penArk 是一款免費的 Windows 平臺上的開源 Ark 工具,主要用于對抗惡意軟件(Anti-Rootkit)。該工具旨在為逆向工程師、程序員以及希望清除惡意軟件的用戶提供服務。它提供了多種功能,包括進程查詢、內核工具、程序編寫助手等,并且支持 Docker 化和 Kubernetes 集成。
具體來說,OpenArk 提供了以下主要功能:
此外,OpenArk 支持多版本的 Windows 操作系統,從 WinXP 到 Win11 都可以使用。該工具是開源的,用戶可以免費使用并參與源代碼的改進。未來還將支持更多功能和命令。
總之,OpenArk 是一個功能強大且免費的 Windows 系統工具箱,特別適合需要進行逆向工程、編程或清理惡意軟件的用戶。
★★★★★系統工具箱:https://pan.quark.cn/s/92543541f534
您已經了解了很多關于人類操作的勒索軟件的知識,對它們的攻擊過程和應對措施有了不錯的理解,并理解為什么恰當應對事件如此重要。
但要有效地應對事件,僅僅了解攻擊生命周期是不夠的,因為攻擊者通常會使用各種戰術、技術和程序(TTP)來實現他們的目標。
勒索軟件即服務(RaaS)的存在使情況更加復雜,因為使用這些程序的攻擊中可能涉及許多關聯方,即使是同一種勒索軟件變種,不同參與者的TTP也可能顯著不同。
本章將幫助您詳細了解攻擊者在攻擊生命周期的各個階段的行為(基于MITRE ATT&CK)。具體來說,我們將討論以下主題:
獲取目標網絡的初始訪問權限是任何入侵的必要部分,勒索軟件攻擊也不例外。
由于勒索軟件攻擊中涉及的攻擊者種類繁多,事件響應專家可能會在工作中遇到幾乎任何技術。
盡管如此,勒索軟件運營者最常用的一種技術是破解外部遠程訪問服務,如遠程桌面協議(RDP),所以我們將從這里開始。
使用外部遠程訪問服務的攻擊者非常普遍。例如,根據Group-IB的《勒索軟件2020/2021》報告,超過50%的勒索軟件攻擊是從公開的RDP服務器入侵開始的。COVID-19大流行加劇了這一問題,許多公司不得不為遠程員工創建工作站,這進一步削弱了全球服務器的防護。
遠程桌面服務的默認端口是3389。如果我們使用Shodan等搜索連接到互聯網的設備的搜索引擎,可以看到成千上萬這樣的服務器,這也是為什么攻擊這些服務器成為最常見技術之一的原因(見圖5.2)。
圖5.1. 公開RDP服務器的登錄界面
圖5.2. Shodan的搜索結果
如圖所示,僅在美國就有超過150萬個這樣的服務器。
不難理解為什么這種技術如此普遍,也不難理解為什么美國的組織常常成為各種勒索軟件的受害者。
如何獲得公開的RDP服務器的訪問權限?最常見的方法是暴力破解攻擊,即通過字典進行最常見密碼的全盤嘗試。奇怪的是,這種方法相當有效。
通常,攻擊者首先使用masscan掃描互聯網,尋找公開的RDP服務器,然后使用NLBrute等工具進行暴力破解攻擊。攻擊者甚至不需要自己做這些,他們可以在各種黑市和初始訪問經紀人那里購買訪問權限。
以下是一些這樣的黑市示例:
需要注意的是,獲得公開的RDP服務器訪問權限可能只需花費幾美元。
圖5.3. UAS RDP Shop出售的RDP服務器
RDP并不是攻擊者使用的唯一外部遠程訪問服務類型。另一種非常常見的類型是通過虛擬專用網絡(VPN)獲得訪問權限。
在這種情況下,勒索軟件運營者也可能通過暴力破解攻擊獲得VPN憑證,或者利用軟件漏洞。我們將在下一節“利用公開應用程序(T1190)”中討論這一點。
如同RDP訪問,這種類型的訪問也可以從初始訪問經紀人那里獲得。圖5.4展示了一個俄語地下論壇上的相關廣告。
圖5.4. Group-IB威脅情報平臺上的俄語地下論壇廣告
如圖所示,通過外部遠程服務獲得初始訪問權限非常簡單,尤其是在COVID-19大流行期間。但這并不是唯一的方法。讓我們討論另一種常見技術——利用公開應用程序。
在勒索軟件攻擊中,利用公開應用程序是另一種常見的技術。
您已經知道,勒索軟件運營者常常攻擊RDP服務器:他們可以進行暴力破解攻擊,或者干脆在黑市或初始訪問經紀人那里購買訪問權限。
但他們也可以利用RDP實現中的漏洞遠程執行代碼,例如BlueKeep(CVE-2019-0708)。已知該漏洞至今仍在被積極利用,尤其是與LockBit勒索軟件有關的人。
同樣,攻擊者也利用多種漏洞獲得VPN訪問權限。我們來看看一些最常見的漏洞。
Fortinet、FortiOS和FortiProxy中的漏洞(CVE-2018-13379)允許各種勒索軟件運營者訪問系統文件,包括包含憑證的文件,以便之后使用這些憑證獲得VPN訪問權限。
Pulse Secure Pulse Connect Secure中的另一個漏洞(CVE-2019-11510)也是一種文件讀取漏洞,允許攻擊者獲取私鑰和用戶密碼。該漏洞被與REvil勒索軟件相關的人積極利用。
最后,SonicWall SMA100中的漏洞(CVE-2019-7481)也被HelloKitty勒索軟件運營者積極利用。
當然,攻擊者利用的初始訪問漏洞不限于RDP和VPN。例如,Clop勒索軟件運營者利用了Accellion FTA中的漏洞:
這些漏洞允許攻擊者將web shell上傳到易受攻擊的服務器,并利用它們進行數據盜竊,因為公司使用Accellion FTA來安全傳輸大文件。
另一個被勒索軟件運營者利用的漏洞是Citrix Application Delivery Controller(ADC)和Gateway中的漏洞(CVE-2019-19781)。該漏洞允許攻擊者在目標服務器上執行命令。
最后,2022年,攻擊者利用了Microsoft Exchange服務器中的漏洞,包括ProxyLogon(CVE-2021-26855)和ProxyShell(CVE-2021-34473, CVE-2021-34523和CVE-2021-31207)。
勒索軟件攻擊者將這些漏洞添加到他們的工具庫中。例如,與Conti相關的人利用ProxyShell漏洞在目標服務器上加載web shell,以便在后期利用階段執行進一步的操作。
公開的服務器和應用程序是勒索軟件運營者的熱門目標,但它們的數量通常不多。此外,它們可能安裝了最新的安全更新并/或使用強密碼。因此,攻擊者不得不尋找其他薄弱環節,例如企業網絡中的普通用戶。在這種情況下,網絡釣魚是合適的選擇。
歷史上,網絡釣魚一直是攻擊者獲取目標網絡初始訪問權限的最喜歡的方法之一。
目前,網絡犯罪分子經常使用通過垃圾郵件發送的特洛伊木馬(或機器人)來實現這一目標。這些惡意程序包括Bazar、Qakbot、Trickbot、Zloader、Hancitor和IcedID。
攻擊者通常通過電子郵件附件(如Microsoft Office文件、壓縮包中的腳本)或包含惡意鏈接的電子郵件發送這些惡意程序。
攻擊者在創建釣魚郵件時表現出驚人的創造力。有時這些郵件看起來非常可信,即使是安全專家也可能誤認為是真實郵件。圖5.5展示了Hancitor運營者發送的釣魚郵件示例。
圖5.5. Hancitor運營者發送的垃圾郵件示例
點擊該釣魚鏈接,用戶將被引導到一個下載惡意Microsoft Office文檔的頁面。攻擊者并不總是通過鏈接發送郵件,有時他們會直接在郵件中附上感染文件。
圖5.6. Qakbot運營者發送的垃圾郵件示例
下載文件后,受害者需要打開文件,并在大多數情況下啟用宏,以便惡意內容被寫入磁盤或從攻擊者控制的服務器下載。這些惡意文檔通常會引導用戶啟用宏。
圖5.7. 惡意文檔內容示例
受害者啟用宏后,惡意內容就會被激活。然而,如果受害者的垃圾郵件防護做得很好,攻擊者要發送感染鏈接或附件并不容易。他們需要更加創造性地行動——而他們做到了!
