执行摘要
-
2023 年,Sygnia 的 IR 团队受客户委托调查该客户网络中的可疑活动。这些活动最终被确定为由 BlackCat (ALPHV) 勒索软件组织或其附属机构之一执行的金融勒索攻击,其中包括大规模数据泄露。
-
在检测到可疑的网络活动后,客户向 Sygnia 的 IR 团队寻求帮助来处理可疑的攻击。Sygnia 的初步调查显示,有迹象表明可能存在勒索软件攻击,可能会导致客户端整个环境被加密。
-
由于客户 IT 团队立即采取行动,主要是阻止所有进出中央网络资产的入口和出口流量,攻击得以遏制。
-
由于威胁行为者无法完全执行攻击,也无法清除网络中的证据踪迹,Sygnia 进行的全面调查得出了一系列与 BlackCat 作案手法、TTP、和国际奥委会。
-
在此博客中,Sygnia 提供了威胁行为者在整个攻击过程中执行的所有恶意活动的分步详细描述。
C 级概述
以下报告介绍了一个现实案例,在很多方面都可以被视为事件响应 (IRI) 的教科书示例。这不仅在调查结果方面很明显,而且在展示新一波网络攻击的许多特征方面也很明显。此外,它强调了领导者采取果断和数据驱动行动的重要性,这对于决定组织面对此类挑战的成败至关重要。
这次攻击是由已知的威胁参与者 BlackCat (ALPHV) 发起的,并采用了一种几乎已成为标准的方法:利用第三方的访问。“供应链”攻击并不新鲜,但许多人不明白为什么它们更容易实施。主要原因是,首先,第三方,尤其是小型提供商,所受到的保护不如他们所服务的公司。其次,也许更重要的是,源自第三方的网络活动被认为是安全的,并且组织的警报不会以同样的紧迫感发出。
另一个非常有趣的事实是,与许多攻击一样,攻击者在网络中呆了数周。这再次凸显了当攻击者遇到新的基础设施时会发生什么——他们投入时间来确定自己的方向。这个“定向期”是最容易受到攻击的时期。借助正确的检测和响应基础设施(包括技术、流程和人员能力),受害者可以阻止攻击者,并完全防止组织遭受任何损害。
也许该案例最有趣的方面是客户的反应。当攻击被识别后,并且很明显这不是一个简单的误报,客户联系了其 IR 合作伙伴。我们共同制定了快速应对措施,阻止了受害者与互联网的连接。此操作可能看起来很严重,但它有助于阻止进一步的数据泄露并防止攻击者加密网络。采取这样的行动需要管理层的勇气,这直接影响到业务,但困难时期需要艰难的决定。
使情况变得更加复杂的是,攻击者破坏了两个不同的环境:本地和 Azure。在许多组织中,致命弱点在于留下漏洞,使攻击者能够找到进入的途径。其中许多漏洞在和平时期不容易被发现。对环境的密切监控允许关闭所有入口点。
最后,这并不是攻击者高估他们所收集信息价值的第一例。信息泄露这一事实并不能成为恐慌和付费的理由。与许多其他案例一样,调查的一个关键方面(可以说是最复杂的方面之一)是尝试确定被泄露信息的范围和价值。这种考虑应该是决定如何处理攻击者的赎金要求的因素之一。
总之,没有一种攻击是相同的,了解每种情况下该做什么需要特殊的专业知识——这就是 Sygnia 日复一日所做的事情。及时采取正确的措施(例如尽量减少第三方访问、利用预定义的 IR 计划和持续监控)可以防止攻击发生。如果这些措施被证明不够充分,管理就会受到考验。基于事实而不是恐惧或情绪而迅速而勇敢的决策将使企业能够克服逆境并蓬勃发展。
事件链
这次攻击包括四个主要阶段:
-
第 1 阶段:初始访问和立足点(第 1 – 5 天)。威胁行为者首先破坏第三方供应商的网络,利用客户端网络中的本地终端服务器作为发起攻击的枢轴点来发起攻击。
-
第 2 阶段:横向运动(第 6-20 天)。威胁行为者使用多种远程代码执行技术和 Cobalt Strike 平台,通过 RDP 和隧道连接在受害者的本地域和 Azure 环境之间横向移动。。
-
第 3 阶段:数据泄露 和额外的横向移动(第 27-30 天)。使用“Rclone”工具,威胁行为者将大量数据从本地服务器窃取到名为“Wasabi”的云文件存储服务。
-
第 4 阶段:勒索企图(第 30-45 天)。威胁行为者向受害者发送大量电子邮件,威胁如果不支付赎金,就会发布敏感信息,同时夸大被盗信息的数量和敏感性。
第 1 阶段:初始访问和立足点(第 1-5 天)
第一天:对两台服务器进行了多次 RDP 和 SMB 登录尝试;这些尝试源自连接到受害者的供应商网络的 IP 地址,此前该供应商曾遭受过攻击。
