近年来,针对工业控制系统的勒索软件增长迅速,其中以Sodinokibi、Ryuk和Maze为首的勒索软件家族最为猖獗。近日,安天CERT发现一起入侵工业控制系统并最终投放勒索软件的攻击事件,此次事件影响了欧洲一些国家的工业企业,其工业控制环境的服务器被加密,导致工控业务系统临时关闭。经过分析,该起攻击事件归属于一个新的勒索软件家族Cring(也被称为Crypt3r,Vjiszy1lo,Ghost,Phantom等)。该勒索软件最早出现于2020年末,使用AES256+RSA8192算法加密受害者的数据,要求支付2个比特币作为赎金才能恢复数据。攻击者利用CVE-2018-13379漏洞进行攻击,一旦获取系统中的访问权限后,会下载Mimikatz和Cobalt Strike进行横向移动和远程控制,最终下载Cring勒索软件并执行。工业控制系统是国家基础设施的重要组成部分,也是工业基础设施的核心,被广泛用于炼油、化工、电力、电网、水厂、交通、水利等领域,其可用性和实时性要求高,系统生命周期长,一旦受到勒索软件的影响,不仅会导致大面积停产,也会产生更广泛的负面社会效应。
该勒索软件技术特点分布图:
具体ATT&CK技术行为描述表:
3.1 样本标签
3.2 攻击流程
图 3‑1 攻击流程
3.3 样本分析
该样本首先会使用名为“kill.bat”的批处理脚本执行一系列系统命令,其中包括暂停BMR Boot和NetBackup BMR服务,配置SQLTELEMETRY和SQLWriter等服务为禁用状态,结束mspub.exe、mydesktopqos.exe和mydesktopservice.exe进程,删除特定扩展名的备份文件,并且如果文件和文件夹的名称以“Backup”或“backup”开头,则还会删除位于驱动器根文件夹中的文件和文件夹,该脚本在执行后会删除自身。
图 3‑2 kill.bat文件
样本检测带参数执行,如未带参数执行,则执行完kill.bat后退出。如带参数“cc”执行,则开始全盘遍历文件并加密,最后释放勒索信并使用批处理脚本删除自身。
图 3‑3 样本带参数执行
使用AES算法加密受害者系统上的文件。
使用RSA公钥加密AES私钥。
RSA公钥大小为8192位,具体公钥值如下。
图 3‑8 追加后缀名
勒索后使用名为“killme.bat”批处理文件删除自身。
MD5
44d5c28b36807c69104969f5fed6f63f(downloader脚本)
参考资料
本文始发于微信公众号(安天):针对工控的勒索软件Cring样本分析
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论