索攻击的受害者[1]。由于LockBit是通过RaaS模式运营的攻击组织,本次攻击事件的实际攻击者暂时无法确认。2023年10月27日,LockBit所属的受害者信息发布平台发消息声称窃取了波音的大量敏感数据,并以此胁迫波音公司,如果不在2023年11月2日前与LockBit组织取得联系,将会公开窃取到的敏感数据。此后,波音一度从受害者名单中消失,直至11月7日,LockBit组织再次将波音公司列入受害者名单中,并声称波音公司无视其发出的警告,威胁要发布大约4GiB的数据。可能因双方谈判失败,LockBit组织于11月10日公开发布了从波音公司窃取到的21.6 GiB数据(媒体报道为43 GiB,系重复计算了压缩包和展开后的数据)。
6163银河.net163.am长期持续跟踪和响应了从勒索软件传播到定向勒索攻击的活动演进。在历史分析成果中,对“勒索软件和蠕虫的合流”、“定向勒索将接近APT攻击水准”等,都发出了风险预警(参见附录四)。针对LockBit的本次攻击波,6163银河.net163.am于11月17日以《LockBit 勒索软件样本分析及针对定向勒索的防御思考》[2]为题,发布了本报告的V1.0版。由于当时缺少相对丰富的信息,在技术层面仅展开了样本分析工作,并未进行攻击过程复盘。波音公司被勒索攻击之后,美国网络安全和基础设施安全局(CISA)对事件进行了取证调查,并于2023年11月21日发布了相关报告[3],相关报告给出了高质量的形式化情报,为分析复盘攻击事件提供了极为重要的参考,我们结合历史工作积累其他开源情报和对本报告进行完善。
3.LockBit攻击组织的历史情况和部分历史攻击事件
3.1 组织基本情况
LockBit组织最早于2019年9月被发现,因其加密后的文件名后缀为.abcd,而被称为ABCD勒索软件;该组织在2021年6月发布了勒索软件2.0版本,增加了删除磁盘卷影和日志文件的功能,同时发布专属数据窃取工具StealBit,采用“威胁曝光(出售)企业数据+加密数据”双重勒索策略;2021年8月,该组织的攻击基础设施频谱增加了对DDoS攻击的支持;2022年6月勒索软件更新至3.0版本,由于3.0版本的部分代码与BlackMatter勒索软件代码重叠,因此LockBit 3.0又被称为LockBit Black,这反映出不同勒索攻击组织间可能存在的人员流动、能力交换等情况。使用LockBit RaaS实施攻击的相关组织进行了大量攻击作业,通过第三方获取访问凭证、漏洞武器化和搭载其他恶意软件等方式入侵至受害者系统后投放勒索软件,大量受害者遭受勒索和数据泄露。LockBit攻击组织在2022年实施的多次勒索攻击活动及影响突显了其为该年度全球最活跃的勒索攻击组织,甚至主动采取了传播和PR活动。该组织面向Windows、Linux、macOS、以及VMware虚拟化平台等多种主机系统和目标平台研发勒索软件,其生成器通过简单交互即可完成勒索软件定制。LockBit勒索软件仅对被加密文件头部的前4K数据进行加密,因此加密速度明显快于全文件加密的其他勒索软件,由于在原文件对应扇区覆盖写入,受害者无法通过数据恢复的方式来还原未加密前的明文数据。
表3-1 LockBit攻击组织基本情况
组织名称 |
LockBit |
组织曾用名 |
ABCD |
出现时间 |
2019年9月 |
典型突防方式 |
钓鱼攻击、第三方获取访问凭证、漏洞武器化和搭载其他恶意软件 |
典型加密后缀 |
字母与数字随机组合的9位个人ID |
解密工具 |
暂未发现公开的解密工具 |
加密目标系统 |
Windows,Linux,macOS,VMware等 |
运营方式 |
勒索即服务,基于勒索赎金和贩卖数据 |
侵害模式 |
加密致瘫、窃密、DDoS干扰服务 |
常见针对行业 |
金融业,居民服务业,建筑业,教育,信息传输、软件和信息技术服务业,制造业 |
常见国家/地区 |
美国、英国、德国、加拿大 |
是否多重组合勒索 |
是 |
勒索信样例 |
|
LockBit勒索组织的RaaS服务成为攻击者实施网络勒索行为的犯罪工具。这些攻击者通过利用多种手段,其中包括第三方获取访问凭证、漏洞武器化,以及搭载其他恶意软件等方式,成功实现对受害系统的初始访问。一旦入侵成功,攻击者的下一步行动通常涉及窃取数据文件,并随后投放LockBit勒索软件,将目标系统的数据文件进行加密,继而实施勒索。
3.2 历史勒索攻击情况
LockBit勒索组织的规模庞大,拥有众多附属成员。其Tor网站几乎每天都在更新,新增来自世界各地的受害者信息。这个组织采用了一种双重勒索策略,即“威胁曝光企业数据+加密数据勒索”,进一步加剧了攻击的危害程度。在Tor网站上,LockBit组织已经发布了超过2200条受害企业信息,仅在2023年,已经发布了1000余条受害企业信息。这仅仅是公开信息,而实际受害企业数量可能远超过这个数字。值得关注的是,攻击者与受害企业有时会选择通过私下谈判的方式解决问题,而不在Tor上公开受害企业信息。这意味着实际受害企业数量可能远远超过已公开的信息,这加剧了LockBit组织对企业和机构的网络安全威胁。
表3-2 遭遇LockBit勒索攻击的典型事件清单
时间 |
受害单位 |
影响 |
2021年8月 |
爱尔兰IT咨询公司埃森哲 |
窃取约6 TiB数据,要求支付5000万美元赎金 |
2022年1月 |
法国泰雷兹集团 |
部分数据被公开;同年11月再次遭受勒索攻击,公开窃取的约9.5 GiB数据 |
2022年2月 |
普利司通美洲分公司 |
公司暂停部分工作运营,受害系统数据被窃 |
2022年6月 |
美国数字安全公司Entrust |
部分数据被窃取 |
2022年7月 |
法国电信运营商La Poste Mobile |
导致部分系统关停,官方网站关停10余天,部分用户信息被公开 |
2022年10月 |
巴西利亚银行 |
部分数据被窃取,要求支付50 BTC赎金 |
2022年11月 |
德国大陆集团 |
窃取约40 GiB数据,要求支付5000万美元赎金 |
2022年12月 |
美国加州财政部 |
窃取约76 GiB数据 |
2023年1月 |
英国皇家邮政 |
国际出口服务中断,约45 GiB数据被窃取,要求支付8000万美元赎金 |
2023年6月 |
台积电供应商擎昊科技 |
部分数据被窃取,要求支付7000万美元赎金 |
2023年8月 |
加拿大蒙特利尔市电力服务委员会 |
窃取约44 GiB数据 |
2023年10月 |
美国波音公司 |
窃取约21.6 GiB数据 |
4.事件过程完整复盘分析
为了让防御者更深入了解定向勒索攻击的运行机理,有针对性的改善防御和响应能力,6163银河.net163.amCERT以对LockBit攻击组织的历史分析成果为基础,参考CISA取证报告等开源情报,综合运用多种分析方法和手段,对LockBit组织针对波音公司的勒索攻击进行了复盘,分析了勒索样本,梳理了攻击工具清单,对攻击致效后的情况和损失进行了分析,并对攻击杀伤链与技战术图谱进行了分析。
4.1 攻击过程复盘
步骤1:LockBit勒索组织(后称攻击者)针对波音公司的Citrix NetScaler ADC 和 NetScaler Gateway 设备发动漏洞利用攻击,窃取有效用户的访问cookie。该漏洞无需额外权限,攻击者可在不需要任何权限的前提下,构造特定的数据包造成缓冲区溢出,可从 Citrix NetScaler ADC 和 NetScaler Gateway 中越界检索身份验证会话 cookie等信息,通过cookie绕过身份验证,获取系统web登录权限,通过web功能配置植入木马进行信息窃取或勒索软件进行勒索攻击。
Citrix NetScaler ADC 和 NetScaler Gateway 均提供网关服务,其web管理界面可对http、dns进行详细的管理和配置,可篡改用户数据实现投毒,可对插件进行恶意更换,用户安装被恶意更换的插件后即可被控。
图4-1 Citrix配置界面
步骤2:攻击者利用窃取的cookie实现对波音公司边界服务器的访问,植入运行脚本123.ps1,实现释放并执行Downloader木马,从C2中下载各种远程软件、脚本、网络扫描等武器装备,Downloader可远程获取的装备清单如表4-1所示。
123.ps1脚本内容如下,功能为拼接base64编码,解码生成adobelib.dll文件(Downloader木马),以特定十六进制字符串作为参数加载该Downloader木马:
$y = "TVqQAAMA...
$x = "RyEHABFQ...
