随着勒索病毒的猖獗,各种勒索病毒加密技术与防御对抗技术也在不断升级,即使对于有一定防御建设水平的企业来说,勒索病毒带来的损失也不能忽略。为了更好地对抗勒索病毒,我们有必要持续研究其防御削弱对抗技术。本研究主要通过对多个主流勒索病毒家族在进行加密前的防御削弱技术进行深入分析,探讨不同方法来检测防御这类攻击技术,为建立更为强大的勒索病毒防御体系提供参考。
我们将从防御削弱技术进行研究,探讨不同的方法来检测防御削弱技术,包括基于日志分析、行为分析。我们将评估这些方法的有效性和可行性,并提出建议来提高防御能力。通过本研究,我们希望为企业提供更全面、更有效的勒索病毒防御体系建设方案,以便更好地应对勒索病毒攻击带来的风险和威胁。
在ATT&CK框架中,T1562 Impair Defenses 是一种攻击者可能采用的网络入侵技术,旨在破坏目标系统的安全防御措施。这种技术归类于MITRE ATT&CK 框架下的"Impact"(影响)战术类别。破坏安全防御措施使得攻击者更容易进一步实施攻击,同时降低被检测到的风险。
T1562可细分为以下子技术:
-
T1562.001 Disable or Modify Tools(禁用或修改工具):攻击者可能会尝试禁用或修改安全工具,例如防病毒软件、入侵检测系统(IDS)和入侵防御系统(IPS),以避免被检测到。
-
T1562.002 Disable Windows Event Logging (禁用Windows事件日志):攻击者可能会试图禁用事件日志以避免被检测或追踪,主要的手段有清除事件日志、修改事件日志设置、关闭Windows事件日志服务。
-
T1562.003 Impair Command History Logging(损害命令历史日志记录):攻击者可能会损害命令历史日志记录,以隐藏他们在系统上运行的命令。
-
T1562.004 Disable or Modify System Firewall (禁用或修改系统防火墙):攻击者可能会尝试禁用或修改系统防火墙,从而允许未授权的流量进入或离开网络。
-
T1562.006 Indicator Blocking (指标阻断):攻击者可能会尝试阻止收集和分析通常由传感器捕获的指示器或事件。
-
T1562.007 Disable or Modify Cloud Firewall(禁用或修改云防火墙):攻击者可能会尝试禁用或修改云防火墙,使得他们能够更容易地访问云环境中的资源。
-
T1562.008 Disable Cloud Logs(禁用云服务日志):攻击者可能会尝试禁用云服务提供商日志功能,以隐藏他们的活动和避免被检测到。
-
T1562.009 Safe Mode Boot (安全模式启动):攻击者可能会滥用 Windows 安全模式来禁用EDR防御防护能力。在安全模式下启动 Windows 后,第三方安全软件EDR、工具可能无法启动。
-
T1562.010 Downgrade Attack(降级攻击):攻击者可能会降级或使用可能已过时、易受攻击和/或不支持更新的安全控制(如日志记录)的系统功能版本。
-
T1562.011 Spoof Security Alerting(欺骗安全告警):攻击者可能会使用工具产生大量无效的安全告警,提供虚假证据来削弱防御者对恶意活动的意识。
这些攻击手段虽说在"Impact"(影响)阶段,但在大多数情况下被勒索病毒运用在勒索行为发生之前,我们将本文提到的防御削弱技术统称为勒索病毒开始执行勒索行为之前的防御对抗技术,其中包含了:关闭进程(杀毒软件)、关闭服务、关闭防火墙、删除系统备份与还原点、删除系统日志等技术,这些技术能够削弱终端防护防御能力让攻击事件变得难以回溯。
Windows Defender是微软公司开发的一款防病毒软件,它旨在保护Windows操作系统免受病毒、间谍软件、恶意软件和其他威胁的攻击。Windows Defender最初是Windows Vista操作系统中的一个防病毒软件,后来被集成到Windows 7、Windows 8、Windows 8.1和Windows 10中。
在Windows操作系统中,Set-MpPreference是Windows Defender防病毒软件的PowerShell命令之一,用于设置和更改Windows Defender的首选项
2022年DFIR报告中披露了一场勒索病毒的攻击事件,在攻击者投放Conti勒索病毒之前,使用Set-MpPreference命令将Windows Defender的实时监控功能关闭,这对于攻击者实施后续的攻击创造了有利条件。
常用选项:
1.DisableRealtimeMonitoring:禁用实时监控功能
2.DisableBehaviorMonitoring:禁用行为监控功能
Python# 关闭Windows Defender 实时监控功能Set-MpPreference -DisableRealtimeMonitoring $true# 关闭Windows Defender行为监控功能Set-MpPreference -DisableBehaviorMonitoring $true
检测思路:
日志路径:Microsoft-Windows-Windows Defender/Operational
系统事件ID:5001
2021年勒索组织使用Exchange Proxyshell漏洞攻击Exchange,获取权限后为了保证后续所有的攻击行动不被系统自带的Windows Defender拦截,除了禁用Windows Defender以外,还给Windows Defender添加排除项。
使用的攻击命令如下:
