看Darktrace如何对抗ALPHV BlackCat勒索软件

2023 年 10 月，Darktrace 某客户网络遭到 ALPHV（即黑猫）勒索软件攻击。经过分析，该攻击事件与Nitrogen恶意软件相关，例如发布恶意广告、分发恶意 Python 包。

威胁趋势：恶意软件即服务

整个 2023 年，“恶意软件即服务”仍是影响 Darktrace 客户的主要威胁类型，恶意软件、勒索软件越来越通用化、可定制化。2024年，安全团队应做好准备，积极应对恶意软件即服务 (MaaS) 和勒索软件即服务 (RaaS) 威胁。

什么是 ALPHV 勒索软件？

ALPHV 勒索软件，也被称为“BlackCat（黑猫）”或“Noberus”，是过去几年最知名的RaaS 威胁之一。它是一种使用 Rust 编码的勒索软件。其样本由RaaS“运营商”出售给其它网络犯罪分子（RaaS“下游组织”），这些犯罪分子进入目标单位网络，植入勒索软件并要求支付赎金。

ALPHV 很可能于 2021 年 11 月首次在野利用，并逐渐成为最多产的勒索软件病毒之一。据FBI报告，截至 2023 年 9 月，ALPHV 赎金已支付近 3 亿美元。

2023 年 12 月，FBI 和美国司法部宣布成功打击 ALPHV 组织，包括取缔其数据泄露网站，发布解密工具。2024 年 2 月，美国国务院宣布悬赏1000 万美元，作为提供ALPHV 运营组织中关键领导人情报的奖励。

针对该组织的破坏活动似乎取得了成功，近期 ALPHV 攻击频率也显著下降。但是，如果和之前的DarkSide 、BlackMatter一样，该组织以新面貌回归也不足为奇。

ALPHV 勒索软件如何运作？

据观察，ALPHV下游组织为 WinSCP 和 AnyDesk 等工具设置恶意搜索引擎广告，并通过这些恶意广告向用户设备提供名为“Nitrogen”的 Python 后门植入程序。

用户点击广告后进入类似合法软件的分发网站，并尝试下载软件，名为“Nitrogen”的后门恶意软件样本随之传送到他们的设备上。Nitrogen 会将多种命令与控制 (C2) 植入程序植入到用户的设备上，包括 Cobalt Strike Beacon 和 Sliver C2。犯罪分子利用这些 C2 植入程序提供的后门访问权限进行侦察和横向移动，为执行 ALPHV 勒索软件payload做准备。

Darktrace如何对抗 ALPHV 勒索软件

2023 年 10 月，Darktrace 发现 ALPHV 下游组织通过恶意广告渗透客户网络的几起案例，通过社工，引导客户从“wireshhark.com”和 wìnscp.net 等假冒网站下载和安装 Nitrogen。

虽然攻击者通过客户 IT 团队的设备来执行恶意活动，设法绕过传统安全措施，但 Darktrace DETECT™ 在第一时间迅速识别入侵指标 (IoC)，再加上 Cyber AI Analyst™ 自主调查各种入侵后活动，为客户全面还原攻击过程，帮助客户迅速启动整改和恢复工作。

ALPHV 勒索软件攻击时间线

1. 恶意广告+Nitrogen下载（客户某IT人员受恶意广告欺骗，在类似wireshark网站误下载Nitrogen）

2. C2+横向移动（该员工PC连接Cobalt Strike C2服务器，并向内部服务器分发Nitrogen相关payload）

3. 进一步C2（受感染服务器连接Cobalt Strike C2服务器）

4. 网络侦察+深入横向移动（受感染服务器侦察后在整个网络内分发Nitrogen相关payload）

5. “武器化”+数据渗漏（受感染域名服务器向C2终端上传大量数据并从Github下载payload）

6. 勒索软件（在虚拟机环境中执行勒索程序）

10 月中旬， Darktrace 一家美国客户的 IT 人员安装了网络流量分析软件 Wireshark。由于客户配置，Darktrace 对该设备的可见性仅限于其内部流量，但仍然能够识别与该设备相关的可疑活动并告警。

首先，Darktrace 观察到该设备在对域名“www.googleadservices.com”、“allpcsoftware.com”以及“wireshhark.com”（注意两个“h”）发出 A 类 DNS 请求之前会先对“wiki.wireshark.org”立即发出 A 类 DNS 请求。这种模式表明，由于用户与指向 allpcsoftware.com 的 Google 赞助搜索结果进行交互，该设备用户被重定向到wireshhark.com。

如果直接从浏览器搜索栏转到wireshhark.com 会看到 Rick Astley 的歌曲“Never Gonna Give You Up”的 YouTube 视频。这说明 wireshhark.com 网站已配置为将用户重定向到该视频，除非他们是通过相关赞助的 Google 搜索结果到达该网站。

通过 Google 赞助搜索结果访问该网站的用户很可能被引导至非法网站wireshhark.com。开发该网站的攻击者受到“挂羊头卖狗肉”理念（即“rickrolling”）的启发，给目标受害者一个链接或视频（诱饵），最后的内容却是与标题毫不相关的理查艾斯利于1987年创作的歌曲《Never Gonna G‌‌‌‌‌‌‌‌‌‌‌ive You Up》。