$filePath = "C:\Users\Public\adobelib.dll"
$fileBytes = [System.Convert]::FromBase64String($y + $x)
[System.IO.File]::WriteAllBytes($filePath, $fileBytes)
rundll32 C:\Users\Public\adobelib.dll,main ed5d694d561c97b4d70efe934936286fe562addf7d6836f795b336d9791a5c44
表4-1 攻击装备列表
攻击装备 |
|||
123.ps1(初始脚本) |
processhacker.exe(结束进程及服务) |
psexec.exe(远程命令执行) |
AnyDesk(远程控制软件) |
ad.ps1(域环境信息收集) |
mimikatz.exe(凭证获取) |
tniwinagent.exe(信息收集) |
Splashtop(远程控制软件) |
veeam-get-creds.ps1(凭证收集) |
proc.exe(进程dump) |
Zoho(远程控制软件) |
Action1(远程控制软件) |
secretsdump.py(凭证收集) |
netscan.exe(网络扫描) |
ConnectWise(远程控制软件) |
Atera(远程控制软件) |
sysconf.bat(执行plink) |
servicehost.exe(建立SSH隧道工具-plink) |
Screenconnect(远程控制软件) |
fixme it(远程控制软件) |
步骤3:攻击者将恶意dll文件配置为计划任务和将AnyDesk远程软件配置成服务来实现持久化访问该入口。AnyDesk是一款由德国公司AnyDesk Software GmbH推出的远程桌面软件。用户可以通过该软件远程控制计算机,同时还能与被控制的计算机之间进行文件传输,主要应用于客户日常运维和业务相关主机的远程管理。这一软件是常用网管工具、由正规软件研发企业发布,且有对应厂商数字签名,往往被作为白名单软件。但这也使攻击组织在活动中利用这类软件的远程管理功能实现持久访问、文件传输,并利用其是合法签名执行体来规避检测。
服务创建及计划任务添加所使用的命令如下:
schtasks.exe /create /tn " UpdateAdobeTask " /sc MINUTE /mo 10 /tr "'Mag.dll '" /f
sc create AnyDesk binpath= c:\perflogs\ AnyDeskMSI.exe type=own start=auto displayname=AnyDesk
6163银河.net163.am AVL SDK 反病毒引擎检测到AnyDesk后,会反馈输出 Riskware/Win32. AnyDesk作为命名,便于提醒网管判断是正常应用还是攻击者投放。
步骤4:攻击者使用合法的网络扫描工具探测目标内部网络服务,通过ADRecon脚本(ad.ps1)收集AD域信息,利用tniwinagent工具(信息收集)收集其他主机信息。ADRecon 是由澳大利亚信息安全服务提供商Sense of Security开发的一种收集有关 Active Directory 信息并生成报告的工具,该报告可以提供目标 AD 环境当前状态的整体情况。该工具采用PowerShell脚本语言编写,于2018年在Github开源。基于域环境信息收集功能,易被攻击者利用,其中FIN7黑客组织曾使用过该工具[4]。
6163银河.net163.am AVL SDK 反病毒引擎检测到的ADRecon后,会反馈输出 HackTool/PowerShell.ADRecon作为命名,便于提醒网管判断是正常应用还是攻击者投放。
步骤5:攻击者使用proc.exe(进程dump)工具获取lsass.exe进程内存,结合Mimikatz工具获取系统中的各类凭证;使用veeam-get-creds.ps1脚本从波音公司的veeam平台中获取保存的凭证;使用secretsdump.py从波音公司的Azure VM上获取各种账号数据库文件及注册表信息。相关使用命令如表4-2所示。
表4-2 凭证窃取操作信息表
命令作用 |
命令内容 |
转储lsass进程内存 |
proc.exe
-accepteula -ma lsass.exe c:\perflogs\lsass.dmp |
从lsass进程转储文件中提取凭证 |
mimikatz.exe
"sekurlsa::minidump c:\perflogs\lsass.dmp "
"sekurlsa::logonPasswords full" |
从veeam平台中提取凭证 |
.\veeam-get-creds.ps1 |
从Azure VM平台中收集凭证 |
secretsdump.py
|
Mimikatz(Mimikatz)是一款黄帽子(黑客)工具,最初由法国黑客Benjamin Delpy开发,并于2011年首次发布,该工具除了可执行文件版本外还存在脚本类型版本。Mimikatz的主要功能是获取和操控Windows操作系统中的凭证,如用户登录密码、Windows登录凭据(NTLM哈希和Kerberos票据)以及各种应用程序和服务的凭证。Mimikatz设计的目的是揭示Windows系统中密码和凭证管理的薄弱点,并用于安全专业人员的演示和教育目的。然而,由于其功能强大且广泛被黑客所利用,Mimikatz也被视为危险的工具,用于进行恶意攻击、数据窃取和潜在的勒索活动。凭借其高度灵活和兼容性,Mimikatz已被APT组织或网络犯罪组织应用于攻击活动中,其中6163银河.net163.am于2020年监测到苦象组织使用PowerShell脚本形式的Mimikatz工具[5]。
6163银河.net163.am AVL SDK 反病毒引擎检测到的Mimikatz后,会反馈输出 HackTool/Win32.Mimikatz、HackTool/Win64.Mimikatz或Trojan/PowerShell.Mimikatz作为命名,便于提醒网管判断是正常应用还是攻击者投放。
ProcDump 是一个命令行实用程序,是Sysinternals Suite 系统组件的一部分,其主要目的是监视应用程序的 CPU 峰值并在峰值期间生成故障转储,管理员或开发人员可以使用它来确定峰值的原因。ProcDump 还包括挂起窗口监视(使用与 Windows 和任务管理器使用的窗口挂起相同的定义)、未处理的异常监视,并且可以根据系统性能计数器的值生成转储。它还可以用作通用进程转储实用程序,将其嵌入到其他脚本中。在本次事件中,该工具被攻击者利用其白名单特性及进程转储功能,结合Mimikatz工具获取系统凭证。
6163银河.net163.am AVL SDK 反病毒引擎检测到对应版本的ProcDump后,会反馈输出 RiskWare/Win32.ProcDump或RiskWare/Win64.ProcDump作为命名,便于提醒网管判断是正常应用还是攻击者投放。
步骤6:攻击者利用获取的各种凭证结合Psexec工具(远程命令执行),在波音内部网络其他主机上部署各种远程软件,获取更多其他服务器及主机的访问权限。Psexec是一个命令行网络管理工具,是Sysinternals Suite系统组件的一部分,其调用了Windows系统的内部接口,以远端Windows主机账户名、密码和要执行的本地可执行文件为输入参数,基于RPC$服务实现,将本地可执行文件推送到远端主机执行,其设计初衷是为了便于网络管理人员以实现敏捷的远程运营。但由于其作为命令行工具便于被调用封装,也导致极易被攻击者作为攻击工具使用,在完成口令破解后,实现一次性投放执行。早在2003年,广泛出现大量基于空口令和常见口令进行传播的系列“口令蠕虫”,大部分都使用了这个机制。特别是出品该系统组件的Sysinternals的团队在2006年7月18日被微软收购,导致其后续版本都带有微软的数字签名,所以也连带导致其会被较大比例的安全软件放行。
6163银河.net163.amAVL SDK反病毒引擎检测到对应版本的Psexec后,会反馈输出 RiskWare/Win32.Psexec或RiskWare/Win64.Psexec作为命名,便于提醒网管判断是正常应用还是攻击者投放。
步骤7:利用远程访问软件传输步骤4至步骤6涉及的各种工具,循环执行步骤4至步骤6的各种操作,尽可能获取更多服务器及主机的访问权限。
步骤8:从已控制的系统中收集各种信息(包括备份文件等),并使用7z.exe工具进行压缩。
步骤9:通过plink.exe工具建立的SSH隧道回传数据;通过FTP协议回传数据(193.201.9[.]224);通过远程控制软件回传数据。pink.exe工具是PuTTY软件中的一个组件,主要功能类似于Linux系统上的ssh命令行工具,用于SSH连接远程主机,同时提供多种方式创建或管理SSH会话。由于其属于PuTTY软件的一个组件,具备数字签名,能够规避以数字签名作为白名单检测机制的终端防护软件的检测。
攻击者使用如下命令格式实现SSH隧道建立:
echo enter | c:\windows\servicehost.exe -ssh -r 8085:127.0.0.1:8085
步骤10:结束相关主机的数据库服务及进程、杀毒软件、其他阻碍勒索加密的进程。
攻击者使用如下命令结束相关进程及服务:
cmd.exe /q /c taskkill /f /im sqlwriter.exe /im winmysqladmin.exe /im w3sqlmgr.exe /im sqlwb.exe /im sqltob.exe /im sqlservr.exe /im sqlserver.exe /im sqlscan.exe /im sqlbrowser.exe /im sqlrep.exe /im sqlmangr.exe /im sqlexp3.exe /im sqlexp2.exe /im sqlex
