近期,MITRE通过模拟Turla组织的攻击方式,进行了第五次的ATT&CK评估,之前MITRE也模拟过WizardSpider的攻击方式,我以图的形式进行了归纳汇总,借此放出该图供一起交流。
我简单为大家梳理一下攻击流程并且给出基本的防守方案,详细可以在文章最后面看图。
第一阶段攻击:
WizardSpider的攻击是通过垃圾邮件传播Emotet银行木马(dll或者exe的形式进行实现),Emotet运行时通过设置注册表的方式实现持久化
注册表位置:
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun
并且下载 Outlook scraper DLL,然后Emotet通过LoadLibraryW去加载转储电子邮件和联系人,其中一封电子邮件包含bill的凭据。
Outlook scraper DLL原理:
windows提供了com接口
Microsoft.Office.Interop.Outlook,借助该接口可以去读取Outlook的信息,包括邮箱地址,内容等,MAPI是相关的通信协议,标准示例代码如下:
ATT&CK定义转储本地邮箱内容ID为T1114.001,并且指示出如下2个路径是Outlook存储相关数据的位置
但是当我使用Microsoft.Office.Interop.Outlook时弹出如下访问框,在BadOutlook提出可通过注入方式解决。
当获取到bill机器的账号密码后,Emotet借助RDP登录到bill机器,在bill上下载TrickBot恶意木马。
第一阶段防守:
-
针对写注册表实现自启动,驱动层借助微软提供的CmRegisterCallback实现注册表监控,应用层下对应规则给驱动,并借助规则引擎实现二次的恶意行为判断。
-
针对Outlook本地邮箱数据窃取,其一应用层借助驱动提供的进程监控能对powershell/wmi等的命令行进行规则匹配,其二可hook相关的com函数实现监控(需验证性价比),其三应用层借助文件监控针对相关目录做访问监控并进行二次过滤。
-
注入RDP服务或者收集RDP登录事件监控远程登录,RDP的登录往往也没有那么简单,一般需要关闭防火墙,添加用户到RDP组才能实现远程访问,所以可在此点也做相关监控。
-
全局写文件监控监控TrickBot的下载,联动AV进行查杀。
第二阶段攻击:
通过后台下方指令的方式,使TrickBot收集本机信息,域控信息摸清楚资产信息, 其次借助Rubeus转储域管理员凭证并进行离线破解,此时可知定位到域控机器位置并且获取相关密码则可以直接登录域控。
第二阶段防守:
我本来想给大家简单高效的描述清楚Rubeus原理并提出方案,但是我发现一篇通用性攻击防守文章说不清楚,私下感兴趣的同学可研究落地相关方案。
第三阶段攻击:
利用RDP登录到域控后,启动powershell下载TrickBot 到域控,并且借助AdFind摸清楚域内机器信息,接着通过vssadmin 拷贝ntds.dit 并通过RDP-mounted network share进行泄漏,当域内资产信息和域控账号密码都有后则可以进行最终的目的->勒索。
第三阶段防守:
应用层借助驱动提供的进程监控对powershell/vssadmin 命令行进行规则匹配,对特定红队工具AdFind进行监控。简单提一下,vssadmin 获取ntds.dit我相信大家都耳熟能详,可能一般做法无非就是监控一下这种特殊进程的命令行,监控一下相关日志,但是它的本质是对win32_shadowcopy com接口的调用,很多APT组织早已经转型用win32_shadowcopy去实现相关操作,命令行检测早已经不顶用,在我眼里这种基于进程的命令行检测是最基本的东西,但是很多甲方也懒得去做,说白了没被攻击过,不知道这种痛。
第四阶段攻击:
挂载C$,上传2个文件kill.bat 和 window.bat,kill.bat停止特殊的系统服务,window.bat通过vssadmin删除卷影副本,并且调整Shadowstorage大小强制删除第三方程序创建的卷影副本,接着上传Ryuk勒索软件 ,并通过CMD启动进行勒索。
第四阶段防守:
全局写文件监控,保住溯源分析的时候bat文件可以找到,特殊服务被非正常进程停止监控,vssadmin红队工具监控,删除卷影副本,调整Shadowstorage大小监控,比如对于vssadmin Delete Shadows /all /quiet 这句命令行进行监控。至于停止什么特殊服务,研究一些勒索病毒可以得到,比如vss", "sql",backup", "GxVss", "GxBlr", "GxFWD", "GxCVD", "GxCIMgr"。
第五阶段攻击:
Ryuk提升权限,注入notepad.exe,通过AES&RSA加密,并指定文件扩展名 .RYK。加密目录中写入了 RyukReadMe.txt 勒索字条,并且借助Psexec进行快速分发到其他机器实现勒索。该阶段我综合了多个Ryuk变种做了一个流程概述。
第五阶段防守:
提权监控,注入监控,加密样本监控(借助诱饵文件实现监控,最简单也比较高效的是设立几个特殊文件,借助文件监控感知你的文件被rename,当被rename则EDR快速阻断进行告警,至于文件能不能最优先被感知到,研究勒索代码并进行勒索病毒实验)。
总结:
我对WizardSpider的大体攻击流程进行了描述,并提出了基本的检测方案,在基本检测方案处肯定有不足,比如我没有结合事件日志描述或者检测点不够,比如命令行检测如何对抗加密绕过等,这些都是逐步长期研究并落地安全建设的过程,其次只是单点检测并没有进行一个关联检测分析,关联检测分析又是一个很复杂的事情,现在的检测引擎要么是黑白名单的基础上去实现检测,要么是一股脑打点日志上去,然后后台运营,攻击早就发生了还在几百万日志里假装捞取着,我觉得应该有更好的引擎需要出现,当然不一定非是AI赋能的。最后从我的视角来看,终端安全包括域安全发展了这么多年才可能真正的步入攻防时代。
如下是整体的攻击流程图
推荐阅读:
我的联系方式:
推特Xiaoliang Liu(@flame36987044)
微信:
原文始发于微信公众号(xiaoliangliu):APT分析之WizardSpiderAPT组织勒索攻击模拟、对抗
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论