使用三个帐户从名为“DESKTOP-PSGDD89”的主机对其中一台服务器进行了三次成功的网络登录,没有观察到以下恶意活动。
DESKTOP-PSGDD89 主机显然与威胁行为者相关,因为在整个攻击过程中使用了隧道工具,该主机出现在他的登录中。
![解剖BlackCat 勒索软件组织攻击]( "解剖BlackCat 勒索软件组织攻击")
显示由 Microsoft Defender for Endpoint (MDE) 记录的来自威胁参与者设备的成功登录尝试的片段
第 2 天:从供应商网络上受感染的服务器发起暴力攻击。此次攻击的目标是威胁参与者前一天通过端口 445 (SMB) 成功登录的服务器。此攻击涉及尝试利用来自客户端环境中具有共享信任的两个不同 AD 域的用户来执行身份验证。
第 3 天:威胁参与者通过 RDP 成功从 DESKTOP-PSGDD89 主机连接到受害者网络中的服务器。流量通过来自第三方供应商网络的另一个 IP 地址进行隧道传输。
该服务器被用作网络的初始入口点,威胁行为者从这里进行网络扫描和横向移动等活动,因此我们从现在开始将其称为“枢轴服务器”。
在 RDP 会话期间,威胁行为者在目标网络中进行了首次成功的恶意活动。其中包括执行 PowerShell 命令、尝试权限升级攻击、使用密码转储工具以及部署 Cobalt Strike。在整个攻击过程中,威胁行为者利用了多种 Cobalt Strike 框架功能,包括用于横向移动的 RDP 隧道,以及用于执行和规避目的的进程注入。
“C:Intelexp.exe”文件是在 RDP 会话期间在枢轴服务器上创建的,其执行被 MDE 检测到并阻止。对“exp.exe”的分析表明,它是一个基于 CVE-2022-24521 漏洞的提权工具,CVE-2022-24521 是 Windows 通用日志文件系统 (CLFS) 驱动程序中的一个漏洞,已知被多个勒索软件组织使用。
VirusTotal 的片段显示 exp.exe 文件与 CVE-2022 24521 的利用相关
MDE 防病毒警报的片段显示 exp.exe 被识别为恶意软件并被阻止
威胁参与者在数据透视服务器上创建了“C:Intel45.ps1”文件,并使用 PowerShell 和命令行执行该文件:
C: WindowsSystem32WindowsPowerShellv1.0powershell.exe -nop -w hidden -c .45.ps1
执行导致恶意代码注入合法的“drfgui.exe”进程。该进程通过 HTTPS 联系“bellebobas[.]com”上托管的 Cobalt Strike Command and Control (C2) 服务器,该服务器解析为 IP 地址为 172.67.152[.]173 的 Cloudflare CDN。这是一种已知的技术,用于逃避检测并阻碍补救工作。
显示与 Cobalt Strike C2 服务器 bellebobas[.]com 连接的片段
显示作为 45.ps1 执行一部分的 dfrgui.exe 注入的片段
几分钟后,威胁行为者在枢轴服务器上创建了一个名为“C:Intelsvchost.exe”的恶意文件,试图将恶意软件伪装成良性活动。威胁行为者在整个攻击过程中对其他有效负载使用了相同的命名约定,例如网络扫描工具、隧道工具和 Rclone 软件实例。
来自 MDE 的片段,显示威胁参与者名为“svchost.exe”的文件实际上是“Rclone”
然后,威胁参与者在数据透视服务器上创建了一个名为“C:Intelli.exe”的文件。该文件被识别为 SoftPerfect Network Scanner 的一个版本,这是一款功能强大的商业网络扫描工具,能够发现共享文件夹和可用服务。
威胁参与者利用 SoftPerfect 工具执行多项手动侦察活动,其中包括在组策略 xml 文件中搜索密码、通过 Windows 资源管理器访问远程文件夹以及使用 ping 命令测试与其他域的网络连接。
SoftPerfect Network Scanner 的片段,摘自官方网站
第 5 天:威胁参与者使用 PowerShell 从“bashupload[.]com”下载并执行名为“vic64.ps1”的脚本。结果,Cobalt Strike Beacon 被安装,将自身注入“dfrgui.exe”,并与 Cloudflare C2 域“victorianshow[.]com”进行通信;这种通信被精心设计为看起来像上传和下载图像。