步骤11:将LockBit 3.0勒索软件通过远程控制软件部署到目标主机(数据价值高的、业务重要性强的)中并执行,实现加密勒索。对目标加密完成后,释放勒索信并修改桌面背景用以提示受害者,便于受害者根据勒索信中预留的联系方式与攻击者进行谈判,谈判内容包括支付赎金的数额和支付方式等。勒索软件及勒索信分析详见下节。
图4-2 勒索信中的联系方式
4.2 攻击工具清单梳理
在本次攻击事件中,攻击者利用Citrix设备相关的CVE-2023-4966漏洞作为突破口,入侵后组合利用多种攻击装备实现网络攻击,例如使用多种带有数字签名的远程控制软件与受害系统建立远程连接,实现传播其他攻击装备;利用Process Hacker实现禁用和卸载与安全软件有关的进程和服务;通过ProcDump工具转储进程内存,结合Mimikatz实现凭证获取,使用NetScan进行网络扫描,用以发现与网络有关的信息等,攻击装备具体使用情况见下表:
表4-3 攻击装备使用情况
装备类型 |
名称 |
装备来源 |
备注 |
漏洞利用 |
Citrix
Bleed(CVE-2023-4966) |
自研漏洞利用代码 |
Citrix
NetScaler ADC 和 NetScaler Gateway 设备的软件漏洞 |
脚本 |
123.ps1 |
自研脚本 |
解码并释放Downloader木马 |
ad.ps1 |
开源脚本(Github) |
AD域侦察脚本,收集域内各种信息 |
|
veeam-get-creds.ps1 |
开源脚本(Github) |
从Veeam平台获取保存的凭证信息 |
|
secretsdump.py |
开源脚本(Github) |
从Azure VM上获取各类账户数据库信息(凭证) |
|
sysconf.bat |
自研脚本 |
用于执行plink |
|
黑客工具 |
processhacker.exe |
公开软件 |
禁用和卸载与安全软件有关的进程和服务 |
mimikatz.exe |
开源软件 |
从内存和进程转储文件中获取凭证 |
|
进程转储 |
proc.exe |
公开软件 |
通过ProcDump工具转储lsass.exe内存,结合Mimikatz实现凭证获取 |
网络扫描 |
netscan.exe |
公开软件 |
重命名Softperfect公司的网络扫描软件,实现网络扫描功能 |
端口转发 |
servicehost.exe |
公开软件 |
重命名的plink(PuTTY Link),用于端口转发建立SSH隧道 |
远程执行 |
psexec.exe |
公开软件 |
用于远程部署特定程序 |
TNI客户端 |
tniwinagent.exe |
公开软件 |
用于发现网络环境中的其他用户,收集信息 |
远程软件 |
Zoho |
公开软件 |
远程控制软件,用于建立远程连接,实现攻击装备传播 |
ConnectWise |
公开软件 |
远程控制软件,用于建立远程连接,实现攻击装备传播 |
|
Screenconnect |
公开软件 |
远程控制软件,用于建立远程连接,实现攻击装备传播 |
|
AnyDesk |
公开软件 |
远程控制软件,用于建立远程连接,实现攻击装备传播 |
|
Splashtop |
公开软件 |
远程控制软件,用于建立远程连接,实现攻击装备传播 |
|
Action1 |
公开软件 |
远程控制软件,用于建立远程连接,实现攻击装备传播 |
|
Atera |
公开软件 |
远程控制软件,用于建立远程连接,实现攻击装备传播 |
|
fixme
it |
公开软件 |
远程控制软件,用于建立远程连接,实现攻击装备传播 |
4.3 勒索样本分析
LockBit有针对多个常见系统平台的载荷,由于并未获得本事件的实际场景运用信息,我们选择了其最新的Windows平台样本进行分析。
表4-4 恶意执行体样本卡片
病毒家族名称 |
Trojan[Ransom]/Win32.LockBit |
MD5 |
38745539B71CF201BB502437F891D799 |
处理器架构 |
Intel 386 or later, and compatibles |
文件大小 |
162.00 KB (165888字节) |
文件格式 |
BinExecute/Microsoft.EXE[:X86] |
时间戳 |
2022-06-27 14:55:54 |
数字签名 |
无 |
加壳类型 |
无 |
编译语言 |
C/C++ |
VT首次上传时间 |
2022-07-03 16:18:47 |
VT检测结果 |
64/72 |
注:可在计算机病毒分类命名百科全书Virusview.net,搜索“LockBit”查看更多该病毒家族相关信息。
勒索软件执行后会释放.ico文件和.bmp文件于%PROGRAMDATA%路径下,用作后续被加密文件的图标和修改的桌面壁纸。
图4-3 附加扩展名
释放的用于标识被加密文件的图标如图4-4所示。
图4-4 被加密文件的图标
LockBit 3.0的代码段进行了加密,在执行后会根据传入的“-pass”命令行参数解密执行,没有密码则无法执行,用该手段来确保加密操作由攻击者在合适时点触发,同时也用来提高防御方和安全企业的分析难度。
图4-5 解密代码段
通过NtSetThreadInformation函数将线程信息设置为ThreadHideFromDebugger,以干扰研究人员分析。
图4-6 干扰分析代码片段
检测系统语言,如果为特定语言则退出程序,不再执行。
图4-7 检查语言
具体检查的语言列表如下,通过其规避的系统,可见LockBit组织本身具有较强的东欧背景特点。
表4-5 检查的语言列表
系统语言 |
阿拉伯语(叙利亚) |
俄语(摩尔多瓦) |
亚美尼亚语(亚美尼亚) |
俄语(俄罗斯) |
|
阿塞拜疆语(西里尔语阿塞拜疆) |
塔吉克语(西里尔塔吉克斯坦) |
|
阿塞拜疆语(拉丁语阿塞拜疆) |
土库曼(土库曼斯坦) |
|
白俄罗斯语(白俄罗斯) |
鞑靼语(俄罗斯) |
|
格鲁吉亚语(格鲁吉亚) |
乌克兰语(乌克兰) |
|
哈萨克语(哈萨克斯坦) |
乌兹别克语(西里尔文乌兹别克斯坦) |
|
吉尔吉斯(吉尔吉斯斯坦) |
乌兹别克语(拉丁乌兹别克斯坦) |
|
罗马尼亚语(摩尔多瓦) |
|
创建多个线程进行加密,并将线程设置为隐藏。LockBit勒索软件仅对被加密文件头部的前4K数据进行加密,因此加密速度明显快于全文件加密的其他勒索软件,由于在原文件对应扇区覆盖写入,受害者无法通过数据恢复的方式来还原未加密前的明文数据。
图4-8 创建文件加密线程
勒索攻击后用户的桌面背景被替换,图片内容为醒目的黑底白字,以增加用户恐慌和压迫感,内容为告知用户的重要文件遭遇窃取和加密,让用户打开对应的文本文件,并按照文本文件中的要求进行操作。
图4-9 修改桌面背景
对应的文本文件即为勒索告知信,其中再次告知用户数据失窃并被加密,恐吓用户如果不缴纳赎金,数据会被放到Tor暗网售卖。信件中包含用于赎金谈判的Tor地址。
图4-10勒索信
4.4 攻击致效后的情况分析
2023年10月27日18时19分,攻击者将波音公司相关信息发布在LockBit勒索软件的Tor网站上并以此胁迫波音公司,如果不在2023年11月2日前与LockBit组织取得联系,将会公开窃取到的敏感数据。此后,波音公司一度从受害者名单中消失,疑似波音与LockBit进入了谈判过程。
图4-11 LockBit攻击组织第一次发布的有关波音公司的勒索提示
2023年11月2日,波音公司声明其客户服务网站services.boeing.com,因技术原因暂停服务,但不影响飞行安全。
图4-12波音公司网站暂停服务声明
2023年11月7日,LockBit组织再次将波音公司列入受害者名单中,并声称波音公司无视其发出的警告,并威胁要公开约4GiB的数据。
图4-13 LockBit攻击组织威胁公开部分数据
2023年11月10日,LockBit组织公开发布从波音公司窃取到约21.6 GiB数据,这些文件包括IT管理软件的配置备份以及监控和审核工具的日志,其中包含Citrix设备的相关文件。从数据清单来看,多数为IT场景、安全产品和设备的相关数据与日志。
图4-14 LockBit攻击组织公开发布窃取的所有波音公司数据
4.5 损失分析
为了更准确分析数据泄露所带来的风险,6163银河.net163.am工程师对相关信息进行了进一步梳理。根据媒体报道,所泄露的文件共计64个,数据约43 GiB。攻击者初始发布的数据包含21.6 GiB压缩包文件及解压后的全部文件,而最初压缩包内的文件列表未提供,导致大部分网络安全新闻报道时将压缩包和包内文件进行了重复计算,即约43 GiB的数据。LockBit于2023年12月19日在受害者信息及数据发布平台上发布了压缩包中的解压文件列表。经对比分析为重复数据。因此,本报告认定的数据以压缩包大小约21.6 GiB为准,我们基于文件大小、文件类型、使用的部门及可能带来的风险展开分析,本分析是基于攻击者公布的文件列表中的信息完成的,存在一定猜测成分。
1、文件大小分析
(1)大于500MiB 的文件:11个,共计41.1 GiB,最大文件是21.6 GiB(该文件为所有文件的压缩包,即媒体误公布数据为43GiB的原因),最小文件1.2 GiB。其中,IT管理系统备份数据4.1 GiB,2018年数据存储库备份数据2.8 GiB,存储库安全组件数据1.3 GiB,分布式虚拟机软件数据2.5GiB,IT解决方案数据1.2 GiB,语音数据4.5 GiB,所有数据的压缩包文件21.6 GiB,其它数据3.1 GiB,Citrix云计算虚拟化软件系统数据770.5MiB、应用程序管理软件505.1MiB,应用程序控制数据588.1MiB。
(2)小于500MiB的文件:53个,最大文件是960.5KiB,最小文件是5.6KiB。其中涉及商业审计、视频监控、数字无线通讯、Citrix云计算虚拟化软件、数据库管理、系统审计工具、ERP管理、波音网站目录树、仿真软件、路径导航软件、实时通信软件、邮箱数据、HP打印审计软件、IT管理系统软件、智能仓储管理系统、文档管理系统等疑似配置文件数据。