被重定向到wireshhark.com后，用户无意中安装了一个恶意软件样本，该样本将看似Cobalt Strike的东西投放到了他们的设备上。该设备针对域名“pse.ac”发出的后续 A 类 DNS 请求证明了用户桌面上存在 Cobalt Strike。这些 DNS 请求可能通过 Cobalt Strike C2 服务器地址 194.169.175.132 进行响应。由于 Darktrace 只能看到设备的内部流量，因此未观察到任何与 Cobalt Strike 端点的 C2 连接。然而，桌面的后续行为表明犯罪分子已通过已建立的 C2 通道获得了对该设备的人为控制权。

高级搜索数据显示客户设备访问了虚假网站wireshhark.com

由于犯罪分子已经控制了 IT 人员的设备，因此他们能够滥用特权帐户凭据，通过 SMB 和 WMI 服务在网络中传播恶意payload。Darktrace还发现他们还分发 Windows Sys-Internals 工具 PsExec，可能是为了帮助横向移动。该 IT 人员设备分发文件的行为是正常的，难以发现该恶意 SMB 活动。

高级搜索数据显示该设备通过 SMB 分发文件正常

但Darktrace DETECT 发现此处执行的文件写入峰值异常，并且正在分发的可执行文件存在伪装成不同文件类型的行为，可能是为了逃避传统安全工具的检测。

事件日志数据显示，该设备Python 可执行文件的 SMB 写入导致多个模型违规（Model Breach）被创建

除了 DETECT 发现异常外，Darktrace 的 AI 分析师还对正在进行的攻击发起了自主调查，将 SMB 写入和可执行payload的共享联系起来，将它们视为一次横向移动事件，而非一系列孤立事件。完成调查后，AI 分析师在管理平台上输出事件的详细总结，帮助客户发现受影响设备并开始修复。

AI 分析师调查总结（着重显示了该IT人员设备的横向移动活动）

C2活动

该设备分发的 Python payload很可能与 Nitrogen 恶意软件有关，文件名称和其行为验证了这一点。

高级搜索数据显示受影响的设备连接到 C2 端点 pse.ac，然后将 Python 可执行文件分发到内部域控制器

被分发了 Nitrogen payload的内部设备立即连接 Cobalt Strike C2 基础设施。这些 C2 连接通过 SSL 在 443 和 8443 端口上建立。Darktrace 发现攻击者横向移动到内部 SQL 服务器和内部域控制器。

高级搜索数据显示内部 SQL 服务器在从 目标设备接收到 Python payload后与 Cobalt Strike C2 端点 194.180.48.169 建立连接

事件日志数据显示了内部 SQL 服务器与 194.180.48.169 的 C2 连接而触发的多个 DETECT 模型违规事件

AI分析师再次对此活动展开调查，成功识别一系列独立的 SSL 连接，将它们汇总为完整的 C2 事件。

AI分析师调查总结（着重显示来自 SQL 服务器的 C2 连接）

Darktrace 观察到攻击者通过对这些系统的人为权限提升、网络侦察（主要是端口扫描）、在网络中进一步传播恶意payload、从域控制器中窃取数据并从Github向域控制器传输payload。

AI分析师调查总结：内部域控制器执行的 IP 地址扫描

事件日志数据显示内部域控制器在与 C2 端点 194.180.48.169 通信时l与 GitHub 建立连接

事件日志数据显示，内部域控制器将大量数据上传到 C2 端点 194.180.48.]169时，DETECT创建了模型违规事件

完成大范围侦察活动和横向移动后，攻击者在用户的 VMware 环境执行了勒索软件，成功加密了客户的 VMware vCenter 服务器和 VMware 虚拟机。整个攻击过程大约需要 24 小时。

Darktrace 的主动威胁通知 (PTN) 服务通过Darktrace SOC 第一时间将这些可疑活动及时通知客户，帮助他们快速发现受感染设备并在入侵升级前及时阻断。

面对 DETECT 发现的此类高危告警，Darktrace RESPOND 能立即响应和中断入侵活动，减缓横向移动。

并且，Darktrace AI分析师综合分析多个事件，还原攻击过程，输出详细说明，提高事后调查效率。

Darktrace AI 分析师将其创建的 33 个事件归纳在一起，形成攻击者行为链

结论

毫无疑问，网络犯罪团伙为躲避不断更新的网络安全措施，会持续升级自己的“装备”。ALPHV 勒索软件攻击进一步说明了这一趋势，攻击者通过恶意广告引诱用户从假冒的 Wireshark 网站下载恶意软件 Nitrogen，将 C2 植入程序植入到用户设备，逐步为攻击者“敞开大门”。

尽管该勒索软件攻击者使用了非传统的初始访问方法，Darktrace DETECT 仍能识别异常流量模式。AI 分析师根据 DETECT 创建的大量告警展开自主调查，分析并还原完整时间线。该事件的第一个异常行为由客户内部IT人员执行，对于传统签名和基于规则的安全工具来说是正常的。但Darktrace 的自学习人工智能发现了其中的微妙偏差。因此，此次成功检测证明了自学习AI在异常检测中的独特价值。

原文来自: freebuf.com