網絡犯罪團伙Wizard Spider——Bazar、Trickbot、Ryuk、Conti和Diavol的運營者——使用含有付費訂閱信息的釣魚郵件,并在郵件中提供電話號碼,受害者可以撥打該電話以取消訂閱。實際上并沒有訂閱——這是語音釣魚(vishing)。電話操作員引導受害者訪問一個虛假網站,以下載取消訂閱所需的表格。圖5.8展示了一個虛假網站示例。
圖5.8. 虛假網站示例
這些虛假網站的唯一目的是交付惡意文檔。識別用戶是否遇到了語音釣魚嘗試相對簡單。有時只需提出幾個澄清問題并深入話題,詐騙者就會暴露。
另一個示例是惡意廣告。例如,Zloader運營者創建惡意廣告,如果受害者在Google中使用某些關鍵詞搜索,她將被重定向到攻擊者控制的網站,網站上托管了惡意文件。
圖5.9. 傳播Zloader的虛假網站示例
有時,攻擊者會使用更復雜的初始訪問技術,如供應鏈攻擊。
供應鏈攻擊通常需要更多的努力。雖然這些攻擊非常有利可圖,但它們并不常見,少有人聽說過或講述過。然而,已知的一些攻擊實例導致了勒索軟件的部署。
第一個這樣的操作是由REvil勒索軟件運營者進行的,他們入侵了意大利版的WinRar網站,以傳播REvil的副本。
另一個更有趣的案例是,與Darkside勒索軟件相關的人入侵了SmartPSS軟件網站,并開始交付SMOKEDHAM后門程序。有關此攻擊的更多詳細信息可以在FireEye博客中找到:https://www.fireeye.com/blog/threat-research/2021/06/darkside-affiliate-supply-chain-software-compromise.html。
因此,我們討論了最常見的初始訪問戰術。接下來,我們將看看攻擊者如何在目標系統上啟動惡意代碼。
為此,存在各種方法。讓我們來看看勒索軟件攻擊中最常見的方法。
一旦攻擊者獲得目標系統的訪問權限,他們需要啟動惡意代碼或雙用途工具以執行后期利用任務。
如您所知,許多攻擊者通過網絡釣魚獲取初始訪問權限,在大多數情況下,受害者需要打開附件或鏈接以啟動惡意代碼。只有這樣,攻擊者才能獲得初始訪問權限。
我們可以從另一個角度來看待這種方法。例如,如果勒索軟件運營者通過公開的RDP服務器進入網絡,他們通常會立即獲得高級權限賬戶的訪問權限,例如管理員賬戶。因此,在這種情況下,他們自己可以充當惡意用戶,執行各種命令和工具。
在攻擊生命周期的某些階段,勒索軟件運營者可能會使用各種命令和腳本解釋器。
在網絡釣魚的情況下,Windows Command Shell、PowerShell、Visual Basic甚至JavaScript非常常見。讓我們看一些示例。
攻擊者使用感染的Microsoft Word文檔傳播Trickbot,并執行惡意VBScript腳本。
這個腳本可能看起來復雜,但實際上并不復雜。它只是從172.83.155[.]147地址下載Trickbot(inlinelots.png),將其保存到C:\Users%user%\AppData\Local,并通過rundll32.exe啟動——僅此而已!
另一個示例是IcedID。攻擊者通過包含惡意JavaScript文件的壓縮包傳播此特洛伊木馬。腳本啟動cmd.exe,后者啟動powershell.exe。
如果我們解碼base64,就會看到它從攻擊者控制的服務器下載了攻擊的下一階段代碼。
如您所見,命令和腳本解釋器的使用非常普遍,但在這些情況下,受害者通常需要啟動腳本或啟用宏。當然,這不是唯一的選擇,有時攻擊者會利用軟件漏洞自動啟動惡意代碼。盡管如此,利用PowerShell進行犯罪行為可能不會被忽視,但實際上,PowerShell的監控系統會產生大量噪音,有時可以輕松縮小搜索范圍。
我們已經討論了攻擊者如何利用公開應用程序中的漏洞獲取初始訪問權限,但在某些情況下,他們也可能利用辦公軟件中的漏洞,例如Microsoft Office。盡管如此,在集中于內部漏洞之前,強烈建議先修補公開應用程序中的漏洞。
一個很好的例子是最近的MSHTML漏洞(CVE-2021-40444),Wizard Spider團伙積極利用該漏洞傳播Bazar和Cobalt Strike。
攻擊者常常濫用內置工具。除了命令和腳本解釋器外,另一個示例是Windows管理規范(WMI)。
Windows管理規范(WMI)是一種常用工具,被各種勒索軟件運營者用于本地和遠程啟動代碼,例如在網絡中橫向移動時。Cobalt Strike,作為一個在勒索軟件相關人員中非常流行的后期利用框架,內置了使用WMI遠程啟動代碼的功能。
如您所知,人類操作的勒索軟件攻擊可能持續相當長時間,因此攻擊者需要能夠在重新啟動時保持對被攻破網絡的持久訪問。
在后期利用階段,攻擊者通常需要保持對網絡的持久訪問,因此在事件響應過程中,您可能會遇到各種持久化方法。這一步幾乎與進入網絡本身同樣重要。使用額外的后門程序可以保證攻擊者隨時可以返回。讓我們來看一些最常見的方法。
特別是在RDP或VPN攻擊的情況下,攻擊者會利用有效賬戶來訪問企業網絡。由于他們可能同時使用多個被攻破的賬戶,這種方法可以用于在被攻破的網絡中保持持久化。更重要的是,使用合法憑證,勒索軟件運營者可以在很長時間內不被發現。
如果攻擊者已經獲得管理員憑證,他們可以利用這些憑證創建額外的賬戶,即使被攻破的賬戶被安全團隊發現并封鎖,他們仍然可以通過這些新賬戶訪問網絡。
通過使用各種常見的持久化方法,勒索軟件運營者也會利用各種廣泛可用的工具。例如,已知Bazar Loader使用了注冊表鍵Run(Software\Microsoft\Windows\CurrentVersion\Run)來保持在被攻破的系統中的持久化。
另一個使用同樣木馬的子方法是濫用Winlogon功能,在用戶登錄時啟動程序。這可以通過修改注冊表鍵Software\Microsoft\Windows NT\CurrentVersion\Winlogon來實現。
創建計劃任務是許多參與勒索軟件攻擊的木馬中最常見的方法之一。以下是Qakbot用于持久化的命令行示例。
計劃任務將每六小時啟動一次Qakbot。
如您所知,使用公開應用程序是勒索軟件運營者獲取初始訪問權限的一種常見方法。為了確保持久訪問,他們通常使用web shell。
web shell是部署在公開web服務器上的腳本,允許攻擊者通過命令行界面執行各種命令。
我們已經討論了勒索軟件運營者在被攻破的網絡中保持持久訪問的最常見方法。現在讓我們來看他們如何提升權限。
在許多情況下,攻擊者在獲得目標系統的初始訪問權限后,沒有足夠的權限。為了提升權限,他們使用各種方法。我們將討論最常見的方法。
在勒索軟件攻擊的生命周期的不同階段,包括權限提升階段,攻擊者可能會利用各種漏洞。例如,ProLock勒索軟件運營者利用CreateWindowEx功能中的漏洞(CVE-2019-0859)來獲得管理員級別的權限。
另一個示例是REvil勒索軟件,可以利用win32.sys驅動程序中的漏洞(CVE-2018-8453)來提升權限。
因此,許多常見的漏洞可以用于獲得更高級別的權限。如果公司未能修補和消除這些漏洞,可能會面臨嚴重的問題。
Windows服務通常被各種攻擊者,包括勒索軟件運營者,用于本地或遠程啟動惡意代碼。Windows服務也可以用于提升權限,因為它們可以以SYSTEM權限運行。應監控與Windows服務相關的異常情況,并定期分析其惡意使用的情況,以改進監控。
另一個非常常見的方法是代碼注入。攻擊者可以利用系統中具有高權限的進程,在其地址空間中執行任意代碼。此方法也可以用于繞過某些防護措施。例如,Trickbot使用wermgr.exe(Windows問題報告)進行注入,而Qakbot使用explorer.exe(Windows資源管理器)。
Windows中有幾種訪問控制機制,當然,勒索軟件運營者會找到各種繞過這些機制的方法。一個很好的例子是用戶帳戶控制(UAC)。該機制允許程序請求用戶確認以提升權限。為了繞過它,Trickbot利用了WSReset.exe,這是用于重置Windows Store設置的。
提升權限不是攻擊者面臨的唯一障礙,各種廣泛使用的防護措施也會帶來困難。
在大多數情況下,勒索軟件運營者在攻擊生命周期的各個階段都需要使用各種規避方法。他們可能會禁用或刪除安全軟件,混淆或加密數據,或刪除被攻破主機上的痕跡。
攻擊者可能會利用各種漏洞來規避防護措施。一個實例是Robinhood勒索軟件運營者利用了Gigabyte驅動程序中的漏洞(CVE-2018-19320)。這允許攻擊者加載另一個未簽名的驅動程序,用于終止與安全產品相關的進程和服務,以確保勒索軟件成功部署。
惡意程序和勒索軟件通常使用各種混淆技術,如加密和編碼,來規避檢測機制。常見的混淆技術之一是base64編碼。
一個典型的示例是使用PowerShell啟動Cobalt Strike SMB Beacon。
正如之前提到的,Cobalt Strike是一個廣泛使用的后期利用框架,被許多與勒索軟件相關的攻擊者使用。最初,該工具集是為了模擬攻擊而開發的,但不幸的是,它在實際攻擊者中也很受歡迎。