2、文件相关内容分析
涉及的软件类型有30种,包括商业审计、视频监控、应用程序管理软件、数字无线通讯设备、波音公司邮箱、波音公司开发的软件、Citrix云计算、虚拟化软件、数据库管理软件、数据中心管理软件、网络安全软件、OpenStack私有云部署软件、HP打印审计软件、IT管理系统软件、数据备份软件、分布式虚拟机软件、企业IT解决方案软件、云语音识别软件、虚拟化软件、系统审计工具、系统日志记录工具、智能仓储管理系统、虚拟化系统、ERP管理软件、文档管理系统、波音网站数据、仿真软件、疑似授权文件、路径导航系统软件、实时通信软件及其它不确定类型。
3、涉及部门分析
通过文件属性分析,对应的内部使用者,疑似涉及的部门有:12个,包括财务部门、安全运营部门、调度部门、客服部门、IT运营部门、飞机维护检修部门、信息安全部门、仓储物流部门、项目管理部门、研发部门、通信部门及其它不确定部门。
4、风险分析
综上,从LockBit所曝光的数据来看,尽管整体上是信息化系统和软件运行日志和备份数据为主。但可能给波音公司带来四方面风险,一是进一步的用户数据泄露风险,主要包括网站、邮箱、仓储、物流、客服等数据。二是应用软件清单暴露风险,主要包括审计、视频监控、通讯、打印、ERP、文档管理、导航、调度、仓储物流等软件。三是安全运营风险,主要包括应用程序管理、Citrix云计算、虚拟化、数据库管理、数据中心管理、安全软件、私有云、网管软件、数据备份等失控风险。四是研发数据风险,主要包括仿真设计和项目研发等数据。
经过上述分析,我们认为实际风险可能大于波音自身所公布的风险提示,并特别需要研判是否会对飞行安全带来风险。
4.6 攻击的杀伤链与技战术图谱分析
LockBit勒索软件组织代表了网空威胁的一种典型形式,具备较为完备攻击支持体系、模块化攻击装备和规模化运营团队。在这些资源的支持下,他们得以能够为高度复杂的攻击活动提供支撑。仅仅关注漏洞、恶意代码等单一环节的分析无法全面理解这类攻击组织的整体过程,也难以为防御提供有效的指导。为了有效抵御超高能力网空威胁行为体的攻击威胁,安全人员需要采用系统化、框架化的威胁分析模型,以深入、全面地分析这些威胁行为,理解攻击者的手法,从而实现更加有效的防御。
6163银河.net163.am以网空威胁框架ATT&CK为参考,对此次事件的各阶段行为进行标准化描述和分类,协助分析攻击者的意图和行为,为相关防御工作的开展提供借鉴和参考。通过复盘分析发现,此攻击是基于Citrix的CVE-2023-4966漏洞,对Citrix NetScaler ADC和NetScaler Gateway相关设备实现初始访问,后续再组合利用多种工具实现多种恶意行为,包括窃取凭证、横向移动、访问数据资源、窃取数据和加密数据的复杂杀伤链过程。
本次事件对应ATT&CK各个阶段及具体行为如下表所示:
表4-6 LockBit勒索攻击战术行为列表
ATT&CK阶段 |
具体行为 |
注释 |
初始访问 |
利用面向公众的应用程序 |
通过CVE-2023-4966漏洞入侵Citrix NetScaler ADC和NetScaler Gateway设备 |
执行 |
利用命令和脚本解释器 |
通过PowerShell执行恶意脚本文件123.ps1 |
利用计划任务/工作 |
通过计划任务执行特定恶意程序 |
|
利用系统服务 |
使用PsExec来执行命令或有效负载 |
|
利用Windows管理规范(WMI) |
使用wmiexec.exe执行特定命令 |
|
持久化 |
利用自动启动执行引导或登录 |
通过将AnyDeskMSI.exe添加自启动服务以实现持久化 |
提权 |
利用漏洞提权 |
通过CVE-2023-4966漏洞提升权限 |
防御规避 |
执行范围保护 |
输入正确的参数会解密主要组件 |
削弱防御机制 |
使用Process hacker工具来禁用和卸载与安全软件有关的进程和服务 |
|
删除信标 |
清除系统事件日志文件,勒索软件自删除 |
|
修改身份验证过程 |
通过CVE-2023-4966漏洞绕过MFA以实现后续恶意行为 |
|
混淆文件或信息 |
混淆代码用以下载黑客工具;向特定C2地址发送混淆加密过的数据 |
|
凭证访问 |
从存储密码的位置获取凭证 |
使用veeam-get-creds.ps1脚本获取Veeam凭证并解密;使用Mimikatz窃取凭证 |
修改身份验证过程 |
通过CVE-2023-4966漏洞绕过MFA,劫持Citrix NetScaler ADC和NetScaler Gateway设备上的合法用户会话,实现凭证访问 |
|
操作系统凭证转储 |
通过ProcDump工具转储进程内存,结合Mimikatz实现凭证获取 |
|
窃取Web会话cookie |
窃取Web应用会话cookie,在NetScaler设备内建立经过身份验证的会话 |
|
发现 |
发现域信任 |
利用ADRecon从域环境中提取信息 |
扫描网络服务 |
利用NetScan扫描与网络相关的服务项 |
|
发现网络共享 |
利用NetScan发现网络共享路径 |
|
发现远程系统 |
利用NetScan发现网络环境中其他远程系统 |
|
发现系统信息 |
获取系统内存信息和有效的NetScaler AAA会话cookie;不会感染系统语言设置与定义的排除列表相匹配的计算机;枚举系统信息,包括主机名、主机配置、域信息、本地驱动器配置、远程共享和安装的外部存储设备 |
|
发现系统地理位置 |
不会感染系统区域设置与定义的排除列表相匹配的计算机 |
|
发现系统所有者/用户 |
通过tniwinagent.exe发现网络环境中的其他用户 |
|
横向移动 |
远程服务会话劫持 |
通过CVE-2023-4966漏洞劫持合法用户会话 |
利用远程服务 |
通过获取到的访问凭证,结合利用PsExec实现横向移动 |
|
收集 |
远程服务会话劫持 |
通过CVE-2023-4966漏洞劫持合法用户会话 |
利用远程服务 |
通过获取到的访问凭证,结合利用PsExec实现横向移动 |
|
命令与控制 |
使用应用层协议 |
使用FTP协议从受害系统向外传输数据 |
使用协议隧道 |
使用PuTTY Link执⾏SSH操作 |
|
利用远程访问软件 |
使用Action1、Atera、Fixme it、Screenconnect、AnyDesk、Splashtop、Zoho assist和ConnectWise等工具进行远程控制 |
|
数据渗出 |
自动渗出数据 |
使用StealBit自定义渗透⼯具从目标网络自动窃取数据 |
影响 |
损毁数据 |
删除日志文件并清空回收站 |
造成恶劣影响的数据加密 |
对目标系统上的数据进行加密,以中断系统和网络的可用性 |
|
篡改可见内容 |
将主机系统的壁纸和图标分别更改为LockBit 3.0壁纸和图标 |
|
禁用系统恢复 |
删除磁盘上的卷影副本 |
|
禁用服务 |
终止特定进程和服务 |
梳理总结后,我们将该事件中涉及的威胁行为技战术映射到ATT&CK图谱中。
图4-15 LockBit勒索攻击战术行为图谱
4.7 攻击过程小结、损失评价与可视化过程复盘
上述分析表明,这是一起基于LockBit勒索攻击组织所提供的RaaS基础设施的针对知名企业的定向勒索攻击事件。攻击者以ADC网络边界设备为初始突防点,把握了相关设备在出现漏洞后未及时响应带来的机会窗口,在相关漏洞利用代码出现后,在第一时间发掘利用,以此实现凭证窃取。之后利用凭证完成进一步的横向移动和向场景中按需投放的落地能力。攻击组织运用了大量开源和商用工具作为实现不同功能的攻击组件,并通过突破域控等关键主机,实现进一步的凭证权限窃取,实现准确和有效投放,窃取了所攻陷主机的相关数据,实现了勒索软件部署。
图4-16 LockBit攻击组织入侵波音公司过程复盘
仅从LockBit所公布的数据来看,主要是相关配置、运营、IT、安全相关的数据,似不包含关于相关技术、工艺、生产、商务等相关的文档、数据。我们猜测存在两种可能:
1、攻击者突破了波音在线服务体系的管理运营,并未进入到实际科研、生产、财务等位置。
2、攻击者仅公布了其中的相对低的价值数据,而将高价值数据继续作为和波音未来谈判的筹码,待价而沽。
6163银河.net163.amCERT相对倾向原因为第一种,但如损失分析一节中所述,依然可能多方面有更为严重的风险后果。
根据上述总结分析,6163银河.net163.am态势感知平台可视化组件生成了攻击行动复现演示动画。由于6163银河.net163.am未参与涉事公司的应急响应及取证,且涉事公司披露情况不全面,因此对本次LockBit攻击组织勒索波音公司事件的可视化复盘并不一定完全与攻击者实际攻击过程匹配,复盘中的网络拓扑、攻击过程及攻击手段存在猜想和推测。
图4-17 LockBit组织针对波音的勒索攻击事件可视化复现
5.波音遭遇勒索事件显露出的攻击趋势
5.1 事件中暴露的防御侧问题
6163银河.net163.amCERT通过对波音遭遇勒索攻击事件进行复盘,结合最近两年的多起APT和定向勒索攻击事件的关联分析,对相关攻击技术的几大趋势做出以下判断:
——暴露面/可攻击面的梳理需要更加深化和清晰。
波音事件的初始攻击入口是通过ADC网关设备的cookie漏洞来获取凭证。在传统攻击中,cookie凭证窃取并不罕见,但与本次突防一体的相关运用方式并不多见。
收敛暴露面和可攻击面一直是网络安全防御重要的基础工作,因此也更容易停留在一些浅层次的理解上。如把工作简单视为:对面向互联网侧开放服务及端口的梳理,以及类似电子邮件地址等可导致攻击投放的入口与泄露情况的梳理。但在资产广泛云化、移动办公、泛在接入的背景下,以及业务形态日趋数字化和依赖互联网的发展趋势下,在接入层面、业务层面,都会出现一系列新的暴露面,包括随着攻击方在运营商和流量侧入侵布局的能力和对网关等设备入侵能力的增强,即使是轻量级的网络访问和网络业务,也同样要做暴露面的梳理。在数字化转型和各种办公通讯应用的部署过程中,也带来了更多的API层面的暴露风险。
