0.5次勒索攻击

admin 2024年3月2日17:50:03评论10 views字数 4556阅读15分11秒阅读模式

0.5次勒索攻击

第 29 叨

0.5次勒索攻击
曾几何时,勒索攻击是很难和APT攻击相提并论的,就像一堆地痞流氓和全副武装的职业杀手。
但是现在,越来越多的高水平黑产团伙加入到勒索的行列,形成了勒索及服务的成熟产业链条:高水平的团伙编写勒索工具,并把勒索攻击当成一种服务在黑市上售卖;新入局的团伙则通过购买工具,轻而易举的发起一次又一次高水平勒索攻击……
0.5次勒索攻击

勒索攻击已经化身网络安全第一大“刺客”:一旦中招,巨额赎金、业务中断、数据泄露将会不请自来,被曝光后媒体上还免不了一个头条新闻。

有人把勒索攻击比作是遥控炸弹,遥控器就握在攻击者手里。除了在炸响之前拆除它,没有什么更好的解决办法。

0.5次勒索攻击

勒索攻击进行时

0.5次勒索攻击
0.5次勒索攻击

!!!!!

0.5次勒索攻击

正在进行威胁监测的柯南(化名)突然眉头一皱,作为一名资深威胁情报分析师,这是他从杂乱无章的数据中,发现网络入侵的特有标志。

一旁的同事迅速围了过来,几双眼睛同时盯着他的电脑屏幕。

“客户的这台电脑应该是中木马了。”柯南指着屏幕说到,有木马在电脑上执行了某些敏感命令。

中招的是一家横跨多个省市的大型集团企业,在境外也有不少分支机构,是奇安信的老客户了。

客户现场安装的奇安信天擎终端安全管理系统显示,一个恶意程序多次尝试访问一个特定的恶意域名。

由于奇安信威胁情报标记了这个域名,所以天擎第一时间实现了拦截。

但让柯南皱眉的并不是一次简单的木马植入,根据奇安信威胁情报提供的信息,该域名的操控者,归属于一个近期全球比较活跃的勒索团伙。

换言之,这个客户很可能正在遭受勒索攻击。

而且从木马特征分析来看,攻击者植入的是一个木马加载器,其作用只有一个,那就是释放最终的加密勒索程序。

这个发现让柯南再一次有了时间上的紧迫感,这是最近几个月来,柯南第三次有这样的感觉:

第一次是在某能源单位的应急处置现场,境外勒索团队已经摸进了生产网,攻击和勒索代码部署完成度已经超过70%;

还有一次是在某制造企业,攻击者触发了多个漏洞,并且利用一款热门安全软件向客户内网900多台机器分发了勒索代码。

0.5次勒索攻击

@研究报告

勒索病毒的感染效率是非常惊人的:有研究显示,LockBit勒索软件可以在几分钟之内,加密超过十万个文件。
0.5次勒索攻击

之所以现在还没事,那是因为攻击者可能还在系统内部寻找值得去加密勒索的高价值数据。一旦找到,那么可怕的勒索病毒就会接踵而至。

这也就是说,要么在勒索病毒感染之前,阻断这次攻击;要么就只能眼睁睁看着文件一个个被加密。

那么问题来了,这次攻击的影响范围有多大?攻击者到底是怎么进来的?

这些问题都需要一一考证。唯一能确定的是,剩下的时间不会太多。

0.5次勒索攻击

勒索攻击为什么更难防了

0.5次勒索攻击
0.5次勒索攻击

?????

0.5次勒索攻击

许多人对于勒索攻击的认识,始于2017年那一次席卷全球的永恒之蓝。

0.5次勒索攻击
0.5次勒索攻击

“那时候真是一路跑着去提醒客户千万别开机,等我们看看再说。否则一开机勒索病毒一运行,那就真没招了。”负责这家客户的销售,给柯南讲述了他之前的经历。

对于那一场发生于网络空间的浩劫,柯南也记忆犹新。由于病毒传播实在太快,他能做的并不多,除了事后应急之外,只能一遍遍提醒客户注意及时安装补丁。

0.5次勒索攻击
0.5次勒索攻击
0.5次勒索攻击

柯南说,这种感觉就像医生看着病人,却没有特别好的治疗手段。

随着防御手段的精进,这种短时间内大面积感染的事件已经很难重现了。大多数勒索攻击中,攻击者的目标非常明确。

但这并不意味着勒索攻击得到了遏制,相反更加猖狂。

0.5次勒索攻击

如果在搜索引擎上检索2023年勒索攻击这几个关键词,被勒索的企业包括壳牌、波音、西门子等,这些可不是“小卡拉米”。

而且有数据表明,勒索攻击已经成为黑色产业最有效的变现方式。

2019年的一篇公开报道显示,GandCrab勒索病毒仅用时一年多时间,便在多个国家勒索超过20亿美元,从而高调宣布“退休”。

只不过,勒索攻击从“广撒网式”变成了“定向式”:

前者在乎的广度,只要传播范围够广,就有足够数量的目标中招;后者在乎的是深度,攻击者只针对高价值目标,一旦选定目标,几乎是不达目的不罢手。

防守再严密的组织,也怕有贼一直惦记着。这些高价值的目标,才有能力支付足够的赎金。据情报显示越来越多的勒索攻击会根据公开渠道获取的企业营业额和缴税情况勒索不同的金额。

而且在柯南看来,现在的勒索攻击技战术水平,和六七年前早已不可同日而语:强如WannaCry,也只不过是打个补丁的事情;而现在,攻击者为攻破一个目标,甚至可以动用数个漏洞、数十个木马程序……

整个攻击协作分明,每个环节都在高效的做自己擅长的事。

0.5次勒索攻击

瞄准防御空档

0.5次勒索攻击
0.5次勒索攻击

/////

0.5次勒索攻击

值得庆幸的是,客户侧部署了完整的网络安全防御和检测设备,能够为接下来的调查,提供充足的数据支持。

他发现的第一个问题是,最初发现木马的那台电脑,可能存在长时间不关机的现象。从终端日志来看,攻击命令的活跃时间,大多集中在凌晨。

对于攻击者来说,没人值守的非工作时间,是安全防御的空档。

攻击者在这台电脑上一口气植入了四个恶意程序。不同的恶意程序之间分工十分明确,有帮助攻击者远程控制电脑的,还有负责检索文件目录、抓取电脑上敏感信息的……

更重要的是,这些恶意程序都是通过域控下发的。也就是说,攻击者已经控制了域控服务器。

0.5次勒索攻击

@域控

啥是域控?这可说来话长。但简而言之,这玩意可以控制一个虚拟网络区域内所有电脑的访问权限。拿下了域控,基本等同拥有了上帝视角,可以控制区域内所有的电脑。

0.5次勒索攻击

这是六七年前的勒索攻击从未做到也从未想过要做到的事情。

一瞬间,柯南心里画了好几个问号:域控是怎么被攻破的?攻击者通过域控,到底控制了多少台电脑?

这些问题尚不得而知,想要破解这些谜团,还需要更多的证据支持。

0.5次勒索攻击
奇安信天眼新一代安全感知系统采集到的网络流量日志,刚好能派上用场。
0.5次勒索攻击

日志显示,攻击者在另外一台机器上,使用域控sa账号登录到了该域控,从而获取了域控权限。

在获取域控权限后,攻击者通过域控向若干台电脑,下发了木马程序。

那么,一条局部的攻击路线逐渐清晰了起来:攻击者利用一台机器已有凭证,登录到了域控获取权限,并通过域控入侵了多台域内电脑,而木马程序由于和威胁情报匹配,于是天擎产生了告警,发现此次攻击。

简易流程如下

0.5次勒索攻击

在将第一阶段调查结果同步给客户之后,一行人坐在工位前聊着天吃着盒饭工作餐。

时间上并不允许他们下馆子搓一顿。

“我还非常清楚地记得,2017年5月17号那天,就是他跑过来跟我说千万别开机。”客户安全负责人指着奇安信的销售说到。

后来这家客户装了天擎,并在奇安信应急人员的协助下,平稳度过了这次危机。

销售笑了笑,没有说话,柯南索性接过话茬:WannaCry是一个“呆脑筋”,只要装了补丁或者关闭445端口,就堵死了所传播通路;但现在,攻击者绝对算得上极其狡猾的对手,懂得不断变换策略,寻找防守方的漏洞。

0.5次勒索攻击

一连串的账号失窃

0.5次勒索攻击
0.5次勒索攻击

#@%&……

0.5次勒索攻击

用时十五分钟,这样一顿简单的工作餐就结束了。期间,柯南一直在思考一个问题:攻击者怎么就获取了域控账户的登录权限。

大部分账户被盗用,都是由于口令强度弱,比如123456、或者姓名首字母+生日等,很容易被攻击者猜到或者使用口令词典进行穷举破解。
但这次攻击中被盗用的域控账号并非如此,口令长度达到了16位,且包含大小写、数字以及特殊字符,没有什么特别明显的规律,被暴力破解的概率不是很高。
0.5次勒索攻击