攻擊者常常需要訪問受保護的文件。這些文件可能是加密的。
許多勒索軟件菌株使用內置的icacls工具,允許用戶查看和修改文件和文件夾的安全描述符。以下是Ryuk勒索軟件使用該工具的示例。
該命令移除了對文件和文件夾的所有訪問限制。
大多數環境中至少存在最低限度的防護機制,攻擊者必須繞過這些機制才能實現目標。例如,他們可能需要禁用防病毒軟件或清除Windows事件日志。
在一次對Kaseya的攻擊中(https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689),REvil運營者使用了以下腳本。
如您所見,腳本的一部分旨在禁用Windows Defender的各種功能——Windows內置的防病毒軟件。
在大多數情況下,攻擊者還需要處理其他防護措施。常見的方法是使用Process Hacker或GMER等工具終止與防病毒相關的進程和服務。
勒索軟件運營者通常需要在網絡中盡可能長時間地保持活動,因此他們會試圖通過刪除日志和文件來使網絡防御者的工作變得困難,從而跟蹤他們在被攻破網絡中的活動。
在一次最新的事件響應中,我們看到攻擊者使用了一條非常簡單但非常有效的命令。
這條簡單的命令允許他們清除所有事件日志。
最后一個我們將討論的防護規避方法是通過簽名的二進制文件執行代碼。勒索軟件運營者可以使用合法的二進制文件作為中介來執行惡意代碼。最常見的選項是rundll32.exe和regsvr32.exe。
以下是攻擊者使用rundll32.exe啟動Cobalt Strike Beacon的示例。
另一個示例是IcedID。這次攻擊者使用了regsvr32.exe。
當然,攻擊者還可以使用其他簽名的二進制文件。例如,在一次最近的攻擊活動中,Zloader運營者使用了msiexec.exe試圖繞過防護。
接下來,我們將討論攻擊者獲取憑證的常見方法。
由于大多數情況下,勒索軟件運營者試圖加密盡可能多的主機,他們需要能夠橫向移動或至少遠程啟動惡意代碼。為了以隱蔽和高效的方式進行操作,他們通常首先獲取高級權限的憑證,但他們的主要目標是域管理員賬戶。
有許多方法可以讓攻擊者獲取身份驗證數據。我們將討論最常見的方法。
您已經知道RDP、VPN和其他外部遠程訪問服務常被用于勒索軟件攻擊。這些服務在許多情況下防護不足,因此初始訪問經紀人或勒索軟件運營者可以通過暴力破解攻擊成功獲取合法賬戶。
另一個廣泛使用的方法是憑證轉儲。勒索軟件的操作員仍然經常使用Mimikatz,盡管它很容易被檢測到。一些攻擊者甚至手動將其從官方GitHub倉庫下載到被攻破的主機上。
這并不是唯一用來轉儲憑證的工具。我們越來越頻繁地遇到的一個替代工具是LaZagne,這個工具不僅能從易失性內存中提取憑證,還能從各種密碼存儲中提取,如網頁瀏覽器。
另一個例子是使用ProcDump工具,這個工具通常用來為本地安全認證子系統服務(LSASS)進程創建內存轉儲。
攻擊者可以下載這些轉儲,并使用諸如Mimikatz之類的工具從中提取憑證。
勒索軟件的操作員甚至不需要下載額外的工具來轉儲憑證——他們可以利用Windows的內置功能。例如,Conti團伙的成員使用COM+服務的MiniDump功能來創建lsass.exe的轉儲。
如果攻擊者能夠訪問域控制器,他們也可以創建整個Active Directory域數據庫的轉儲,該數據庫保存在NTDS.dit文件中。
Conti團伙使用內置的ntdsutil工具來創建NTDS.dit的副本。
這個文件不僅可以被勒索軟件操作員用來獲取憑證,還可以用來收集有關域的信息。
由于無法總是創建快照或破解憑證,攻擊者不斷找到新的獲取有效賬戶的方法。最近,類似Kerberoasting的憑證獲取方法在勒索軟件操作員中越來越受歡迎。
攻擊者利用Kerberos票據授權票據(TGT)或截獲網絡流量以獲取票據授權服務(TGS)提供的票據。例如,Ryuk勒索軟件操作員使用Rubeus進行Kerberoasting攻擊。
一旦獲得所需級別的憑證,勒索軟件操作員就準備好在網絡中橫向移動。
在開始橫向移動之前,攻擊者需要收集他們滲透的網絡的信息。這些活動可能包括網絡掃描和Active Directory偵察。
兩個最常見的網絡掃描工具,被各種勒索軟件操作員使用的是Advanced IP Scanner和SoftPerfect Network Scanner。
一個最常用的Active Directory偵察工具是AdFind,這是一個合法的命令行查詢工具。
以下是Netwalker勒索軟件操作員使用該工具的示例。
AdFind允許攻擊者收集有關用戶、計算機、域間信任、子網等的信息。這些信息可以幫助他們找到最有價值的主機,如備份和機密信息所在的主機。
另一個流行的Active Directory偵察工具是ADRecon,它被REvil勒索軟件操作員廣泛使用。
正如在前幾個階段一樣,攻擊者可以使用Windows的內置功能進行網絡偵察。例如,Conti勒索軟件的成員使用PowerShell的命令集進行網絡偵察。
網絡橫向移動是另一種積極使用漏洞的策略。許多攻擊者偏好使用常見的漏洞,一個顯著的例子是EternalBlue(CVE-2017-0144),這是一個服務器消息塊(SMB)協議的漏洞,早在2017年被臭名昭著的WannaCry勒索軟件利用。
這個漏洞仍然存在于許多企業網絡中,因此它仍然受到攻擊者的歡迎,例如LockBit團伙。
其他常見的橫向移動漏洞包括SMBGhost(CVE-2020-0796)和Zerologon(CVE-2020-1472)。
勒索軟件操作員使用各種遠程服務,如RDP、SMB等,通過使用有效的賬戶進行橫向移動。如果攻擊者通過RDP獲得了初始訪問權限,他們通常利用同一協議連接到被攻破網絡中的其他主機,在那里他們部署惡意軟件、遠程訪問工具,當然還有勒索軟件。
攻擊者喜歡使用RDP,因此他們的工具庫中甚至包括預配置的腳本,用于修改配置以便與目標主機建立RDP連接。
其他子技術包括SMB和Windows遠程管理(WinRM)。
勒索軟件操作員并不總能獲取到明文密碼,因此在某些情況下,他們必須使用密碼哈希或Kerberos票據進行橫向移動。哈希傳遞(Pass the Hash, PtH)和票據傳遞(Pass the Ticket, PtT)攻擊可以通過Mimikatz或后期利用框架如Cobalt Strike和Metasploit執行。
橫向移動的目標之一是尋找包含機密數據的主機,這些數據可以被收集和盜取。接下來我們將討論一些常見的數據收集和外泄方法。
正如我們之前所討論的,勒索軟件操作員通常不僅僅加密數據,還會盜取數據。數據可以從多個來源被盜取。讓我們來看看一些最常見的來源。
攻擊者可能會在被攻破的系統中找到有價值的數據。協議、合同或包含個人數據的文件——所有這些都可能被勒索軟件操作員用于進一步的敲詐。
網絡共享驅動器是潛在重要信息的常見來源,因此參與勒索軟件攻擊的攻擊者通常也會收集并盜取這些數據。
一些攻擊者更加有針對性。例如,Clop勒索軟件的操作員通常會尋找屬于公司高管的主機,并收集他們的電子郵件作為勒索的材料。
在某些情況下,勒索軟件操作員在盜取數據之前會對收集的數據進行歸檔。例如,Conti團伙使用流行的7-Zip工具在外泄前對收集的數據進行歸檔。
各種Web服務,如MEGA、DropMeFiles等,在勒索軟件操作員中非常流行。他們可以使用Web瀏覽器將收集的數據上傳到存儲中,或者使用諸如RClone之類的工具自動化這一過程。
以下是使用RClone進行數據外泄的示例。
有時攻擊者甚至會開發專門的數據收集和外泄工具。
LockBit操作員不僅向其合作伙伴提供用于部署的勒索軟件,還提供數據盜取工具——StealBit。
該工具自動從被攻破的主機中提取所有可用文件,除了系統文件、注冊表文件和一些其他擴展名的文件。一旦所有收集的數據被盜取,就可以進行最后的步驟——部署勒索軟件。
任何勒索軟件攻擊的最終目標是直接部署勒索軟件。此時,備份已經被刪除(或將首先被加密),安全產品被禁用,數據被盜。
最常見的部署方法之一是通過SMB復制勒索軟件,并使用PsExec(SysInternals工具包中的合法工具)進行執行。攻擊者通常用它進行遠程執行。
以下是Netwalker勒索軟件操作員使用此工具進行遠程執行的示例。
另一個示例是Egregor惡意軟件操作員,他們使用Windows管理工具命令行(WMIC)進行部署。
讓我們看看另一個示例——Ryuk勒索軟件。這次攻擊者使用后臺智能傳輸服務(BITS)進行部署。
勒索軟件本身通常實現了多種技術。讓我們來看看它們。
幾乎每個勒索軟件都有內置功能來刪除或禁用系統恢復功能。一個非常常見的示例是刪除卷影副本的功能。最后一步是加密數據。
任何勒索軟件攻擊的主要目標是加密被攻破主機上的文件。開發者使用各種加密算法,包括AES、RSA、Salsa20、ChaCha和定制算法。沒有攻擊者提供的密鑰,很遺憾,無法解密文件。受害者支付贖金,這激勵了勒索軟件的創建者進行更多攻擊。