——攻击者对漏洞资源的利用效率远胜于防御方。
本事件用于突防的CVE-2023-4966漏洞的利用代码(POC)10月26日在Github上出现,27日攻击者宣布入侵波音成功。我们倾向攻击发生在POC代码公开后。Citrix 已于10月10日修复,但波音等机构并未进行修补。这反映出攻击者对漏洞资源的运用效率和敏感性远胜于防御方。
由于攻击者能熟练使用网络空间测绘引擎的等开源情报,并长期关注积累对重要信息目标的暴露面,因此在POC代码出现后,会有一大批攻击者快速匹配寻找可突防目标。从漏洞的角度看,此前关于0day-1day-Nday的概念,更多还是建立在漏洞发布或公开的时点上,但POC代码被公开,则更是其中需要高度关注的节点,其意味着利用难度瞬间降低,攻击活动的高峰会迅速到来。6163银河.net163.amCERT把类似攻击称为1Exp攻击。由于RaaS+定向勒索本身又构成了一种“众筹犯罪”模型,导致关注不同目标资源或拥有目标信息资源的大量攻击者,都可能在发现机会窗口时尽可能的将机会窗口转化为实际收益。
——安全产品本身极易成为攻击突破口。
攻击者在此次事件中实现突防的ADC设备,并非单纯的应用设备,而是具有一定安全功能,且能对通过的流量进行一定安全过滤的设备。但在越来越多的类似攻击中,明确暴露出这样一个事实:安全产品(设备)或具有一定安全能力的产品(设备)其本身并非是更加安全的,其整体的设计机理都是将安全能力作用于外部环境对象或者流量对象,并未将自身作为可能被攻击者所攻击的目标来强化自身的安全特性。同时,这些产品(设备)在现实应用中,又因其带有安全功能,往往给用户带来了“其自身是安全的”的认知错觉,从而使其更容易成为攻击者的突破点。
——攻击者的关键作业点不只是最终的资产价值点。
通过本次波音事件中,从攻击者攻击带有可获取凭证能力的可攻击点,攻击内部域控节点,以获取相关凭证的活动来看,不能简单地把攻击视为一个在实现了初始突防后进行大面积内网扫描与横向移动以扩大资产价值的手段。显然,在攻击路径中存在着一些比普通可攻击主机具有更强的辅助后期攻击作用的关键节点,例如:攻陷防火墙等网关设备可以实现流量劫持和重定向,攻击域控服务器可以获取资产的登录凭证,攻击网络管理人员的节点可以获取访问服务器的跳板节点或控制权。因此,纵深防御和资源分配不应只是基于拓扑和资产分布的均匀分配,而应形成针对性、有重点的资源投放。
——基于身份+权限+访问控制的合规体系极易被突破。
统一的身份认证机制、权限管理和访问控制机制是安全合规体系的重要基石。特别是统一身份认证在支撑了安全的情况下,又带来了使用上的便利性。但波音事件攻击者较容易地进行了相关凭证和身份的窃取,之后便利用这些凭证进行攻击和横向移动。由于相关行为不是一般性的探测扫描,而本身就是基于绑定凭证的定向植入与投放,导致攻击过程中波音方面完全无感。这说明在没有有效的、细粒度的感知和敏捷闭环运营能力支撑下,身份权限机制一旦被突破,就反过来成为了攻击者的掩护,从而使攻击者在整个合规体系中畅行无阻。
——混合执行体攻击越来越普遍。
在针对波音的攻击中的工具中,包括漏洞利用工具、勒索软件,还包括开源和商用工具。在一些类似的定向勒索或APT级定向攻击中,基于攻击装备清单的梳理,往往同样有很大比例不再是传统意义上的恶意代码,而是为正常的网络管理应用目的所编写的工具或脚本,其中不乏知名的开源工具和商业产品,这些开源工具和商用产品往往都带有发布厂商的数字签名。这种组合运用多种来源执行体的攻击,6163银河.net163.amCERT称之为混合执行体攻击。这就使攻击从早期的基于免杀的方式对主机的突防,进一步走入到可以击破反病毒引擎+可信验证的双安全系统的混合执行体攻击。防范这种攻击,简单结合反病毒引擎+可信验证,显然是颗粒度不足的。
——主机安全防护依然没有得到有效的强化。
尽管攻击者在攻击过程中以窃取的账户和凭证为掩护,但其攻击过程依然要完成在对应目标主机上的实际载荷部署,但在整个过程中,波音的防御体系几乎无感,这显示在主机侧对应的安全产品和运营能力的不足,也进一步印证了主机侧作为资产与业务的承载主体、作为攻击者要窃取和破坏的价值目标,其防护能力需要进一步加强。在国内这一问题更为严重:在数字化发展背景下,对“安全的基石回归主机系统侧”这一必然趋势认识不足,对主机侧的安全需求依然理解为合规性的主机杀毒软件或防护软件,并更倾向以低廉的价格而非更有效的能力去选择产品。同时,由于主机侧工作更复杂、细腻,牵扯与信息化和使用部门的关系更多,导致防御者不愿意在主机侧投入主要的安全成本和管理资源,这些都会导致最后一道安全防线越来越难以抵抗定向攻击。
5.2 RaaS+定向勒索的模式分析
勒索软件即服务(Ransomware as a Service,RaaS)是在2016年出现的。其运行模式是开发人员开发勒索程序,运营人员招收附属成员,附属成员利用各种方式投放勒索程序实现勒索攻击。在RaaS模式下发生的勒索攻击事件,每个事件可能都是独立的,因为用于勒索攻击的“基础设施”提供方和实施攻击者通常不是同一组织。通俗来说,RaaS提供方是“品牌方”,通过招收“品牌代理”的方式扩展附属成员用于投放“品牌产品”,并以产品带来的收益进行抽成分红。由于勒索软件市场的产品较多,知名勒索软件利用其臭名昭著的特点,例如附属成员及攻击事件较多、事件影响力较大和成熟的运营体系等特点,广泛招收附属成员,附属成员也是看中其品牌效应,认为受害者会根据勒索攻击组织的影响力增加支付赎金的金额和可能性。LockBit正是采用RaaS模式运营的攻击组织,归属于该组织的勒索攻击事件非常多,但实际进行勒索攻击的是LockBit组织人员还是附属成员目前暂时无法明确。
勒索攻击组织基于攻击成本和攻击效益的商业运行模式,进行了自我改进。攻击方式从最初的广撒网寻找目标,逐渐地变成对有价值的攻击目标进行定向勒索。攻击者会在事先进行详细的情报搜集,以确保攻击的成功性和收益性,攻击者选择特定的目标通常是大型企业、政府机构或关键基础设施,通过对有价值的攻击目标进行定向勒索,通常会带来更多的勒索收益。当前较为流行的勒索软件攻击组织陆陆续续将定向勒索攻击作为主要攻击方式,例如BlackCat、Clop和LockBit等。
目前勒索软件的RaaS模式不仅仅是提供技术基础设施,而是结合宣传炒作、曝光窃取数据、拍卖窃取数据、将受害人举报到监管机构等方式对受害人实施压力,并制造新闻热点,提升品牌效应,从而以滚雪球方式让勒索组织形成臭名昭著的品牌效应。定向勒索模式针对高价值目标,RaaS的附属成员通过各种方式,包括购买0Day漏洞、研发高级恶意代码、收买企业内鬼和情报等手段提高突防能力,提升勒索载荷落地成功率。这种定向+RaaS的组合模式,形成“定向勒索+窃密+曝光+售卖”链条作业,胁迫受害者支付赎金从而实现获利。
5.3 对应的防御和治理思考
6163银河.net163.am曾在《2020年网络安全威胁回顾与展望》[6]报告中提出定向勒索攻击能力“接近APT水平”。学者韦韬则指出[7],“对于网络勒索攻击的威胁认知大多数还停留于传统的独立个体层面,即具体的勒索软件。现在企业和机构面临的严重勒索威胁是定向勒索攻击,即Targeted Ransomware Attack,是APT+Ransomware的结合体。”“对于定向勒索攻击,备份已经不够用了。勒索是一鱼三吃:加密交钱恢复,敏感数据交钱不挂暗网(不交钱就卖),隐私信息勒索敏感个人。”6163银河.net163.amCERT基于研判,提出进一步的风险预警:复杂的国际形势将使勒索攻击风险变得更加微妙,基于RaaS实施的伪装为勒索攻击,实际以毁瘫为目的的攻击行动会更多出现,从而会出现更多的“假旗”事件。
——正确的认知是有效改善防御能力的基础。
目前国内对勒索攻击的防范,往往还停留在原有的勒索软件的阶段,还有许多人没有意识到勒索攻击已经是由持续定向入侵、窃取数据、加密数据瘫痪系统、勒索金钱、挖掘数据关联价值二次利用、贩卖数据、向监管机构举报、公开窃取数据所构成的一条价值侵害链,而且已经形成了一个规模极为庞大的犯罪产业。在这样的背景下,遭遇勒索攻击的风险已经不是简单的以数据损失和业务暂停为后果的形态,而是要付出失窃的所有数据均会被贩卖、公开等一系列的连锁风险。
从定向勒索攻击的作业方式来看,其在加密毁瘫行为触发前,是类似APT攻击的高度定制化的作业过程。攻击者或者是专业的攻击作业团队,有坚定的攻击意志、较高的攻击能力、充分的可利用漏洞资源,能掌握大量可利用的脆弱性情报和攻击入口资源,有的可能直接就是内部的攻击者。这也是依托RaaS的定向勒索攻击行动,面对有较强IT运营能力和防护投入的大型机构时仍能屡屡得手的原因。无论在勒索防护中扮演最后一道防线的主机系统防护,还是作为最后应对手段的备份恢复,都是防御体系中的单点环节,都在应对高水平定向攻击中担负着在本身能力范围内检测阻断攻击、降低攻击成功率、提高攻击成本、降低风险损失的局部作用,都无法以单点来对抗体系性的攻击。我们必须严肃的指出:将定向勒索攻击简单的等同于早期非定向扩散或广泛投放的勒索软件的威胁,将对抗勒索攻击简单看成是加密毁瘫VS备份恢复的单点对抗,是极为落后、片面的安全认知。如果没有一套完整的防护体系和运营机制,而是认为依靠数据备份恢复来应对勒索攻击。就如同只出场一名守门员,来对抗对方一支球队。
——深入关注攻击活动的运营方式和社会规律有助于重新理解防御。
研究网络攻击活动不能脱离地缘政治安全要素,不能脱离经济社会土壤,要深入关注各种攻击活动的动机和运行方式。从犯罪获利的角度来看,获得了高额的勒索赎金对应着犯罪团伙能承担更高的犯罪成本,包括购买0Day漏洞、研发高级恶意代码、收买企业内鬼和情报等。从另一个角度来看,攻击者制造了“如果不缴纳赎金,受害人将承受远比赎金更高的综合损失”的困境。
网络安全对抗与防护已经是一种经济运行机制的对决。从防御侧来看,从预算投入方面,我们通常将网络安全在信息化的占比作为一个衡量标准,这使网络安全长期处在从属、配套和被压制状态。网络安全风险后果是否才应该是安全投入的第一衡量标准,也需要我们来思考。
