完整分析cuba勒索软件（下）

完整分析cuba勒索软件（上）

Veeamp

过了一段时间，研究人员发现一个恶意进程在相邻主机上启动；研究人员称之为“SRV_Service”：

恶意进程启动

Veeam.exe是一个用C#编写的定制数据转储程序，它利用Veeam备份和恢复服务中的安全漏洞连接到VeeamBackup SQL数据库并获取帐户凭据。

Veeamp分析

Veeamp利用以下Veeam漏洞：CVE-2022-26500、CVE-2022-206501、CVE--2022-26504。前两个允许未经身份验证的用户远程执行任意代码，第三个允许域用户执行相同的代码。三个中的任何一个被利用后，恶意软件会在控制面板中输出以下内容：

用户名；

加密的密码；

解密的密码；

Veeam凭据表中的用户描述：组成员资格、权限等；

该恶意软件并非cuba组织独有，Conti和yanlowang种也会出现这些内容。

研究人员在SRV_Service上看到的活动与他们在SRV_STORAGE上使用Bughatch观察到的类似：

SRV_Service上的Bughatch活动

与SRV_STORAGE的情况一样，恶意软件将三个文件放入临时文件夹，然后以相同的顺序执行这些文件，连接到相同的地址。

Avast Anti-Rootkit驱动程序

在Bughatch成功建立了与C2的连接后，该组织使用了一种日益流行的技术：Bring Your Own Vulnerable Driver (BYOVD)。

利用易受攻击的驱动程序

攻击者在系统中安装易受攻击的驱动程序，然后将其用于各种目的，例如终止进程或通过权限升级到内核级别来逃避防御。

攻击者被易受攻击的驱动程序所吸引，因为它们都在内核模式下运行，具有高级别的系统访问权限。此外，拥有数字签名的合法驱动程序不会在安全系统中引发任何危险信号，从而帮助攻击者在更长时间内不被发现。

在攻击过程中，恶意软件在临时文件夹中创建了三个文件：

aswarpot.sys：Avast的合法反rootkit驱动程序，有两个漏洞：CVE-2022-26522和CVE-2022-206523，允许权限有限的用户在内核级别运行代码。

KK.exe：被称为Burntcigar的恶意软件。目前发现的文件是一个新的变体，它使用有漏洞的驱动程序来终止进程。

av.bat批处理脚本：一个帮助内核服务运行Avast驱动程序并执行Burntgigar的stager。

对BAT文件和样本数据的分析表明，av.BAT使用sc.exe实用程序创建一个名为“aswSP_ArPot2”的服务，在Сwindowstemp目录中指定驱动程序的路径，并将服务类型指定为内核服务。然后，BAT文件在同一sc.exe实用程序的帮助下启动服务，并运行KK.exe，它连接到易受攻击的驱动程序。

.bat文件的内容

Burntcigar

在查看Burntcigar时，研究人员注意到的第一件事是PDB文件的路径，其中包含一个名为“Musor”（俄语中“垃圾”的意思）的文件夹，这更表明cuba组织的成员可能会说俄语。

KK.exe PDB文件的路径

找到的样本是Burntcigar的新版本，在事件发生时安全系统无法检测到。攻击者显然更新了恶意软件，因为在之前的攻击之后，许多供应商能够很容易地检测到旧版本运行的逻辑。

在下面示例的截屏中，关于要终止的进程的所有数据都是加密的，而旧版本公开显示了攻击者想要停止的所有进程的名称。

Burntcigar新旧版本的比较

恶意软件搜索与流行AV或EDR产品有关的进程名，并将其进程ID添加到堆栈中，以便稍后终止。

Burntgigar使用DeviceIoContol函数访问易受攻击的Avast驱动程序，将包含安全问题的代码的位置指定为执行选项。该段代码包含ZwTerminateProcess函数，攻击者使用该函数终止进程。

Burntcigar的分析

之后，研究人员在Exchange服务器和SRV_STORAGE主机上发现了利用Avast anti-rootkit 驱动程序的类似活动。在这两种情况下，攻击者都使用BAT文件安装不安全的驱动程序，然后启动Burntgigar。