我們已經研究了攻擊的整個生命周期,重點是勒索軟件操作員使用的最常見方法。需要注意的是,犯罪分子的TTP會周期性變化,因此了解最新的網絡威脅信息非常重要。
現代的人類操作的勒索軟件攻擊不僅僅是加密數據。為了在企業范圍內部署勒索軟件,攻擊者必須從初始訪問到數據盜取進行長時間的準備,因此網絡安全部門通常有很多檢測機會。然而,作為事件響應專家,我們必須對勒索軟件操作員當前使用的TTP有充分的了解,以便快速有效地應對攻擊。
由于TTP可能隨著時間變化,事件響應專家和其他安全部門人員必須能夠收集、處理和傳播與勒索軟件相關的網絡威脅的實用信息。
在下一章中,我們將探討各種可用于收集網絡威脅信息的公開來源。
如您所知,勒索軟件的運營者可能會使用廣泛的策略、技術和程序(TTP),因此了解他們在您應對的攻擊中具體使用了什么非常有用。其中一些策略和方法是短期使用的,另一些是長期的,這取決于攻擊者的最終目標。
通常,您在開始應對事件(Incident Response,IR)時首先會了解到的是攻擊者使用的勒索軟件類型。許多勒索軟件類型以“勒索軟件即服務”(RaaS)的模式傳播,不同的合作伙伴可能對攻擊生命周期有不同的方法,因此他們的TTP也可能有所不同。
考慮到這一點,擁有可靠的網絡威脅情報(Cyber Threat Intelligence,CTI)對您應對攻擊非常有幫助。商業CTI平臺當然非常有用,但即使在這些來源中也可能沒有您需要的所有信息,因此學會獲取詳細信息以應對當前或未來的響應活動非常重要。
在本章中,我們將討論一些網絡威脅情報的來源,具體包括:
大多數網絡安全公司都會發布各種關于威脅的報告,包括與勒索軟件攻擊相關的威脅報告,因此這些來源是收集網絡威脅情報的方便工具。威脅研究報告是評估威脅環境的重要部分。這些報告幫助技術人員和非專業人士評估公司當前的情況,并將其與整體威脅形勢進行比較。
當然,沒有一份報告是全面的,因此最好根據不同網絡安全解決方案提供商的研究來研究某個威脅。一些報告包含妥協指標(indicators of compromise, IoC)和其他重要數據,值得與公眾分享。這些報告中的一些可以幫助他人準備應對攻擊者及其攻擊。
在本部分中,我們將討論與勒索軟件Egregor相關的各種報告,并嘗試獲取盡可能多的TTP信息。
我們從Group-IB的報告《勒索軟件Egregor:Maze的遺產繼續》(Egregor ransomware: The legacy of Maze lives on)開始討論,該報告的作者之一就是我。資料可通過以下鏈接獲取:Group-IB Egregor Report。
所有勒索軟件攻擊都始于對目標網絡的初步訪問。根據我們分析的報告,Egregor的合作伙伴使用通過釣魚郵件向受害者分發的Qakbot。目標釣魚是獲取網絡訪問權限的最常見且非常有效的方法之一。攻擊者知道他們可以攻擊普通用戶,因為這些用戶可能缺乏識別攻擊的技術技能。
那么Qakbot是什么?最初這是一個在2007年首次發現的銀行木馬。現在,它主要用于加載其他工具,例如Cobalt Strike Beacon,并使用受感染的主機大規模發送垃圾郵件以感染更多設備。許多勒索軟件操作員,包括ProLock、Egregor、REvil、Conti等,都使用這種木馬來獲得對目標網絡的初步訪問。
Group-IB報告還包含有關Qakbot在受感染系統中持久化機制的信息。這些機制包括在啟動文件夾中放置實例或快捷方式(LNK)、在系統注冊表的Run鍵中記錄程序路徑以及創建計劃任務。
在后期利用中,使用了Cobalt Strike。這種商業全功能后期利用框架最初是為模擬高級攻擊而創建的,但很快成為現實攻擊者的工具庫之一,允許他們使用MITRE ATT&CK中描述的許多方法。
根據報告,攻擊者還使用ADFind收集Active Directory(AD)信息。如您從上一章中了解到的,這個工具在勒索軟件攻擊中相當常用。
為了實現橫向移動,Egregor的合作伙伴編寫腳本在注冊表和防火墻中進行必要的更改,以便使用遠程桌面協議(RDP)。腳本通過PsExec傳播,PsExec是Sysinternals Suite的合法工具,允許在遠程主機上執行命令。合法工具和各種腳本是幫助攻擊者保持隱身的主要手段。
另一個由Egregor相關人員使用的常見方法是通過Cobalt Strike Beacon進行進程注入。這種技術可以在被破壞的網絡中用于橫向移動。這樣的方法允許攻擊者隱藏他們使用的命令,不暴露他們的存在。
為了從網絡中提取機密數據,Egregor的操作員使用Rclone,這是一個用于管理云存儲中文件的命令行工具。此外,他們還使用了偽裝技術,將Rclone可執行文件重命名為svchost.exe。
為了禁用防病毒保護,攻擊者使用組策略和scepinstall.exe來移除System Center Endpoint Protection(SCEP)。此類攻擊是攻擊者濫用現代操作系統合法功能的一個鮮明例子。
Egregor的合作伙伴使用基于腳本的各種方法來部署勒索軟件,包括:
正如您所見,即使是一份報告也可以成為良好的信息來源,但額外的數據永遠不會有害。
讓我們研究另一份報告,這次是Cybereason公司發布的《Cybereason對抗Egregor勒索軟件》(Cybereason vs. Egregor Ransomware)。報告可通過以下鏈接獲取:Cybereason Egregor Report。
我們需要分析報告,提取我們尚未掌握的數據,并將其轉化為可實際應用的CTI。
首先,從Cybereason的報告中我們看到,Egregor的合作伙伴不僅通過Qakbot感染目標網絡,還通過Ursnif和IcedID進行感染。與Qakbot一樣,這兩個惡意軟件家族以前是銀行木馬,但現在廣泛用于加載其他工具。攻擊者經常開發新功能,使他們的攻擊帶來更多收益。
此外,根據報告,Egregor的操作員使用SharpHound(BloodHound的數據收集器,通常由滲透測試員和攻擊者用于查找Active Directory中的連接)來收集有關用戶、組、計算機等的信息。
我們成功收集了更多的CTI,讓我們再研究另一份文檔,這是Morphisec公司的報告《Egregor勒索軟件分析》(An analysis of the Egregor ransomware)。報告可通過以下鏈接獲取:Morphisec Egregor Report。
根據這份報告,Egregor的用戶通過防火墻中的漏洞獲得初步訪問權,進入虛擬專用網絡(VPN),這次沒有使用木馬。
攻擊者使用合法的遠程訪問軟件,如AnyDesk和SupRemo,保持對受感染網絡的訪問。2021年,AnyDesk成為攻擊者用于備份訪問的最常見工具之一。
為了終止不需要的進程(例如屬于防病毒軟件的進程),攻擊者使用了免費的反rootkit工具PowerTool,并使用流行的免費工具SoftPerfect Network Scanner收集受感染網絡的信息。
為了獲取憑據,Egregor的操作員使用了Mimikatz,這是滲透測試和攻擊者常用的工具,用于從內存中提取密碼和其他身份驗證材料——哈希、PIN和Kerberos票證。
攻擊者通過各種云服務(如WeTransfer和SendSpace,以及MEGA Desktop App)進行數據盜竊。為了在遠程主機上執行腳本,攻擊者使用了PsExec,在這些主機上運行勒索軟件。
最后,為了掩蓋蹤跡,攻擊者使用SDelete,這是一款命令行工具,用于不可恢復地刪除文件。讓我們總結從所有三份報告的分析中獲得的結果。
Egregor的操作員通過釣魚郵件感染目標主機,或者通過漏洞VPN獲得初步訪問權。
Egregor的操作員使用各種持久化機制,包括啟動文件夾、系統注冊表的Run鍵和計劃任務。
為了收集受感染網絡和Active Directory的信息,Egregor的操作員使用了ADFind、SharpHound和SoftPerfect Network Scanner。
在后期利用階段,使用了Cobalt Strike。
為了橫向移動,使用了RDP。
為了執行命令和腳本,包括部署勒索軟件,Egregor的操作員使用了PsExec。
為了禁用防病毒軟件,使用了組策略和PowerTool;為了移除SCEP,使用了scepinstall.exe。
通過AnyDesk和SupRemo,Egregor的操作員保持對受感染網絡的訪問。
通過Rclone和MEGA Desktop App以及各種云服務進行數據盜竊。
為了部署勒索軟件,Egregor相關人員使用了BITS、PowerShell、共享網絡資源和rundll32。
如您所見,從不同網絡安全公司的報告分析中可以獲得許多關于勒索軟件操作員活動的有價值信息,這些信息可以用來提高和加速事件響應。
接下來我們將討論如何從網絡安全社區獲得CTI。
全球有成千上萬的事件響應專家,當然,其中一些人愿意分享工作中獲得的數據。我們已經討論了威脅研究報告,但通常制作這些報告需要相當長的時間。因此,響應專家通常使用其他平臺,簡要介紹他們學到的新知識。最流行的媒體平臺之一是Twitter。