这从对立面让我们思考网络安全投入与对标究竟应该以什么为衡量标准?我们认为从规划预算角度,网络安全必须是一套有独立评价参照系的独立预算口径,而不是简单设定为信息化的组成部分。网络安全投入合理的衡量标准是其运行资产价值和出现安全事件的风险损失,而并非信息化投入。通过在信息化中有限占比的方式来规划网络安全投入的传统思路已经成为安全能力建设的障碍。其逻辑错误在于错误定义了网络安全的保障对象——因为网络安全能力保障的并不是IT固定资产投入价值,而是业务和数据资产价值。对于高度依赖于信息系统运行的关基设施和政企机构,网络安全保障的是机构的全量价值,对应机构是一个企业,该价值就是企业的业务价值和营收价值,基于这个价值来判断网络安全投入的合理性,才是真正目标化的衡量标准,而不是仅与信息化投入关联所构建的成本化衡量标准。对于央企和关键基础设施部门,则还需要进一步评价对应的安全风险从企业自身风险连锁扩大到国家安全、社会治理安全和相关公民个人风险的情况。透过LockBit赎金规则,我们看到需要警惕的是:网络攻击者比网络防御者,先行一步认识到了这一规律。
——客观的敌情想定是做好网络安全防御工作的前提。
从定向勒索攻击造成后果损失来看,我们必须改变对安全风险与价值的认知范式。由于定向勒索攻击已经形成了窃取数据、瘫痪系统和业务、贩卖数据和曝光数据的组合作业。其最大风险不只是系统和业务瘫痪无法恢复,而是同时面临被攻击企业的用户信息、关键数据、文档、资料、代码等核心资产被倒卖,被公开的风险,从而带来更大的连锁反应。从国内外安全领域长期以来的现实情况来看,很多政企机构改善自身安全的动力,并不来自于提升防护水平的能动性,很多企事业单位认为最可能发生的安全风险,不是遭遇攻击,而是因达不到合规标准,会遭到处罚。因此,安全防护领域构成了一套投入-合规-免责的低限建设运行逻辑。而定向勒索攻击所带来的后果,让IT决策者必须判断极限风险,并通过极限风险损失来判断网络安全的工作价值,如何避免业务长时间中断、数据彻底无法恢复、被窃取的数据资产被竞争对手购买,或因曝光严重贬值等极限情况,都是IT决策者和每一个机构必须应对的风险。
针对此类定向勒索攻击的防护必然不是以单点进行突围,必须从整体防护上出发,坚持关口前移,向前部署,构成纵深,闭环运营。最终通过防护体系以达成感知、干扰、阻断和呈现定向攻击方杀伤链的实战运行效果。
通过以定向勒索攻击为代表的案例,可以看到除了合规要求和既有存量之外,分析网络安全投入的关联要素还需要考虑:业务和数据资产的全局价值;攻击可能造成的最大风险损失;遭遇攻击者的可能性以及攻击者能力所能承担的攻击成本,以上因素是安全投入合理性的有效衡量标准。单纯依靠政企机构本身,往往只能知己、不能知敌人,难以完成高质量的评估,因此需要公共产品进行赋能。
——高质量的技术分析是重要的战略支撑能力。
深入系统的威胁分析能力,一直是国内网络安全业界的一个能力长板。在长期的威胁分析斗争过程中(包括上世纪80年代后期的病毒样本分析、本世纪初开始的重大蠕虫事件分析和2010年前后系列APT事件分析),中国网络安全业界输出了大量高质量的分析成果,推动了技术创新、产品开发和持续运营,也有效支撑了相关公共安全领域决策,积累了一大批具有较高分析水平的工程师队伍;从产业层面来看,能进行有效威胁分析的安全企业越来越多。
但需要关注的是:1、在过去几年,高质量的分析成果有减少的趋势。在分析工作中,相对急功近利地追逐先发漏洞、热点事件,但不愿意长时间、大成本投入地持续跟踪深度威胁的情况比较普遍;2、规模型网络安全企业也将分析能力的保持和提升视为一种高昂的企业人力成本,而不愿意进行分析团队的扩建和体系性完善;3、在用户单位和管理部门中,也有一部分人存在着“分析报告就是企业软广”的偏颇认识,而忽视了这种分析工作对于准确判定威胁、溯源威胁行为体、研判防御的重点方向等方面具有极为重要的作用。
需要警惕的是,这些负反馈的作用下,分析能力作为我国产业长板能力会持续退化。
——重新构建主机系统安全层面防御基石。
主机系统是业务和资产数据价值的承载者,也通常是攻击者攻击的最终目标。主机端防护能力的历史颇为悠久,从上世纪80年代中后期就已经开始普及终端杀毒软件,但今天我们在实际的分析、取证、复盘中,发现主机端安全反而成为了其中最薄弱的环节之一。在资产价值向云中主机(工作负载)不断迁移、泛在介入的背景下,防火墙等传统安全环节的价值被急剧弱化,加密流量的广泛使用进一步削弱了流量侧安全能力的可见性,这些因素都迫使安全的支撑基石必须重新回到主机系统侧,确保安全边界构建在每一台主机系统之上,并再将这些细粒度安全边界组织成为防御体系。
在主机的安全防御体系中,将主机环境塑造、恶意代码查杀、主动监测、介质管控、主机防火墙等大量的安全功能进行积木化的整合,实现按需弹性部署,从而在面对钓鱼投放、漏洞突防、恶意介质插入等攻击方式时,能够在主机侧形成包括主机边界防护、对象检测、行为管控、敏感数据保护的微观防御纵深。
——需要构建执行体治理体系。
大量的混合执行体攻击打破了传统的“威胁检测+可信签名”的防御检测范式。攻击者更注重利用系统环境中已经存在的可利用执行对象(如系统shell),并将大量开源和商用正常工具作为实现攻击的路径和工具。这些开源和商用软件在政企机构中有着广泛应用,有的软件本身就带有合法甚至知名机构赋予的信誉,这就使我们面向执行体对象的识别颗粒度要至少到达每一个活跃和新增对象,最小化地缩窄执行入口,最大化地管控系统。这些工作既需要强大的共性能力赋能,也需要每一个关键基础设施和重要信息系统去建立自己的执行体治理基线和闭环运营机制。当然,这些工作离不开能支撑执行体治理的、有效的主机安全防护软件。
——坚持构建动态、综合的防御体系而不是始终摇摆。
不断出现的各类重大安全威胁事件,容易产生类似最应重点防范勒索攻击还是APT攻击一类的疑惑。从水平上看,少数勒索攻击的前导攻击部分的水平,已经接近超高能力网空威胁行为体的APT攻击水准,而且勒索攻击将比APT攻击带来更直接和快速的经济损失与显性的机构信誉影响。定向勒索攻击确实是APT能力+勒索行为的结合体。但从另一角度看,由于勒索攻击组织必然要在一个相对短周期获益,其并无APT攻击者那样必须突破中心目标的关键意志力,其在长期潜伏、持久化和隐蔽作业方面,不会表现出APT攻击者的战略耐心。所以对每一个政企机构来说,其资产人员暴露面,一方面必然同时面对者多种攻击组织,但其可能遭遇的最高烈度或水平的攻击的判断,需要基于将其综合业务资产价值放到复杂的社会安全和地缘安全的背景下进行想定判断。
但必须指出的是,对大量机构来说,目前存在的并非在防御重点是APT攻击还是勒索攻击的选择问题,而是尚未完成防御基本面建设的问题。针对各种复杂的组合攻击,都需要防御层次的展开,都不存在“一招鲜,吃遍天”,所有资源、人力、策略投入的弹性调整,其前提都是已经完成了防御基础能力建设的基本动作,基本形成了动态综合、有效闭环的防御体系。这才能做到针对威胁变化实施针对性布防。可以说防御体系如能有效防御APT攻击,那么也能有效防御定向勒索攻击。
面对威胁挑战。战术上的高度重视和战略上坚定信心都是重要的。我们要坚信虽然定向勒索攻击防范难度很大,但依然有系统化的方法的和落地抓手。针对体系性的攻击,必须坚持关口前移,向前部署,构成纵深,闭环运营。提升攻击者火力侦察和进展到外围地带的发现能力,降低攻击方进入到核心地带的可能性。提升网络和资产可管理性是工作的基础:主动塑造和加固安全环境、强化暴露面和可攻击面的约束和管理、强化对供应链上游入口的管控、启动全面的日志审计分析和监测运行。构建从拓扑到系统侧的防御纵深,针对攻击者探测、投放、漏洞利用、代码运行、持久化、横向移动等行为展开层层设防,特别要建设好主机系统侧防护,将其作为最后一道防线和防御基石,构建围绕执行体识别管控的细粒度治理能力。最终通过基于防御体系实现感知、干扰、阻断定向攻击杀伤链的实战运行效果。
附录一:CISA对以定向勒索攻击战术的防护举措建议(6163银河.net163.am译)
用户可以基于以下清单内容(该清单是6163银河.net163.am参考CISA发布的有关LockBit报告[3]梳理形成的)对网内安全状态进行排查,使用6163银河.net163.am提供的缓解措施进行加固,提升企业面对勒索软件时的防御与响应能力。这些工作的展开需要大量人力。用户也可以借助6163银河.net163.am的智甲终端防护系统、睿甲云安全系统、探海威胁检测系统、追影威胁分析系统、拓痕威胁猎杀工具箱、下一代Web应用防护系统、和XDR可扩展平台等安全产品辅助您高效完成相关工作。
图0-1 LockBit相关勒索攻击的常见战术行为图谱
对应清单如下:
表0-1 LockBit相关勒索攻击的常见战术行为列表
ATT&CK阶段 |
具体行为 |
注释 |
初始访问 |
水坑攻击 |
在受害者经常访问的网站植入恶意代码 |
利用面向公众的应用程序 |
利用漏洞访问受害者系统,例如使用Citrix相关漏洞 |
|
利用外部远程服务 |
利用RDP访问受害者的网络 |
|
网络钓鱼 |
使用网络钓鱼和鱼叉式网络钓鱼来访问受害者的网络 |
|
利用有效账户 |
获取并滥用现有账户的凭据作为获得初始访问权限的手段 |
|
执行 |
利用命令和脚本解释器 |
使用批处理脚本来执行恶意命令 |
利用第三方软件部署工具 |
使用Chocolatey命令行包管理器部署 |
|
利用系统服务 |
使用PsExec来执行命令或有效负载 |
|
持久化 |
利用自动启动执行引导或登录 |
启用自动执行以实现持久性 |
有效账户 |
使用受损的用户账户来维持目标网络上的持久性 |
|
提权 |
滥用提升控制权限机制 |
在UACMe中使用ucmDccwCOM方法实现绕过UAC |
利用自动启动执行引导或登录 |
启用自动登录以实现提权 |
|
利用域策略修改 |
为横向移动创建组策略,并可以强制更新组策略 |
|
利用有效账户 |
使用受损的用户账户提权 |
|
防御规避 |
执行范围保护 |
输入正确的参数会解密主要组件或继续解密和解压缩数据 |