两天后,vic64.ps1 脚本也通过 WinRM 从枢轴服务器远程执行到另一台服务器,然后连接到同一 C2。
显示与 Cobalt Strike C2 victorianshow[.]com 连接的片段
Cobalt Strike 配置的片段,从沙箱执行中提取;通信被配置为看起来像是合法图像的下载
当天晚些时候,威胁参与者在枢轴服务器上执行了“BG00Q.exe”。该文件被识别为“AccountRestore”的重命名版本,“AccountRestore”是一种用于执行字典攻击以提取密码的工具。威胁参与者还执行了 Kerberoasting 攻击,以便从 Active Directory 检索密码哈希值。
威胁参与者还向枢轴服务器查询“HKLMSYSTEMCurrentControlSetControlLsa”注册表以检索 LSA 保护状态;如果禁用此保护,则可以获得对凭据的访问权限。
BG00Q.exe 沙箱执行的片段,显示它是 AccountRestore 的重命名版本![解剖BlackCat 勒索软件组织攻击]( "解剖BlackCat 勒索软件组织攻击")
MDI 的片段显示由于 Kerberoasting 攻击而生成的警报
第 6 天:威胁行为者利用“nslookup”和“dir”命令对不同域中的服务器进行侦察,然后从远程执行 Cobalt Strike Beacon 的枢轴服务器建立 RDP 连接。
威胁行为者继续在新域中的服务器上进行恶意活动:首先,他使用 Windows 任务管理器访问存储在 LSASS 进程内存中的凭据数据,这一尝试被防病毒软件阻止。随后,威胁参与者尝试保存安全帐户管理器 (SAM) 注册表配置单元,该配置单元存储本地用户的凭据和帐户信息。
来自 MDE 的片段显示威胁行为者使用任务管理器转储凭据;MDE 阻止了对包含凭据信息的文件的访问
来自 MDE 的片段显示了转储注册表 SAM 配置单元的尝试
几个小时后,威胁行为者利用受感染的帐户对另一个域进行侦察,将“Process Hacker”(一种用于资源监控的免费工具)部署到文件夹“C:Users****Pictures”相机胶卷。
然后,威胁参与者将“netscan.exe”文件上传到同一文件夹,用它来扫描域,并在扫描活动完成后将其删除。
来自官方网站的 Process Hacker GUI 的片段
基于 MDE 日志的片段,显示威胁参与者在执行后删除工具
在网络中观察到多次以不同名称执行 Stowaway 代理工具,例如“vhd.exe”、“vga.exe”和“hhd.exe”。Stowaway 是一个开源工具,用于在一系列主机之间创建链式代理连接;当与单个源主机一起使用时,它可以远程访问整个网络。
来自 GitHub 的片段显示了 Stowaway 代理工具的 ReadMe 文件(原始文件是中文的)
使用计算机上安装的服务显示 Stowaway 的侦听和连接执行的片段
第 7 天:威胁参与者利用受损的用户帐户在数据透视服务器上的文件夹“C:Users*****AppDataRoamingMicrosoftWindows”中创建名为“sap.bat”的批处理脚本开始菜单程序启动',以保持持久性。创建“sap.bat”脚本是为了执行名为“vhd.exe”的 Stowaway 代理文件版本。
基于 MDE 日志的片段,显示注入的“dfrgui.exe”进程在用户的“Startup”文件夹中创建“sap.bat”脚本
随后,威胁行为者利用用户帐户在第三个域中的服务器上远程部署 Cobalt Strike Beacon,然后对新域中的 Admins 组进行网络扫描和枚举。
在无法从新域联系“victorianshow[.]com”C2 后,威胁参与者通过 SMB 将名为“vga.exe”的 Stowaway 实例复制到远程服务器,并将其配置为侦听端口 8080,从而启用流量隧道通过受感染的主机。
Windows 事件日志 ID 7045 的片段,显示执行“vga.exe”的服务的创建
第 3 阶段:数据泄露和额外的横向移动(第 27-30 天)
在接下来的三天里,威胁行为者试图利用 Rclone(一种用于与云存储提供商同步文件和文件夹的开源工具)从多个不同主机中窃取数据。在该工具的某些执行中,威胁行为者利用过滤文件来控制要泄露的文件类型。