如果您遇到勒索軟件攻擊并已經確定了勒索軟件的類型,您可以在Twitter上找到很多關于攻擊者及其TTP的信息。最重要的是理解攻擊者。通常,勒索軟件操作員在攻擊生命周期的特定階段使用特定的工具和流程。
讓我們從勒索軟件RagnarLocker開始,看看Sophos公司事件響應總監Peter Mackenzie的以下推文(圖6.1):Twitter鏈接。
從這條推文中我們可以了解到什么?首先,我們看到RagnarLocker相關的攻擊者可能使用ProxyLogon(常見漏洞和暴露,CVE-2021-26855)來獲得對目標的初步訪問權限。ProxyLogon是Microsoft Exchange Server中的一個漏洞,允許攻擊者繞過身份驗證并冒充管理員。
為了收集內部網絡信息,RagnarLocker的操作員使用了Advanced IP Scanner,這是Famatech Corp開發的一款免費的網絡掃描器,在各種RaaS(勒索軟件即服務)用戶中相當受歡迎。
圖6.1顯示了RagnarLocker相關的信息。
像許多其他攻擊者一樣,RagnarLocker的合作伙伴在后期利用階段廣泛使用Cobalt Strike,包括橫向移動(以及RDP)。為了將實例加載到遠程主機上,攻擊者使用了PaExec,這是Sysinternals的PsExec的開源替代品。
為了保持對受感染網絡的備份訪問,RagnarLocker的操作員使用了ScreenConnect,這是一款合法的遠程管理軟件。攻擊者可以利用這種軟件訪問受感染網絡,即使該軟件是為合法目的設計的。
攻擊者使用WinRAR對收集到的機密數據進行壓縮,并使用Handy Backup(一種商業備份解決方案)從目標主機中竊取數據。在數據外傳階段,攻擊者經常使用壓縮和密碼保護,但可以通過多種線索來源檢測到這些行為。
如您所見,即使是幾條Twitter消息也可以獲得許多有價值的信息。讓我們看看同一作者的另一條推文(圖6.2)。
圖6.2顯示了DoppelPaymer相關的信息。
與RagnarLocker的攻擊者一樣,DoppelPaymer的操作員在后期利用中積極使用Cobalt Strike。
此外,我們看到攻擊者利用Rubeus,這是一個相當流行的工具包,用于與Kerberos交互并對其進行攻擊。
另一個攻擊者用來確保備份訪問的合法遠程訪問工具是TightVNC。
最后,DoppelPaymer的操作員通過RDP進行橫向移動——這是一種非常常見的方法,被攻擊者用來進行初步訪問以及訪問目標網絡中的遠程主機。
有趣的是,創建虛擬機(VM)以在其中運行勒索軟件的方法。最初這種方法由Maze和RagnarLocker的合作伙伴嘗試,但現在包括DoppelPaymer在內的其他團伙也在使用這種方法。
如圖6.3所示,DoppelPaymer操作員有一個專門的數據泄露網站(DLS),用于存儲被盜信息。根據分析來源,他們使用MediaFire存儲數據。
如您所見,我們僅從一條推文中就能獲得許多關于勒索軟件攻擊者的有價值的數據。
讓我們看看Confiant威脅分析總監Taha Karim的另一條推文(圖6.3)。
圖6.3顯示了Clop相關的信息。
值得注意的是,這條推文發布的時間遠早于關于Clop操作員TTP的任何信息公開時。
如推文所示,Clop的操作員使用釣魚活動感染受害者的FlawedAmmyy RAT。FlawedAmmyy是一種常見的遠程訪問木馬(RAT),通常與TA505有關。這個RAT基于Ammyy Admin源代碼泄漏,允許攻擊者秘密操縱被感染的主機。
我們已經知道,Cobalt Strike在攻擊者中非常流行,Clop的用戶也不例外。正如您所見,它允許攻擊者繞過用戶賬戶控制(UAC)并使用常見的憑證轉儲工具,如Mimikatz。盡管它會留下很多痕跡,勒索軟件傳播者仍然積極利用它。
最后,從推文可以看出,Clop的用戶濫用服務控制管理器(SCM)在整個企業范圍內部署勒索軟件。
不幸的是,并不總是可以獲得足夠的信息來了解攻擊者在攻擊生命周期中使用的TTP。此外,可能需要有關勒索軟件本身的信息。這里有一條Andrey Zhdanov的推文,他積極跟蹤BlackMatter勒索軟件的樣本(圖6.4)。
圖6.4顯示了BlackMatter相關的信息。
如您所見,這條推文中關于TTP的信息不多,但有一個指向正在分析的樣本的鏈接,以及一些關于其功能的信息。
Twitter并不是收集此類分析的唯一媒體平臺:LinkedIn也是另一個有用的來源。此外,您可以隨時請求事件響應專家和CTI分析師分享他們發現的數據,因此不要猶豫,參與到全球社區中。
讓我們討論一個更有趣的CTI來源——攻擊者自己。
如您所知,這本書是關于人類操縱的勒索軟件攻擊。我們的對手是人,而人們交流和分享信息,這通常發生在地下論壇上。
在本節中,我們將研究由Group-IB Threat Intelligence平臺收集的論壇消息。
第一個帖子是由一個與REvil、LockBit等合作計劃有關的攻擊者FishEye創建的。
圖6.5顯示了FishEye的帖子。
攻擊者想要獲得一個用于SonicWall VPN漏洞的有效利用工具。他寫道,Conti勒索軟件的操作員已經在他們的活動中使用了它。
很可能攻擊者指的是SonicWall Secure Mobile Access(SMA)100系列產品中的漏洞(CVE-2021-20016)。此漏洞可以遠程利用,允許犯罪分子訪問憑證,通過這些憑證,他們可以進入內部網絡并在后期利用階段使用這些憑證。
接下來的帖子是由REvil的臭名昭著代表UNKN發布的(圖6.6)。
圖6.6顯示了UNKN的帖子。
該帖子邀請合作參與REvil的RaaS計劃,并描述了對合作伙伴的要求。首先,我們看到潛在的參與者需要能夠處理備份技術——網絡附加存儲(NAS)和磁帶數據存儲。
其次,攻擊者指出,潛在的合作伙伴需要能夠使用各種后期利用框架。以下是其中的一些:
此外,參與者還需要能夠對Active Directory進行攻擊,包括kerberoasting攻擊,允許攻擊者提取服務帳戶的哈希并在離線環境中破解密碼。
最后,由于許多現代企業網絡使用虛擬化技術,參與者需要了解并能夠攻擊如Hyper-V等技術。
如您所見,在某些情況下,攻擊者分享了大量有關其同伙潛在TTP的信息。他們還經常評論論壇上討論的各種問題,例如,以下是LockBit勒索軟件操作員LockBitSupp關于數據盜竊方法的評論(圖6.7)。
圖6.7顯示了LockBitSupp的帖子。
攻擊者描述了一種流行的勒索軟件操作員用來從受感染網絡中盜取數據的方法。根據帖子的作者,犯罪分子通常使用Rclone和常見云存儲提供商的帳戶,如MEGA和pCloud。他還提到,一些RaaS程序提供了專用的數據盜竊工具(竊取者)。實際上,他是在為LockBit勒索軟件用戶提供的StealBit工具做廣告。
另一個由同一攻擊者發布的帖子涉及在企業范圍內禁用防病毒軟件(圖6.8)。
圖6.8顯示了LockBitSupp的帖子。
濫用組策略對象(GPO)不僅用于禁用安全產品,這也是在企業范圍內執行各種腳本的廣泛方法。值得注意的是,LockBit勒索軟件本身內置了濫用組策略對象在企業網絡中傳播其副本的功能。
最后一個我們要討論的帖子是由一個名為uhodiransomwar的LockBit勒索軟件用戶發布的(圖6.9)。
圖6.9顯示了uhodiransomwar的帖子。
在這次對話中,攻擊者分享了一份已受感染的Pulse Secure VPN服務器列表,其他黑客可以利用這些服務器獲得對網絡的初步訪問權。很可能這些服務器容易受到CVE-2019-11510漏洞的攻擊,這使得攻擊者可以使用任意文件讀取方法獲得有效憑證。
如您所見,確實有許多收集有用CTI的機會,這些CTI可以顯著簡化您處理勒索軟件相關事件響應的工作。
在本章中,我們討論了與勒索軟件相關的各種CTI來源。我們分析了幾份公開報告,并提取了有價值的數據,使我們能夠重構攻擊生命周期的各個部分并將其轉化為CTI。
我們學會了如何分析社交媒體,以獲取網絡安全社區成員分享的威脅信息。
最后,我們研究了地下論壇,了解了如何直接從我們的對手——勒索軟件操作員那里獲取CTI。
現在,您已經了解了許多關于人類操縱的勒索軟件攻擊,并且對這些攻擊的發生有了清晰的認識,您已經準備好深入調查過程。
在下一章中,我們將討論主要的數字取證來源,這些來源使事件響應團隊能夠重構勒索軟件攻擊并確定在其生命周期內所做的具體事情。
您已經了解了很多關于人為操作的勒索軟件攻擊的知識——包括攻擊者使用的最常見策略、技術和程序(TTP),以及通過收集有用的網絡威脅情報來加速事件調查的方式。現在,是時候集中注意力于調查過程本身了。
您可能聽說過洛卡德交換原則,但我還是要提醒一下:犯罪者總會在犯罪現場留下痕跡,并帶走一些東西。這些痕跡都可以用作證據。
這聽起來很熟悉,不是嗎?勒索軟件使用者在犯罪現場留下他們的工具,包括勒索軟件本身,通常還會帶走大量機密數據。
我們已經知道,勒索軟件攻擊的生命周期相當復雜。但如何確定攻擊者在不同階段使用了哪些方法呢?答案是使用數字取證方法!