削弱防御机制 |
使用PCHunter、PowerTool和Process Hacker等工具来禁用和卸载与安全软件有关的进程和服务 |
|
删除信标 |
清除Windows事件日志文件,勒索软件自删除 |
|
混淆文件或信息 |
将向其命令和控制(C2)发送加密的数据 |
|
凭证访问 |
暴力破解 |
利用VPN或RDP暴力破解实现初始访问 |
从存储密码的位置获取凭证 |
使用PasswordFox获取Firefox浏览器的密码 |
|
操作系统凭证转储 |
使用ExtPassword或LostMyPassword用于获取操作系统登录凭证 |
|
发现 |
扫描网络服务 |
使用SoftPerfect扫描目标网络 |
发现系统信息 |
枚举系统信息,包括主机名、主机配置、域信息、本地驱动器配置、远程共享和安装的外部存储设备 |
|
发现系统地理位置 |
不会感染语言设置与定义的排除列表相匹配的计算机 |
|
横向移动 |
利用远程服务 |
跨网络横向移动并访问域控制器 |
收集 |
压缩/加密收集的数据 |
在窃取数据之前使用7-zip来压缩或加密收集的数据 |
命令与控制 |
使用应用层协议 |
使用FileZilla进⾏C2通信 |
使用标准非应用层协议 |
使用Ligolo从反向连接建⽴SOCKS5或TCP隧道 |
|
使用协议隧道 |
使用plink在Windows上自动执⾏SSH操作 |
|
利用远程访问软件 |
使用AnyDesk、Atera RMM或 TeamViewer等工具进⾏远程控制 |
|
数据渗出 |
自动渗出数据 |
使用StealBit自定义渗透⼯具从目标网络窃取数据 |
使用Web服务回传 |
使用公开的文件共享服务来窃取目标的数据 |
|
影响 |
损毁数据 |
删除日志文件并清空回收站 |
造成恶劣影响的数据加密 |
对目标系统上的数据进行加密,以中断系统和网络的可用性 |
|
篡改可见内容 |
将主机系统的壁纸和图标分别更改为LockBit 3.0壁纸和图标 |
|
禁用系统恢复 |
删除磁盘上的卷影副本 |
|
禁用服务 |
终止特定进程和服务 |
各个攻击阶段的防护策略建议如下:
初始访问
1) 技术手段:水坑攻击、利用面向公众的应用程序、利用外部远程服务、网络钓鱼、利用有效账户。
2) 针对对象:访问的网站、Web服务、RDP等远程服务、邮箱用户、系统账户。
3) 缓解措施
• 利用沙箱运行风险程序和通过浏览器、企业通讯、网盘等途径接收的文件。
• 部署Web应用程序防火墙。在Web应用服务器前置部署Web应用程序防火墙,后续及时更新防护规则。
• 采用强密码策略。密码长度至少为12个字符,定期更改密码,多个业务使用不同密码。
• 完善邮件服务器或公有邮件系统告警策略,添加收发外部邮件的安全性警告。
• 限制账户访问来源。根据业务场景限制Web应用、邮件、VPN等服务的访问源IP、端口,只允许具有TLS或其他加密保护的连接。
• 检查承载互联网业务的服务并禁用非业务要求的其它服务。
• 在不影响业务运行的情况下,持续更新相关系统及软件。
执行
1) 技术手段:利用命令和脚本解释器、利用第三方软件部署工具、利用系统服务。
2) 针对对象:PowerShell、第三方软件部署工具、系统服务。
3) 缓解措施
• 配置PowerShell脚本执行策略,只允许已签名的代码执行,可能会影响PowerShell相关业务。
命令:Set-ExecutionPolicy AllSigned
• 启用PowerShell日志。
在Windows事件查看器中修改“应用程序和服务日志\Microsoft\Windows\PowerShell\Operational”日志类别的属性,确保日志记录为打开状态,且增加日志最大大小以存储更长时间的日志。
• 限制软件安装,设置应用程序控制策略。
利用终端安全防护产品设置只允许可信程序执行。利用本地安全策略中的软件限制策略 (SRP)、AppLocker设置软件执行限制,阻止非业务软件执行。
图0-2 设置本地安全策略
• 设置软件权限,启用UAC用户账户控制。
打开“控制面板\用户账户\更改用户账户控制设置”,将UAC级别设置为“始终通知”。
图0-3 设置UAC通知级别
• 配置Windows 注册表。
要求 UAC 批准任何需要管理员权限的 PsExec 操作,以降低 PsExec 横向移动的风险。
持久化
1) 技术手段:利用自动启动执行引导或登录、有效账户。
2) 针对对象:自启动链、账户。
3) 缓解措施
• 加强账户有效期管理。按需设置账户有效期,及时清除不再使用的账户,定期修改账户凭据。
• 限制账户访问来源。根据业务场景限制Web应用、邮件、VPN等服务的访问源IP、端口,只允许具有TLS或其他加密保护的连接。
• 加强特权账户管理。定期审核域、本地账户及其权限级别,查找被对手通过获取特权账户凭据来获得广泛访问权限的可能。还应审核是否启用了默认账户,或者是否创建了未经授权的新本地账户。账户管理应遵循企业网<络设计和管理的最佳实践,以限制跨管理层的特权账户使用。
• 完善默认密码变更策略。使用默认用户名和密码的应用程序和设备应在安装后、部署到生产环境之前立即更改。
提权
1) 技术手段:滥用提升控制权限机制、利用自动启动执行引导或登录、利用域策略修改、利用有效账户。
2) 针对对象:系统权限管理机制。
3) 缓解措施
• 及时更新并修复提权漏洞。及时更新操作系统及应用程序版本,在不影响业务运行的情况下,修复权限提升漏洞。
• 加强权限管理和审核。完善权限管理制度和业务流程,避免权限被意外更改,避免出现错误的、不安全的配置。
• 在不影响正常业务情况下,禁用命令行和脚本执行。
• 加强用户账户审计。检查 Windows 系统上常见的 UAC 绕过风险点,在适当的情况下解决问题。
• 调节用户账户控制级别。在适当的情况下,使用 UAC 最高强制级别,降低UAC 绕过机会。
防御规避
1) 技术手段:执行范围保护、削弱防御机制、删除信标、混淆文件或信息。
2) 针对对象:防御机制。
3) 缓解措施
• 避免未知程序执行。应用本地安全策略、UAC、终端安全防护产品执行限制等,设置白名单程序以阻止未知程序执行。
• 配置远程日志服务并定期备份,避免日志被删除或篡改。
• 加强用户账户审计。定期检查账户角色权限,确保只有规定的用户角色才有权修改防御配置。
• 加强应用程序管控。管控组织既定应用程序之外的工具执行,确保仅在企业系统上使用和运行经过批准的安全应用程序。
• 限制文件、目录、注册表读写权限。配置适当的进程和文件权限,防止文件、目录、注册表被禁用或干扰安全/日志记录服务。
• 完善安全策略配置。在内部 Web 服务器上实施安全策略,强制使用 HTTPS防止不安全的连接。
• 加强用户账户管理。确保适当的用户权限到位,以防止对手禁用或干扰安全/日志记录服务。
凭证访问
1) 技术手段:暴力破解、从存储密码的位置获取凭证、操作系统凭证转储。
2) 针对对象:系统账户、lsass.exe进程、系统凭证存储区。
3) 缓解措施
• 配置安全策略,限制 NTLM
根据业务场景,在充分测试后设置组策略“计算机配置\Windows 设置\安全设置\本地策略\安全选项\网络安全:限制NTLM”相关选项
图0-4 设置NTLM限制策略
• 设置防火墙策略。根据业务需求,设置防火墙阻止445、137、138、149等端口的入站连接。
• 使用条件访问策略阻止从不合规的设备或 IP 范围之外进行登录。
• 使用多重身份验证。
发现
1) 技术手段:扫描网络服务、发现系统信息、发现系统地理位置。
2) 针对对象:系统信息、对外服务信息。
3) 缓解措施
• 禁用非业务端口,通过防火墙配置,禁用远程桌面服务的TCP端口3389及所有UDP端口。
图0-5 设置防火墙规则
• 正确划分网络。确保遵循正确的网络分段以保护关键服务器和设备。
• 利用网络入侵检测和防御系统监测和识别网络扫描、暴力破解等异常活动,检测和防止远程服务扫描。
横向移动
1) 技术手段:利用远程服务。
2) 针对对象:Web服务、RDP、远程连接。
3) 缓解措施
• 检查Active Directory、远程连接、Web服务配置,删除多余权限。
• 利用网络入侵检测和防御系统监测和识别网络扫描、暴力破解等异常活动。
• 定期扫描内部网络以查找可用服务,以识别新的和可能遭受攻击的服务。
• 遵循最小化权限原则,禁用或删除不适用的服务。
收集
1) 技术手段:压缩/加密收集的数据。
2) 针对对象:敏感数据。
3) 缓解措施
• 根据业务场景和资产情况,划分不同敏感度的数据类别,设置不同权限和访问策略。
• 加强用户接入监测强度。例如将VPN区域视为不可信网络区域,并提高其监测强度。
• 强化应用程序审计。执行系统扫描来识别未经授权的应用程序。
命令与控制
1) 技术手段:使用应用层协议、使用标准非应用层协议、使用协议隧道、利用远程访问软件。
2) 针对对象:网络协议、第三方远程访问软件(具备数字签名)。
3) 缓解措施
• 限制远程访问软件的使用。通过防火墙或网络监控设备限制访问远程软件相关IP及域名。
• 加强网络流量检测和响应,开展网络流量检测和响应识别,旨在通过识别网络侧恶意软件流量进行的网络入侵,并采取相应的防御措施,以减轻网络活动的风险。
• 完善网络流量过滤,防止跨网络边界使用不必要的网络协议。
• 正确配置防火墙和代理。将传出流量限制为仅通过适当的网络网关系统发送到必要的端口。还要确保主机仅配置为通过授权接口进行通信。
• 增加系统hosts文件配置。在“C:\Windows\System32\drivers\etc\hosts”,设置拦截远程软件相关域名。
图0-6 设置Hosts拦截常用远程控制软件
• 加强远程访问程序控制。通过应用程序控制来减少安装、使用未经批准的远程访问软件。
数据渗出
1) 技术手段:自动渗出数据、使用Web服务回传。
2) 针对对象:数据。
3) 缓解措施
• 限制网络数据流出:采用Web 代理可用于强制执行外部网络通信策略,以防止使用未经授权的外部服务。