相邻主机上的BurntChigar活动

SRV_MAIL host (Exchange server)

去年12月20日，客户批准了研究人员将Exchange服务器添加到监控范围的请求。主机一定是作为客户网络的入口点使用的，因为服务器缺少关键更新，而且它很容易受到初始访问的影响。特别是，SRV_MAIL的ProxyLogon、ProxyShell和Zerologon漏洞仍未被修复。这就是为什么研究人员认为攻击者通过Exchange服务器渗透到客户网络的原因。

分析数据开始传入

在SRV_MAIL上，SqlDbAdmin用户显示的活动与研究人员在以前的主机上观察到的活动相同。

SqlDbAdmin的恶意活动

研究人员发现攻击者使用合法的gotoassistui.exe工具在受感染的主机之间传输恶意文件。

GoToAssist是技术支持团队经常使用的RDP支持实用程序，但在系统之间移动文件时，该应用程序经常被滥用以绕过任何安全防御或响应团队。

通过gotoassistui.exe发送恶意文件

研究人员还发现新的Bughatch样本正在执行中。这些使用了略有不同的文件名、回调函数和C2服务器，因为研究人员的系统当时成功地阻止了旧版本的恶意软件。

Bughatch活动

SqlDbAdmin

SqlDbAdmin是一个可疑的DLL addp.DLL，研究人员在一个受攻击的主机上手动找到了它。

可疑动态库

研究人员发现它使用WIN API函数NetUserAdd来创建用户。名称和密码在DLL中进行了硬编码。

addp.dll分析

当研究人员进一步研究该库时，研究人员发现它使用RegCreateKey函数通过修改注册表设置为新创建的用户启用RDP会话。然后，库将用户添加到Special Account注册表树中，以将其隐藏在系统登录屏幕之外，这是一种有趣且少见的持久化技术。在大多数情况下，攻击者在脚本的帮助下添加新用户，而安全产品很少会遗漏这些脚本。

addp.dll分析

Cobalt Strike

研究人员发现Exchange服务器上运行了一个可疑的DLL ion.DLL，该DLL是rundll32进程的一部分，具有异常的执行选项。起初，研究人员认为这种活动与之前在Bughatch中看到的类似。然而，进一步的分析表明，该库实际上是一个Cobalt Strike。

执行可疑的ion.dll文件

当研究人员查看ion.dll代码时，引起研究人员注意的是执行设置和使用Cobalt Strike配置的函数。该库使用VirtualAlloc函数来分配进程内存，以便稍后执行Cobalt Strike Beacon负载。

对ion.dll的分析

所有的配置数据都是加密的，但研究人员确实找到了用于解密的函数。为了找到Cobalt Strike C2服务器，研究人员检查了加载了ion.dll的rundll32内存转储，并使用与受害者主机相同的设置运行。

rundll32内存转储

找出C2的名称有助于研究人员在监测数据中定位与该服务器的通信历史。恶意软件连接到C2后，它将两个可疑文件下载到受感染服务器上的Windows文件夹中，然后执行这些文件。不幸的是，研究人员无法获得这两个文件进行分析，因为攻击者未能在上一步禁用安全功能，这些文件被从受感染的主机上删除。不过，研究人员确实相信，他们正在处理的是勒索软件本身。

与攻击者的C2服务器通信

客户立即隔离了受影响的主机，并将事件转发给卡巴斯基事件响应团队，以便进一步调查和搜索可能的工件。这是研究人员最后一次在客户系统中看到攻击者的活动。由于客户遵循了研究人员的建议和指示，并及时对事件做出了响应，主机避免了加密。

新恶意软件

研究人员发现VirusTotal包含cuba恶意软件的新样本，其文件元数据与上述事件中的文件元数据相同。其中一些样本成功地躲过了所有网络安全供应商的检测。研究人员对每个样本进行了分析。正如你从下面的屏幕截图中看到的，这些是Burntcigar的新版本，使用加密数据进行反恶意软件规避。研究人员已经制定了检测这些新样本的Yara规则。