@登录凭据

所以柯南判断,攻击者一定是通过某种方法,直接获取了登录凭据。既然攻击者已经植入了多个木马程序,那么通过木马程序直接在电脑上抓到登录凭据的可能性很大。

0.5次勒索攻击
果不其然。分析提取到的木马样本时发现,攻击者远程植入的木马程序,抓取到了脑电内存中存储的登录凭据。
之所以被抓到,是因为这个账号近期在电脑A上登录过,但并没有第一时间注销。
天眼提供的数据印证了这一判断。
时间线显示,在攻击者抓取到登录凭据之前,电脑A和域控发生过多次网络通信,但都为正常的数据交互,也没有发现其他的非法数据包,这证明在此之前攻击者并没有拿到域控权限;而在此之后,攻击者便成功登录了域控,并将木马程序传输了过去。
柯南长舒一口气,赶紧通知客户修改域控内所有资产口令。然而失窃的并不止一个域控账号,还有一个本地管理员账号。
0.5次勒索攻击
本地管理员账号属于超级特权账号,用这个账号可以登录拥有该账号的所有电脑。柯南从客户口中得知,这个账号从一开始就默认存在的,跟着这批电脑从厂家到了这家客户手里。

电脑A失陷原因,就是因为攻击者使用本地管理员账号登录了该电脑。

这种默认存在的账号,是最受攻击者欢迎的。口令强度较低,容易被忽略,而且大多出厂后就再也没被修改过。许多僵尸网络控制的物联网设备,如摄像头、路由器这些,往往都是破解了其默认账户口令。

得知一连串账户失窃的消息,客户面露尴尬,忙不迭说到:“查出来本地管理员账户是怎么泄露的了么?”

“还没。”柯南摇了摇头,由于部分日志被攻击者擦除,他并没有发现攻击者是从那一台电脑登录到电脑A的。但他认为,攻击者很可能也是通过木马程序,抓取到的本地管理员账户信息。

但有一点可以确定,电脑A一定不是第一台失陷的电脑。
攻击者想要控制电脑A,一定要与其发生通信,但天眼并没有监测到攻击者直接发给电脑A的控制命令,因此柯南判断,在电脑A之前,至少还存在一台失陷电脑,攻击者就是通过这台电脑实现了对电脑A的控制。
找到了这台电脑,或许就能找到本地管理员账号失窃的原因。
0.5次勒索攻击

真相只有一个

0.5次勒索攻击
0.5次勒索攻击

~~~~~

0.5次勒索攻击

遗憾的是,天眼的探针仅仅部署在交换机出口处,并没有部署到所有内部网络节点,因此天眼并没有采集到内网各个电脑之间的流量数据,也就无法定位电脑X到底在哪儿。

这是安全防御体系的缺陷。

但柯南也并非没有办法,一番思索之后,他决定从已经失陷的电脑入手。

此时柯南已经有了一个判断,由于本地管理员账号默认存在,攻击者只要入侵成功一台机器,就可以抓取到这个账号凭证的hash(这种也叫黄金凭证攻击),然后通过抓取到的本地管理员账号,登录所有具有这个账号的终端,最终在电脑A上在抓取到域控账号的登录凭据。

0.5次勒索攻击
突然,有一台电脑引起了柯南的注意。奇安信威胁情报平台(ti.qianxin.com,一站式的威胁分析平台,査黑IP、域名、文件非常方便)给出的数据显示,在域控失陷之前,这台电脑曾多次回连攻击者控制的某一个域名。

“真相只有一个。”柯南在心里默念着这句熟悉的台词。

“就是这台了。”提取这台电脑的日志后,柯南发现了攻击者通过木马程序抓取到了本地管理员账户信息。

木马程序的来源也被找到,文件下载记录显示,用户在某网站上下载了一款盗版软件,木马程序正是捆绑在这个盗版软件上,进到到客户系统中。

找到了源头,整个事件的调查也进入了尾声。通过威胁情报关联,所有的失陷主机都被找到,木马程序全部清除,攻击者使用的域名、IP地址,也被第一时间加入到了防火墙黑名单中。

此时,柯南看了看表,加上中午吃饭的十五分钟,用时六个小时四十七分钟,对他来说这个速度及格了。

临走的时候,销售提议大家一起吃一顿饭庆祝一下成功阻止了这一次勒索攻击。对于吃饭庆祝的提议,柯南不置可否,但他却对一次勒索攻击这样的描述并不是很买账。

临走的时候,销售提议大家一起吃一顿饭庆祝一下成功阻止了这一次勒索攻击。对于吃饭庆祝的提议,柯南不置可否,但他却对一次勒索攻击这样的描述并不是很买账。

0.5次勒索攻击
0.5次勒索攻击

“如果你去网上搜,媒体报道的勒索攻击,哪一次不是被成功勒索了的?所以,我们这儿充其量只能算是0.5次。”

0.5次勒索攻击
0.5次勒索攻击
0.5次勒索攻击

原文始发于微信公众号(奇安信威胁情报中心):“0.5次”勒索攻击

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月2日17:50:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   0.5次勒索攻击https://cn-sec.com/archives/2541033.html

发表评论

匿名网友 填写信息