PowerShelltry {Set-MpPreference -DisableBehaviorMonitoring 1 -AsJob;Set-MpPreference -SevereThreatDefaultAction Allow -AsJob;Set-MpPreference -DisableRealtimeMonitoring 1 -AsJob;Add-MpPreference -ExclusionPath 'C:Windows' -Force -AsJob} catch {}
关键命令:
PowerShellPowerShell Add-MpPrefenrence -ExclusionPath C:PowerShell Add-MpPrefenrence -ExclusinoExtension ".exe"
检测思路:
日志路径:Microsoft-Windows-Windows Defender/Operational
系统事件ID:5007
通过日志可以清晰的看到执行该操作的PID以及受到影响的注册表项,除了监控日志外,还可以对注册表项进行监控:
Windows卷影副本(Volume Shadow Copy)是Windows操作系统中的一项功能,用于创建文件和文件夹的备份副本。卷影副本技术可以在不停止正在使用的文件和文件夹的情况下创建备份,因此用户可以在备份文件时继续使用计算机。卷影副本技术是通过创建卷的快照来实现的。卷的快照是卷数据的只读副本,它捕获了卷的当前状态,并允许用户访问文件和文件夹以进行备份。使用卷影副本创建的备份文件通常被称为“卷影副本集”(Shadow Copy Set)。
卷影副本技术可以在Windows Server和Windows Client操作系统中使用,并且可以为文件和文件夹创建历史版本,以便在需要时恢复数据。卷影副本还可以与其他备份软件一起使用,以提供更全面的数据保护和灾难恢复解决方案。
在Windows操作系统中,可以使用“卷影副本服务”(Volume Shadow Copy Service,VSS)来管理卷影副本。VSS可以自动创建卷影副本,并且可以与备份软件一起使用,以便在备份期间创建卷影副本,从而保护计算机数据的完整性和可用性。
在勒索病毒的加密行动开始之前,为了保证加密有效、数据不被轻易恢复,会尝试关闭卷影副本服务或者删除卷影副本,通常操作/删除卷影副本快照有很多种方式:
vsadmin.exe
PowerShellvssadmin.exe delete shadows /All /Quietvssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=100MB
wmic.exe
PowerShellwmic shadowcopy delete
Powershell - 实际上也是调用WMI对象
PowerShellGet-WMIObject Win32_Shadowcopy | ForEach-object { $_.Delete(); }Get-WmiObject Win32_ShadowCopy | % { $_.Delete() }Get-WmiObject Win32_ShadowCopy |Remove-WmiObject
Windows API : IVssFileShareSnapshotProvider::DeleteSnapshots
PowerShellHRESULT DeleteSnapshots([in] VSS_ID SourceObjectId,[in] VSS_OBJECT_TYPE eSourceObjectType,[in] BOOL bForceDelete,[out] LONG *plDeletedSnapshots,[out] VSS_ID *pNondeletedSnapshotID);
检测思路:
这些攻击可以通过监控命令行特征来实现告警规则,例如包含“Shadowcopy”和“delete”等,在API层面可以做一些系统更底层的监控和拦截。
防御削弱技术(4):关闭、删除系统还原点
Windows系统还原点是Windows操作系统的一个功能,它允许用户在计算机出现问题时恢复到之前创建的某个时间点的系统状态。当你创建一个还原点时,系统会记录当前的系统配置以及各种系统设置,包括安装的应用程序、驱动程序和系统文件等。如果在之后的某个时间点出现了问题,你可以使用系统还原点将系统恢复到之前的状态,从而解决问题。
勒索病毒执行前可能会通过如下命令禁用系统还原点,保证勒索阶段的成功执行:
PowerShellreg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRestore" /v DisableSR /t REG_DWORD /d 1 /f
除了禁用系统还原点,执行前还会删除系统还原点:
PowerShellGet-ComputerRestorePoint | Delete-ComputerRestorePointDisable-ComputerRestore -Drive "C:"
检测思路:
除了命令行的监控以外,可以监控注册表的操作、计划任务MicrosoftWindowsSystemRestore,该计划任务项SR是系统还原点创建后自动设置的,会定期进行备份,如果任务计划被修改了,说明还原点就失效了。
Windows事件日志为终端安全检测提供了许多丰富的数据,根据Windows事件日志可以还原一个攻击事件的发生过程,正是因为事件日志记录了各种行为,勒索病毒也可能会在勒索前将系统日志服务关闭,在SolarWinds事件发生期间,APT29也使用了防御削弱技术,来阻止系统收集审核日志。
PowerShellauditpol /set /category:"Account Logon" /success:disable /failure:disable