在本章中,我們將討論各種數字取證證據的來源,這些證據可以幫助事件響應團隊重建勒索軟件攻擊的過程。數字取證可以發現和重建數據,從而緩解網絡攻擊的后果或降低相關風險。
我們將重點關注以下來源:
由于許多攻擊者使用現成的工具——即目標基礎設施中已有的工具,分析易失性內存有助于找到關鍵痕跡,這些痕跡對于事件響應專家正確重建入侵方法至關重要。否則,攻擊者可能會逃過安全團隊的視線。
由于易失性數據通常存儲在設備的隨機存取存儲器(RAM)中,提取這些數據通常采用創建內存轉儲的方法。
有許多工具可以用來轉儲易失性內存。以下是其中的一些:
注意:切勿將數據收集工具和獲取的內存轉儲文件復制到相同的設備上。請使用外部硬盤或網絡資源。為什么?因為您可能會意外覆蓋潛在的數字痕跡來源!
圖7.1展示了使用AccessData FTK Imager進行內存捕獲的示例。
最流行的內存轉儲分析工具是Volatility,這是一款開源平臺,用于內存轉儲的取證調查。撰寫本書時,這款工具有兩個版本:
兩個版本都需要至少一些命令行操作技能,但由于有清晰的說明,學習使用它們并不難。
如果您不喜歡命令行,可以試試PassMark的Volatility Workbench——這是Volatility的圖形用戶界面(GUI)。
圖7.2展示了通過PassMark Volatility Workbench啟動Volatility插件的過程。
內存轉儲分析有助于發現許多與攻擊相關的證據,這些證據隨后可以作為企業范圍內威脅檢測的重要妥協指標(IoC)。
PassMark Volatility Workbench有針對Volatility 2和Volatility 3的版本。兩個版本都可以從這里下載。
內存轉儲并不總是最好的分析方法。您可能不知道需要檢查哪些主機,而分析數百臺機器的內存轉儲是一項耗時且低效的策略。
有些工具允許事件響應專家進行實時分析。例如,Process Hacker是一款廣受攻擊者歡迎的工具,也可以被防御者使用。它允許檢查易失性內存數據,包括運行的進程、它們的命令行以及網絡連接等。這僅僅是其功能的一部分。圖7.3展示了使用Process Hacker進行實時分析的示例。
圖7.3展示了使用Process Hacker檢查運行的進程。
Process Hacker可以從這里下載。有趣的是,易失性內存痕跡不僅可以在內存轉儲中找到。有些系統文件也包含內存殘留:
我們將返回討論文件系統證據及其如何幫助我們調查勒索軟件攻擊。但首先,我們需要學習如何收集非易失性內存數據——即系統關閉時可訪問的數據。
在深入研究各種非易失性內存數據來源之前,讓我們了解如何獲取這些數據。您可能聽說過取證鏡像——這是數字存儲設備的位拷貝。有時我們仍然創建這種鏡像,例如,用于第一個被攻破的主機,因為上面可能留有許多與攻擊者活動相關的各種證據。可以使用AccessData FTK Imager創建這些鏡像。
但是,被攻破的主機可能相當多,每個系統都進行克隆是一項繁重的任務。在這種情況下,您可以創建選擇性鏡像——它將包含一系列文件以及一些額外的數據,例如網絡連接信息。
圖7.4展示了使用AccessData FTK Imager創建鏡像的示例。
Live Response Collection(下載鏈接)是Brian Moran開發的一款收集初始數據的好工具。
圖7.5展示了使用Live Response Collection創建初始處理鏡像的示例。
有趣的是,該工具不僅可以收集初始數據,還可以復制內存,甚至創建完整的鏡像。請記住,應從外部硬盤或網絡資源運行這些工具。
如果您需要更有針對性地操作,可以使用Kroll Artifact Parser and Extractor(KAPE),它允許事件響應專家執行高度聚焦和緊湊的數據收集。它有圖形界面和命令行版本(圖7.6),可在整個企業范圍內使用。
此外,KAPE不僅用于數據收集,還可用于自動化處理數據。還有一些代理解決方案,包括開源的,能夠實時收集數據。一個好的例子是Velociraptor。
圖7.6展示了使用KAPE進行有針對性的數據收集。
許多EDR/XDR解決方案也允許收集取證證據。下圖展示了Group-IB Managed XDR框架的數據收集參數。
EDR/XDR解決方案本身就是非常有價值的取證證據來源,因為它們不斷收集有關運行進程、網絡連接、文件和注冊表更改等信息。正如您所見,有相當多的選項可以收集易失性和非易失性數據。現在,讓我們研究各種數字取證證據的來源。
圖7.7展示了Group-IB Managed XDR框架的數據收集參數。
文件系統包含許多不同的證據,可以幫助進行調查。Windows注冊表和各種日志也屬于文件系統,但它們相當復雜,我們將單獨討論它們。
您在調查勒索軟件攻擊時最常遇到的文件系統類型是新技術文件系統(NTFS)。目前,這是Windows操作系統中最常見的文件系統——正如您已經知道的那樣,這是勒索軟件使用者的主要目標。盡管對Linux系統的興趣有所增加,但攻擊者通常通過入侵Windows基礎設施來接觸這些系統,因此我們將重點放在這個操作系統上。
作為事件響應專家,我們首先關心的是元數據分析,因此讓我們研究NTFS的一個主要組件——主文件表(MFT)。它包含有關文件名稱、位置、大小和時間戳的信息。我們可以使用從MFT提取的信息來構建時間線,這有助于我們恢復攻擊者創建和使用的文件信息。
這些信息可以從元文件$MFT中提取。包括$MFT在內的元文件可以使用各種數字取證工具提取。一個示例工具是AccessData FTK Imager。
圖7.8展示了AccessData FTK Imager中顯示的$MFT和其他NTFS元文件。
我不會讓您疲于了解NTFS的內部結構——關于這個主題有很多優秀的資源,例如Brian Carrier的《文件系統取證分析》 。
提取$MFT元文件后怎么做?可以直接查看它,或者先解析它,然后分析提取的數據。
我會引用2019年“年度計算機取證專家”得主和SANS講師Eric Zimmerman及其著名的免費數字取證工具包。這些工具可以從這里獲取。
如果您更喜歡直接查看$MFT,可以使用MFTExplorer。不幸的是,這類查看工具速度不快,因此我建議先解析元文件。為此,有一個單獨的工具——MFTECmd。使用它,您可以將$MFT中的數據轉換為易于讀取的逗號分隔值(CSV)文件,您可以使用您喜歡的工具(如Microsoft Excel)進行分析。
另一個在Eric Zimmerman工具包中提供的工具是Timeline Explorer。以下是通過Timeline Explorer分析的$MFT文件的示例。
圖7.9展示了通過Timeline Explorer打開的已分析$MFT文件。
Timeline Explorer允許您選擇要重點關注的列。它還具有方便的過濾功能,使您能夠輕松排除不需要的內容。在Windows操作系統中,有許多對事件響應專家有用的證據來源。讓我們從有助于收集執行痕跡的來源開始,首先討論預取文件。
預取文件位于C:\Windows\Prefetch文件夾中,用于通過預加載常用應用程序的代碼來提高系統性能。
這些文件的擴展名為.pf,包含程序執行的時間戳和執行次數,以及與可執行文件交互的文件夾和文件列表。預取文件可以使用PECmd進行分析。
圖7.10展示了PECmd的一部分輸出。
當然,預取文件不是唯一的程序執行痕跡來源,其他來源將在“Windows注冊表”和“Windows事件日志”部分討論。現在讓我們來看看文件訪問的證據——LNK文件和跳轉列表。
LNK文件(或“快捷方式”)在用戶(或攻擊者)打開本地或遠程文件時由Windows操作系統自動創建。可以在以下位置找到這些文件:
這些文件包含LNK文件本身和其指向的文件(即被打開的文件,可能已經被刪除)的時間戳等數據。
存在一個工具可以解析這些文件——LECmd。
圖7.11展示了LECmd的一部分輸出。
屏幕截圖顯示了攻擊者使用一種非常常見的憑證獲取方法進行LSASS轉儲的證據。讓我們來看看另一個與文件系統相關的類似數字取證證據來源——跳轉列表。
跳轉列表是Windows任務欄的一個功能,允許用戶查看最近使用的項目列表。事件響應專家可以利用這一功能來研究最近訪問的文件列表。
這些文件可以在以下文件夾中找到:
存在一個圖形界面工具可以查看這些文件的內容——JumpList Explorer。
如圖7.12所示,跳轉列表不僅包含文件信息,還包含例如通過RDP訪問的主機信息。這在跟蹤網絡中的橫向移動時非常有用。
圖7.12展示了通過JumpList Explorer查看跳轉列表的過程。
讓我們來看看數據盜竊調查工具之一——系統資源使用監視器(SRUM)。
Windows使用該功能來監視系統性能,有助于事件響應專家獲取每小時每個應用程序發送/接收的數據量,這在調查數據盜竊時至關重要。
SRUM數據的數據庫位于C:\Windows\System32\SRU文件夾中。
您還可能需要C:\Windows\System32\config文件夾中的SOFTWARE注冊表節文件來進行正確的數據分析。
兩個文件都可以使用SrumECmd進行處理。生成的文件可以通過Timeline Explorer查看(圖7.13)。
圖7.13展示了通過Timeline Explorer查看已分析的SRUM數據。
攻擊者還使用什么工具來竊取數據和復制工具?當然是網絡瀏覽器!