• 加强数据丢失防护。检测并阻止通过网络浏览器上传敏感数据到网络服务。
• 引入威胁情报。通过引入威胁情报,在已发现的零散信息中形成更多事件的线索,帮助组织发现和拦截下一次攻击。
影响
1) 技术手段:损毁数据、造成恶劣影响的数据加密、篡改可见内容、禁用系统恢复、禁用服务。
2) 针对对象:数据、系统配置、系统卷影副本、服务。
3) 缓解措施
• 数据备份。定期维护备份和恢复(至少每天或每周)。建议遵循 3-2-1 备份策略:在两种不同介质(例如磁盘和磁带)上拥有三份数据副本(一份生产数据副本和两份备份副本),其中一份副本保存在异地。通过物理介质(如数据磁带等)或其他措施保证备份数据无法被更改或删除。
• 预防端点有害行为。在 Windows 10 上,启用云保护和攻击面减少 (ASR) 规则以阻止类似勒索软件的文件执行。
• 完善操作系统配置。防止禁用“系统恢复”功能中涉及的服务或删除文件,确保使用以下命令启用 WinRE:reagentc /enable。
• 加强用户账户管理。将有权访问备份的用户账户限制为仅需要的用户账户。
• 远程实时备份系统日志及重要文件。
• 远程备份系统卷影副本。
• 监控敏感系统服务操作,特别是停止操作。
附表二:本次事件涉及到的IoCs
IoCs |
备注 |
192.229.221.95 |
Mag.dll会连接这个IP,该IP为dns0.org解析地址 |
193.201.9.224 |
从受感染系统FTP连接IP |
62.233.50.25 |
hxxp://62.233.50.25/en-us/docs.html hxxp://62.233.50.25/en-us/test.html |
51.91.79.17 |
Temp.sh内的IP地址 |
70.37.82.20 |
从一个已知的受损账户中发现 IP 正在访问 Altera IP 地址。LockBit 利用 Altera 远程管理工具,例如 Anydesk、TeamViewer等。 |
185.17.40.178 |
Teamviewer C2地址,与一家波兰服务提供商Artnet Sp. Zo.o建立了联系,IP地址所属波兰 |
185.229.191.41 |
Anydesk的C2地址 |
81.19.135.219 |
hxxp://81.19.135.219:443/q0X5wzEh6P7.hta hxxp://81.19.135.219/F8PtZ87fE8dJWqe.hta |
172.67.129.176 |
adobe-us-updatefiles.digital解析的IP地址 |
104.21.1.180 |
adobe-us-updatefiles.digital解析的IP地址 |
81.19.135.220 |
受害系统日志发现的IP地址 |
81.19.135.226 |
受害系统日志发现的IP地址 |
141.98.9.137 |
Citrix Bleed的远程IP |
54.84.248.205 |
fixme的IP地址 |
206.188.197.22 |
powershell日志中发现的反向shell连接IP地址 |
185.230.212.83 |
Zoho远程软件连接的IP地址 |
185.20.209.127 |
Zoho远程软件连接的IP地址 |
101.97.36.61 |
Zoho远程软件连接的IP地址 |
168.100.9.137 |
SSH协议端口转发 |
adobe-us-updatefiles.digital |
用于下载混淆工具集 域名解析IP: 172.67.129.176 104.21.1.180 |
eu1-dms.zoho.eu |
Zoho远程软件域名 |
assist.zoho.eu |
Zoho远程软件域名 |
fixme.it |
在线远程服务 |
unattended.techinline.net |
在线远程服务 |
附表三:6163银河.net163.am发布有关LockBit勒索软件的历史报告
时间 |
活动 |
参考链接 |
2021年9月20日 |
6163银河.net163.am周观察发布《6163银河.net163.am智甲有效防护LockBit 2.0勒索软件》报告。 |
/observe_download/observe_296.pdf |
2022年01月03日 |
6163银河.net163.am发布《2021年流行勒索软件盘点》报告,梳理LockBit 2.0家族概况,展示了LockBit组织相关攻击活动。 |
/research/notice&report/research_report/20220103.html |
2023年01月30日 |
6163银河.net163.am发布《2022年流行勒索软件盘点》报告,再次梳理LockBit家族概况,展示了LockBit组织2022年期间的相关攻击活动 |
/research/notice&report/research_report/20230130.html |
2023年11月17日 |
6163银河.net163.am发布《LockBit勒索软件样本分析及针对定向勒索的防御思考》报告,即本报告的1.0版本。 |
/research/notice&report/research_report/LockBit.html |
附录四:6163银河.net163.am为助力主管机构、客户和公众应对勒索攻击所作的部分工作
6163银河.net163.am一直致力于提升客户有效防护能力,并和客户共同提升对安全的理解和认知。
6163银河.net163.am长期持续跟踪勒索攻击的演进变化,持续发布威胁研判报告,在2006年6月14日截获分析了国内最早的勒索软件redplus(Trojan.Win32.Pluder.a),之后又发布《揭开勒索软件的真面目》[8](2015年)、《6163银河.net163.am针对勒索蠕虫“魔窟”(WannaCry)的深度分析报告》[9]、《勒索软件Sodinokibi运营组织的关联分析》[10]和《关于美燃油管道商遭勒索攻击事件样本与跟进分析》[11]等重要报告,特别是在WannaCry(魔窟)勒索蠕虫大规模爆发事件前五个月,做出了勒索攻击将带动蠕虫回潮的预判[812]。在WannaCry勒索蠕虫的响应中,6163银河.net163.am一方面快速跟进分析,同时为用户提供防护手册[13]和开机指南[14]并提供了免疫工具、专杀工具、内存密钥获取和恢复工具等。在“必加”(PETYA)伪装成勒索的毁瘫攻击中,也第一时间做出了其可能不是一起勒索攻击事件的准确判断。6163银河.net163.amCERT持续跟踪各勒索软件家族和RaaS攻击组织,针对LockBit[15]、GandCrab[16]和Sodinokibi等流行勒索软件家族发布了样本分析报告及防护建议,特别是基于垂直响应平台推出了《从八个方面认识勒索攻击和危害》专题系列文章[17][18][19][20][21][22],助力政企客户和公众了解勒索攻击,提升防范意识。2021年,为加强勒索软件攻击防范应对,在工业和信息化部网络安全管理局指导下,中国信通院联合6163银河.net163.am等单位编制发布了《勒索病毒安全防护手册》 [23],手册对如何防范勒索攻击提出了详细的清单化的建议。
6163银河.net163.am基于自主研发的AVL SDK反病毒引擎支撑自身产品和引擎生态合作伙伴的恶意代码检测能力,对包括勒索软件在内的各类恶意代码工具进行精准检测和清除。6163银河.net163.am智甲终端防御系统、睿甲云防护系统基于6163银河.net163.am执行体治理的基本理念,协助客户塑造可信安全主机环境。6163银河.net163.am智甲端侧构建了由系统加固、主机防火墙(HIPS)、扫描过滤、执行管控、行为防护、重点数据保护的组合安全机制,针对勒索攻击构成多个防护层次,特别重点数据保护机制,基于对批量文件读写的拦截,在其他安全机制均被绕过失效的情况下,尝试实现行为拦截和止损。当然,我们从来不相信网络安全存在银弹。我们致力于我们的引擎和每个产品都能在其作战位置最大化发挥价值,接受实战对抗的检验。相关内容,可以参考《6163银河.net163.am产品助力用户有效防护勒索攻击》[24]进行了解。
附表五:报告中涉及的病毒百科词条
病毒名 |
病毒百科链接 |
Trojan/Win32.LockBit[Ransom] |
https://virusview.net/malware/Trojan/Win32/LockBit/Ransom?source=CERT-BoeingReport |
RiskWare/Win32.AnyDesk |
https://virusview.net/malware/RiskWare/Win32/AnyDesk?source=CERT-BoeingReport |
HackTool/PowerShell.ADRecon |
https://virusview.net/malware/HackTool/PowerShell/ADRecon?source=CERT-BoeingReport |
HackTool/Win32.Mimikatz |
https://virusview.net/pro/Mimikatz?source=CERT-BoeingReport https://virusview.net/malware/HackTool/Win32/Mimikatz?source=CERT-BoeingReport |
RiskWare/Win32.PsExec[RiskTool] |
https://virusview.net/malware/RiskWare/Win32/PsExec/RiskTool?source=CERT-BoeingReport |
RiskWare/Win32.ProcDump |
https://virusview.net/malware/RiskWare/Win32/ProcDump?source=CERT-BoeingReport |