关闭日志服务的方式有很多,这里举例三种常见的攻击方式:
1.使用cmd命令关闭日志服务(管理员权限):
PowerShellsc stop eventlogsc config eventlog start=disabled
2.使用Powershell命令关闭日志服务(管理员权限):
PowerShellSet-Service -Name EventLog -Status Stopped
3.使用wevtutil禁用某个指定日志类型(管理员权限):
Microsoft-Windows-IKE提供程序记录的事件包括IKE的各种操作、连接的建立和断开、密钥的生成和使用、证书的验证和更新等。通过查看这些事件,系统管理员可以了解IKE连接的状态和性能,帮助诊断和解决与VPN相关的问题。RansomEXX勒索软件就是使用了这个手段来禁用Microsoft-Windows-IKE/Operational日志。
PowerShellwevtutil sl "Microsoft-Windows-IKE/Operational" /e:false
检测思路:
针对系统关键服务进行监控,并且可以采用Sysmon相关工具对系统日志进行收集,外发至SEIM平台进行规则分析。
在某些情况下,防火墙可能严格控制了哪些软件可以访问互联网,而勒索病毒会在启动勒索之前,会禁用或修改系统防火墙规则,因为防火墙可以控制哪些软件可以访问互联网,从而阻止勒索软件的通信(数据外发)。对于攻击者来说,禁用或修改防火墙可以使勒索软件能够更轻松地与控制服务器通信,从而更难被检测和清除。
勒索病毒常用的命令如下:
Plaintextnetsh advfirewall set allprofiles state off
其实netsh相关的攻击技术还是挺多的,不止是启用/关闭防火墙,它还可以查看无线连接的凭证、设置端口转发、加载DLL模块执行恶意代码等等。
检测思路:
日志路径:Microsoft-Windows-Windows Firewall With Advanced Security/Firewall
系统事件ID:2003
通过netsh关闭防火墙产生事件ID为2003的日志:
指标阻断(Indicator Blocking),其目的是通过阻止或隐藏安全工具和技术收集的指标数据,来使攻击者在受害系统上保持持久性并尽可能长时间地保持未被发现状态。现有的终端防护产品(EDR)大量采用了ETW(Event Trace for Windows)技术来采集各类事件的实时日志进行分析,ETW是一个高效的内核级别的事件追踪机制,它可以记录系统内核或是应用程序的事件到日志文件。我们可以通过实时获取或是从一个日志文件来解析处理这些事件,之后通过这些事件用来调试程序或是找到程序的性能问题。
ETW特点:
-
使用该技术门槛低,不需要对系统额外配置、稳定性高(Windows Defender/ Process Monitor)
-
监控范围广,包含:文件、注册表、网络、进程、线程、CPU的使用情况
Black Hat 2021 有一个议题,专门演示了如何禁用Process Monitor的事件监控,并且提供了36种方式可以使得攻击事件不被EDR发现。
同时在ATT&CKT1562.006技术介绍中也有提到影响ETW的方法,抽取其中之一方法介绍 —— Patch EtwEventWrite ,系统所有的事件都由EtwEventWrite返回,攻击者只需要Patch Ntdll 的EtwEventWrite函数返回值即可阻止ETW事件的发送。
Hiding Your .NET – ETW演示了如何Patch EtwEventWrite导致EDR无法监测到.NET程序的反射加载执行事件,这对于比较依赖内存执行C#程序的远控工具是一个很不错的对抗技巧。
检测思路/防御思路:
1.监控关于ETW的注册表项:HKLMSYSTEMCurrentControlSetControlWMIAutologgerAUTOLOGGER_NAME{PROVIDER_GUID} (当然这个只是其中一种)
2.对报告中断的情况(日志外发中断、监控服务意外结束等)建立响应机制
本文旨在探讨勒索病毒攻击中常见的防御削弱技术,并提供了多种方法来检测这些技术。这些方法包括基于日志分析和行为分析等技术。在防范勒索病毒攻击方面,企业可以通过学习本文中提到的防御削弱技术和相应的检测方法,以更好地应对勒索病毒攻击带来的风险和威胁。近期,知其安科技已经更新了勒索病毒防御削弱场景、勒索病毒模拟执行场景,能够模拟勒索病毒攻击前、攻击时、攻击后的行为,帮助客户验证勒索病毒的防御能力。
-
T1562: Impair Defenses
-
https://github.com/nsacyber/Event-Forwarding-Guidance/tree/master/Events
-
https://i.blackhat.com/EU-21/Wednesday/EU-21-Teodorescu-Veni-No-Vidi-No-Vici-Attacks-On-ETW-Blind-EDRs.pdf
-
https://thedfirreport.com/2022/04/04/stolen-images-campaign-ends-in-conti-ransomware/
-
https://thedfirreport.com/2021/11/15/exchange-exploit-leads-to-domain-wide-ransomware/
国内安全验证的开创者和领军者
原文始发于微信公众号(知其安科技):技术实践|勒索病毒防御削弱技术对抗研究
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论