新的恶意软件样本

BYOVD (Bring Your Own Vulnerable Driver)

BYOVD，全称为Bring your own vulnerable driver，即攻击者向目标环境植入一个带有漏洞的合法驱动程序，再通过漏洞利用获得内核权限以杀死/致盲终端安全软件等，这项技术最初主要被如Turla和方程式这样的顶级APT组织所使用，而随着攻击成本的降低，其它攻击组织也逐渐开始使用这项技术，以BYOVD为标签进行检索可以发现在更早些时候就已经有不同的攻击组织在真实攻击活动中使用此项技术

研究人员在调查该事件时观察到了这种攻击，随着各种APT和勒索软件组织将其添加到他们的武器库中，这种攻击目前越来越受欢迎。

Bring Your Own Vulnerable Driver (BYOVD)是一种攻击类型，攻击者使用已知包含安全漏洞的合法签名驱动程序在系统内执行恶意操作。如果成功，攻击者将能够利用驱动程序代码中的漏洞在内核级别运行任何恶意操作。

要理解为什么这是最危险的攻击类型之一，需要快速复习一下驱动程序是什么。驱动程序是一种软件，它充当操作系统和设备之间的中介。驱动程序将操作系统指令转换为设备可以解释和执行的命令。驱动程序的进一步用途是支持操作系统最初缺乏的应用程序或功能。从下图中可以看到，驱动程序是介于用户模式和内核模式之间的一层。

用户模式和内核模式交互图

在用户模式下运行的应用程序控制系统的权限较少。他们所能访问的只是一个与系统其他部分隔离和保护的虚拟内存区域。驱动程序在内核内存中运行，它可以像内核本身一样执行任何操作。驱动程序可以访问关键的安全结构并对其进行修改。这样的修改使系统容易受到使用权限提升、禁用操作系统安全服务以及任意读写的攻击。

2021年，Lazarus组织利用这一技术，通过滥用包含CVE-2021-21551漏洞的戴尔驱动程序，获得了对内核内存的写访问权限，并禁用了Windows安全功能。

2021年，Dell 被爆出一个潜藏12年的驱动漏洞，CVE编号CVE-2021-21551，漏洞可能引发系统权限提升，预计超过数亿Dell 台式机和笔记本电脑受到该漏洞的的影响。

CVE-2021-21551漏洞实际上是5个漏洞的集合，是Dell计算机在BIOS 更新过程中安装和加载的驱动DBUtil 中的安全漏洞。

没有针对合法驱动程序的万无一失的防御，因为任何驱动程序都可能被证明存在安全漏洞。微软发布了一份针对此类技术的保护建议列表：

启用管理程序保护的代码完整性。

启用内存完整性。

启用驱动程序数字签名验证。

使用易受攻击的驱动程序列表。

然而，研究表明，即使启用了所有Windows保护功能，这些建议也无关紧要，而且这样的攻击无论如何都会发生。

为了对抗这种技术，许多安全供应商开始在他们的产品中添加一个自卫模块，以防止恶意软件终止进程，并阻止每一次利用易受攻击的驱动程序的尝试。研究人员的产品也具有这一功能，在事件中证明是有效的。

总结

cuba组织使用了大量的公开和定制工具，并不断通过最新的各种技术和方法，包括相复杂的技术和方法（如BYOVD）。预防这种复杂程度的攻击需要能够检测高级威胁并保护安全功能不被禁用的复杂技术，以及有助于手动检测恶意工件的大规模、持续更新的威胁知识库。

本文中详细介绍的样本表明，对真实网络攻击的调查和事件响应，如管理检测和响应（MDR），是有关恶意策略、技术和程序的最新信息的来源。特别是，在这次调查中，研究人员发现了cuba恶意软件的新样本和以前未被发现的样本，以及表明至少有一些组织成员会说俄语的工件。

参考及来源：https://securelist.com/cuba-ransomware/110533/

原文始发于微信公众号（嘶吼专业版）：完整分析cuba勒索软件（下）