網絡瀏覽器廣泛用于普通用戶,他們可能成為目標釣魚攻擊的受害者,也被攻擊者用來下載額外的工具和竊取數據。
讓我們關注三個主要瀏覽器——Microsoft Edge、Google Chrome和Mozilla Firefox。
與瀏覽器相關的主要證據來源是瀏覽歷史。其分析可以揭示攻擊者下載工具的來源或他們存放數據的位置。這些數據通常存儲在SQLite數據庫中,可以在以下位置找到:
SQLite數據庫可以手動分析,例如使用DB Browser for SQLite(下載鏈接),或者使用專用的瀏覽器取證工具,例如BrowsingHistoryView(下載鏈接)。
圖7.14展示了通過BrowsingHistoryView分析網絡搜索歷史的過程。
有用的取證證據還包括Cookie文件和緩存。
Cookie文件允許網絡瀏覽器跟蹤和保存每個用戶會話的信息,包括訪問的網站。這些信息也存儲在SQLite數據庫中:
另一個與瀏覽器相關的證據是其緩存,即本地保存的網頁組件,以便下次訪問時更快加載。
以下是不同瀏覽器緩存文件的位置:
有幾個工具可以解釋緩存文件中存儲的數據。一些工具包括ChromeCacheView(下載鏈接)和MozillaCacheView(下載鏈接),但也有其他工具。
另一個數字證據來源是Windows注冊表。
Windows注冊表是一個分層數據庫,存儲了各種配置參數以及重要的程序啟動和用戶活動信息。
注冊表文件的位置如下:
現在讓我們來看一下分析Windows注冊表文件時可以找到的最常見的證據來源:
當然,程序啟動痕跡并不是可以從Windows注冊表中提取的唯一數字證據。另一個重要的證據類型是最近使用的文件和文件夾的痕跡。讓我們來看一下最常見的:
這些僅是可以在Windows注冊表中找到的有價值證據的一些例子。其他例子包括系統持久化機制、遠程訪問痕跡等。
有多種方法可以分析注冊表。可以手動分析,重點是基于現有的妥協指標進行關鍵字搜索。例如,您可以使用Registry Explorer(下載鏈接)——這是Eric Zimmerman開發的另一個有用工具,它允許您查看提取的注冊表文件和當前注冊表,包括已刪除的鍵和值。
我推薦這個工具進行手動分析,但它也提供許多用于自動分析常見證據的插件。
圖7.15展示了在Registry Explorer中打開的正在運行系統中的SYSTEM注冊表文件。
另一個優秀的注冊表分析工具是Harlan Carvey的RegRipper(下載鏈接)。它有圖形界面和命令行版本,以及用于分析注冊表證據的各種插件。您還可以自己編寫額外的插件。
下一個有價值的數字取證證據來源是Windows事件日志。
日志記錄是Windows操作系統及其各種應用程序記錄各種事件的內置機制。它也可以成為與勒索軟件攻擊相關證據的極有價值的來源。
有時,攻擊者會刪除這些日志以掩蓋痕跡,這本身就可以作為主機已被入侵的可靠指示。
默認情況下,日志文件位于C:\Windows\System32\winevt\Logs文件夾中,擴展名為.evtx。
Windows事件日志也可以使用SIEM(確保記錄正確的日志)或EDR/XDR解決方案進行收集。
圖7.16展示了AccessData FTK Imager中列出的Windows事件日志文件。
讓我們看看一些常用的日志文件和事件ID。
這不是一個詳盡的列表,但我們可以看到其中有很多有用的事件,可以幫助事件響應。
發生在Windows環境中的事件不僅記錄在Windows事件日志中,還有其他日志也可能對我們有用。
最后,讓我們列出一些可能在您的調查中起關鍵作用的其他日志。
正如您所知,勒索軟件操作員可能會使用許多工具——這意味著其中一些工具會被防病毒軟件檢測到。防病毒軟件日志可能非常有用。
這些日志可以成為網絡連接的寶貴信息來源,包括入侵嘗試。這是極其寶貴的取證數據來源,尤其是當數據保存時間較長且您有一些網絡妥協指標時。
VPN是訪問網絡的熱門初始向量之一,因此VPN日志也可能揭示一些關于攻擊者網絡基礎設施的信息。進行GeoIP(地理位置)分析非常有用——您可能會發現來自與公司無關國家的連接。
如果您有網絡指標或想要跟蹤異常事件,請檢查代理服務器是否可用。
如果您懷疑勒索軟件操作員使用Web Shell進行初始持久化,請確保檢查Web服務器日志。
郵件服務器也可能存在漏洞:回想一下Conti組織使用ProxyLogon獲取初始訪問權。這就是為什么郵件服務器日志可能非常有用的原因。
現在,您對各種數字取證證據來源有了更好的了解,并準備好進行最有趣的部分——調查。
在本章中,我們討論了最常見的數字取證證據來源,這些證據可以幫助事件響應團隊調查勒索軟件攻擊。
我們研究了文件系統中最受歡迎的證據來源、注冊表、各種日志,并了解了如何從易失性和非易失性內存中提取數據以及如何將收集的數據轉換為便于深入取證分析的格式。
現在,您已準備好進行更實際的任務——根據各種數字取證證據重建實際的勒索軟件攻擊。
在下一章中,我們將討論幾種初始訪問場景,并利用所獲得的知識來理解攻擊者如何獲得初始訪問權限并進行后期利用。
在第7章中,我們討論了在Windows操作系統中可用的各種數字取證證據來源。現在是時候分析具體示例,了解如何使用這些證據來重建勒索軟件攻擊的生命周期了。
讓我們從最常見的初始訪問方法的痕跡開始——濫用外部遠程訪問服務和釣魚攻擊。
攻擊外部遠程訪問服務,特別是公共RDP服務器,是極其流行的。超過50%的成功攻擊是通過暴力破解這些服務器開始的。
釣魚攻擊也是如此——勒索軟件攻擊的前兆通常是通過電子郵件和社交網絡大量傳播的各種機器人。
在本章中,我們將基于真實攻擊場景討論兩個案例。我們將討論以下主題:
為了確定初始攻擊向量,首先需要收集相關數據。通常,我的團隊已經根據觀察到的攻擊者行為,列出了一份可能的入侵方法簡要清單。事實上,在實際調查中,我們通常在分析結束時才會弄清楚使用的初始訪問方法,因為通常需要從一個被加密的主機和消除后果開始調查。但是在本章和接下來的章節中,我們將一步步尋找證據,仿佛我們在追蹤勒索軟件攻擊的生命周期從頭到尾。在實際調查中,您也可以按照相反的順序執行相同的分析步驟。
在許多與勒索軟件相關的事件中,受害者沒有安裝高級安全產品,因此我們將專注于幾乎總是可用的方法和證據。
分析外部遠程訪問服務的濫用通常包括日志分析。這些日志可能是防火墻日志、VPN日志或最常見的Windows事件日志,特別是涉及RDP攻擊時。
有趣的是,在許多情況下,當我們幾乎確定攻擊始于公共RDP服務器的入侵時,客戶的IT團隊會試圖說服我們該組織沒有這樣的服務器——盡管防火墻規則明顯表明存在或最近存在這樣的服務器(規則剛剛被刪除)。有時IT團隊想讓您的工作變得更困難并隱藏證據,因為在許多事件中,人為因素起著重要作用——那些使攻擊成為可能的人不想被抓住。
由于我們決定專注于流行且更重要的是免費的工具,我們將使用KAPE來收集數據。
如果您已經確定了服務器,可以直接連接外部硬盤并運行KAPE的圖形界面版本,選擇感興趣的對象并開始收集數據。
圖8.1展示了使用KAPE收集與RDP相關的Windows事件日志的過程。
如圖8.1所示,KAPE中有一個預設配置,用于收集與RDP相關的日志。圖8.2顯示了該工具收集的具體日志文件。
通過這種方式,我們可以獲得以下文件:
圖8.2展示了為EventLogs-RDP配置收集的Windows事件日志文件。
如果有多臺服務器,或者您不確定選擇哪臺服務器,可以使用KAPE的命令行版本。例如,您可以將其放在共享網絡磁盤上,并使用組策略同時從多臺主機收集數據。
因此,我們使用KAPE從被認為通過暴力破解攻擊入侵的服務器上獲取了一些Windows事件日志文件進行進一步分析。讓我們重點關注Security.evtx文件,因為它包含許多適合此類調查的記錄。以下是兩個對分析暴力破解RDP攻擊有用的主要事件ID。
第二個事件有助于我們識別入侵嘗試,第一個事件則顯示成功登錄的情況。
您可能需要一本事件ID參考手冊,以了解在調查特定類型的事件時應關注的內容。
讓我們查看收集的事件日志。首先檢查是否存在ID為4625的事件。這里我要介紹另一個來自Eric Zimmerman收藏的工具——EvtxExplorer。您可以使用它來分析事件日志文件,并將數據保存為便于閱讀的格式,例如CSV。生成的文件可以通過Timeline Explorer進行分析。
圖8.3展示了通過EvtxExplorer提取的ID為4625的事件。
我們獲得了196,378個ID為4625的事件——這意味著此服務器遭受了暴力破解密碼的攻擊。但攻擊成功了嗎?為了弄清楚這一點,我們需要查看ID為4624的事件(圖8.4)。
圖8.4展示了通過EvtxExplorer提取的ID為4624的事件。
這些事件很多,但我們需要專注于兩件事:異常的連接來源和通過RDP(類型10)登錄系統的情況。
如果按類型10進行過濾,只剩下兩個事件。兩個連接都來自同一個IP地址——185.191.32.164。讓我們試著了解更多信息。
圖8.5展示了從Group-IB圖表中獲取的IP地址信息。
根據收集的信息,我們可以準確識別出惡意連接——來源位于俄羅斯,而這樣的連接對該受害者來說完全不正常。
從日志中還可以獲取更多信息,例如攻擊者使用管理員帳戶登錄系統。具有如此常見名稱的帳戶通常成為暴力破解攻擊的目標。
現在讓我們尋找數據源,以研究另一種初始訪問方法——釣魚。
我們已經知道,像Emotet、Trickbot和IcedID這樣的機器人是人為操作勒索軟件攻擊的常見前兆。通常,它們通過電子郵件附帶的惡意Office文檔傳播。在大多數情況下,為了下載和運行木馬,受害者需要啟用宏。此外,攻擊者還可能利用軟件漏洞來實現這一點。
這些機器人通常用于進行基礎偵察和為后期利用做準備,例如交付Cobalt Strike Beacon等工具。
我們已經使用了一些KAPE工具,現在讓我們使用另一個工具——Live Response Collection。
這個工具更容易使用:只需從外部或網絡硬盤運行它,并選擇操作模式。
圖8.6展示了Live Response Collection的啟動界面。
這次我們不僅需要收集包含各種證據來源的初始數據,還需要對易失性內存進行轉儲,以便使用Volatility Framework進行分析。
收集到的數據分為兩個文件夾——ForensicImages和LiveResponseData。內存鏡像位于ForensicImages文件夾中。現在我們準備進入分析階段。
要研究通過Live Response Collection獲取的內存鏡像,我們將使用Volatility 3。如我們在第5章《勒索軟件團伙的戰術、技術和程序》中記得的那樣,惡意軟件使用的最流行的方法之一是進程注入。讓我們從最簡單的開始,運行malfind插件來分析內存鏡像。
圖8.7展示了malfind的部分輸出。
這個插件有助于找到隱藏代碼、注入代碼和DLL形式的代碼,因此非常有助于檢測進程注入。
通過malfind,我們提取了一些證據,但最有趣的是與進程rundll32.exe相關的PID 9772。根據輸出,這很可能是代碼注入。通常,IT專家和初級安全分析師會忽略合法文件rundll32.exe,但它需要仔細檢查,因為它經常成為攻擊者的目標。
讓我們繼續,通過pstree插件檢查進程樹。
圖8.8展示了pstree的部分結果。
這個插件以樹狀結構顯示正在運行的進程。
現在我們獲得了更多關于所討論進程的信息——它有一個PID為5952的父進程。不幸的是,沒有關于該PID進程的信息。但這不是問題——讓我們從另一側入手。我們可以使用cmdline插件收集每個進程的命令行參數信息。
圖8.9展示了cmdline的部分輸出。
如您所見,rundll32.exe用于啟動一個沒有擴展名的文件dll,名稱隨機生成——jwkgphpq.euz。這非常可疑。此外,該文件位于一個隨機命名的文件夾中,這是惡意活動的另一個常見特征。
現在我們幾乎可以確定,rundll32.exe用于啟動惡意文件。讓我們嘗試找出是否有可疑的網絡連接。為提取此信息,我們需要netscan插件。
圖8.10展示了netscan的部分輸出。
第一個可疑的IP地址是81.0.236.93。讓我們使用Group-IB圖表收集更多關于它的信息。
圖8.11展示了Group-IB圖表中的可疑IP地址。
如您所見,這個IP地址與許多惡意文件有關。單擊其中一個文件,我們可以獲取更多詳細信息。能夠轉換視角并關聯證據是調查事件的重要技能。
圖8.12展示了Group-IB圖表中的惡意文件信息。
我們找到了一個DLL文件,其名稱與我們先前發現的文件非常相似。這很可能是類似的惡意軟件。
讓我們深入一點——使用分析功能。現在我們不僅有一個網絡指標,還有一個哈希值。此外,正如您在圖8.12所見,該文件在VirusTotal上可用。讓我們根據獲得的哈希值找到它(圖8.13)。
圖8.13展示了VirusTotal上的惡意文件信息。
看起來是Emotet。盡管其操作員已被捕(參見第1章《現代勒索軟件攻擊的歷史》),但在2021年11月,Emotet的基礎設施開始恢復,許多公司再次面臨其垃圾郵件活動。
盡管我們已經識別了惡意軟件家族,但讓我們進一步深入。例如,嘗試從netscan中提取更多指標。如果查看輸出,可以注意到另一個可疑的IP地址——163.172.50.82。該地址也與幾個惡意文件有關。
如圖8.14所示。
讓我們詳細查看其中一個文件(圖8.15)。
如您所見,結果與前一個非常相似。讓我們再次使用VirusTotal上的哈希值(圖8.16)。
又是Emotet!我們通過內存取證分析獲得的兩個IP地址都與惡意活動有關。
現在讓我們分析非易失性數據。Live Response Collection不僅讓我們獲得了內存鏡像,還獲取了許多我們在前一章討論過的證據來源,例如預取文件。
我們已經知道我們正在處理Emotet。這種機器人通常通過帶有惡意附件的釣魚電子郵件傳播,例如Microsoft Word文檔或Excel電子表格。
圖8.16展示了VirusTotal上的惡意文件信息。
如果查看收集的文件,很容易找到winword.exe的預取文件。讓我們使用PECmd解析它,并檢查其中的引用文件。
圖8.17展示了PECmd的部分輸出。
非常有趣——在Microsoft Outlook使用的臨時文件夾中,有一個可疑的DOCM文件:受害者很可能通過電子郵件收到了它。
我們還看到用戶名為CARPC,因此現在我們可以獲取NTUSER.DAT注冊表文件,并使用RegRipper提取與該用戶相關的數據。
首先,分析存儲最近打開文檔信息的注冊表鍵,我們看到可疑的DOCM文件是用戶在2021年11月16日08:49:55(UTC)打開的。
另一個有趣的發現是Software\Microsoft\Windows\CurrentVersion\Run鍵中的jwkgphpq.euz值及其數據。
看起來很熟悉,不是嗎?這是Emotet使用的系統持久化機制!
現在讓我們查看事件日志。如我們所知,攻擊者經常使用PowerShell從遠程服務器下載文件,因此在調查釣魚攻擊時,一定要檢查Windows PowerShell事件日志。
確實,在該日志中有一條有趣的記錄。
這意味著什么?PowerShell被用來從前面列出的七個URL地址之一下載文件。程序被保存到C:\ProgramData文件夾中,并通過rundll32.exe啟動。更重要的是,這一事件發生在打開可疑的DOCM文件之后。
總結一下:2021年11月16日08:49:55(UTC),用戶CARPC打開了通過電子郵件收到的惡意文檔FILE_24561806179285605525.docm。打開文檔并啟用受保護內容后,PowerShell啟動以從遠程服務器下載并啟動Emotet。該機器人將自身復制到C:\Users\CARPC\AppData\Local\Iqnmqm\jwkgphpq.euz,并通過在Software\Microsoft\Windows\CurrentVersion\Run中記錄路徑來確保在受感染系統中持久存在。用于控制和管理的遠程服務器IP地址為81.0.236.93和163.172.50.82。
在本章中,我們討論了勒索軟件操作員使用的兩種非常常見的初始訪問方法——攻擊外部遠程訪問服務和釣魚。
正如您所見,在重建惡意行為時,可以依賴各種來源的證據——從易失性內存到Windows事件日志。此外,我們可以使用各種數據收集工具并對收集到的數據進行過濾。這一點非常重要,特別是在需要同時從多臺主機收集和分析數據時。
當然,初始訪問只是勒索軟件攻擊的開始,因此事件響應專家需要能夠發現許多其他證據。
在下一章中,我們將重點討論各種后期利用活動,例如網絡偵察和憑證獲取。
from zgao.top