显示渗透尝试的代码片段,其中“Rclone”被重命名为“svchost.exe”,这是威胁行为者为避免检测而使用的几个名称之一
显示配置为窃取文档、电子邮件和图像等内容的过滤器文件的片段
通过分析防火墙日志,确定两台主机的渗透尝试成功,数据从受害者网络发送到美国云存储平台“wasabi”。一些数据是从其他服务器通过这些主机传输的。
Rclone 配置文件 (Rclone.conf) 的片段,显示用于将文件上传到“Wasabi”在线存储服务的身份验证信息
在此阶段,威胁参与者在多次远程登录尝试中使用主机名“WIN-LIVFRVQFMKO”和“WIN-2513OKBPOH9”。威胁情报分析表明,这两个主机被各种威胁参与者频繁使用,其中包括 Conti 和 LockBit 勒索软件组织。
Shodan 的片段显示了“WIN-LIVFRVQFMKO”的受欢迎程度,尤其是在俄罗斯联邦
在此阶段观察到 Cobalt Strike Beacon 的其他安装,这次使用脚本“150.ps1”和 C2 Cloudflare 域 (timelesstravelinc[.]com),当时解析为 IP 地址 172.67.142.67 和 104.21 .27.108。
在此阶段还观察到使用名称“svchost.exe”、“tomcat.exe”和“tomcat7.exe”执行了 Stowaway 隧道工具。“tomcat.exe”在本地主机上执行,创建到外部地址 190.61.121.35:443 的连接。这演示了如何使用 Stowaway 代理工具作为与外部 C2 的直接连接,从而启用代理隧道进入受害者的网络。
显示“tomcat.exe”的 PowerShell 执行以连接到 190.61.121[.]35:443 的代码片段
在该阶段的整个活动过程中,威胁行为者利用了各种防御规避技术:
-
多次尝试通过远程创建名为“HkBnPoqLAj”的服务来禁用安全监控工具,该服务执行工具“C:windowsdebugsvchost.exe”;该可执行文件似乎试图禁用 EDR 代理。
Windows 事件日志 ID 7045 的片段,显示尝试禁用 EDR 的服务的创建
-
通过 WinRM 远程执行 PowerShell,将文件夹“C:Windowsdebug”从 Windows Defender 监控中排除,以防止将来从此文件夹执行的有效负载被阻止。
来自 MDE 的片段显示使用命令行执行 PowerShell 以从 Windows Defender 监控中排除“C:Windowsdebug”
-
执行“defoff.bat”批处理脚本;该脚本通过修改 Windows 注册表配置和计划任务来禁用不同的 Windows Defender 组件。威胁情报研究表明,“defoff.bat”之前曾被 LockBit 勒索软件附属公司利用。
“defoff.bat”批处理脚本中的片段显示了如何使用“reg add”命令来篡改 Windows Defender 配置
“defoff.bat”批处理脚本的片段显示该脚本禁用与 Windows Defender 相关的计划任务
-
重命名合法的“prunsrv.exe”二进制文件(一种已知的 Apache 工具,用于将二进制文件作为服务执行)并利用它来执行恶意代码。恶意文件的二进制版本信息表明它们的原始文件名是“prunsrv.exe”。在网络中发现了几个类似的文件,其名称如下:“tomcat.exe”、“tomcat7.exe”、“mobsync.exe”和“scvhost.exe”(原始拼写错误)。应该指出的是,Apache 基金会还创建了 Apache Tomcat,因此某些重命名的可执行文件的版权看起来是合法的。
PEStudio 的片段显示了恶意“tomcat7.exe”的“VersionInfo”;内容与原来的'prunsrv.exe'相同
观察到“tomcat.exe”文件与位于俄罗斯的 C2 服务器 (91.109.201.223) 进行通信,该服务器似乎是受感染的 MikroTik 路由器——网络犯罪分子使用的一种已知方法,为威胁行为者的基础设施提供了另一层匿名化。
VirusTotal 的片段显示 C2 服务器位于俄罗斯,并且名为“vga.exe”的文件与其进行通信
来自 Censys 的片段显示 C2 服务器是 MikroTik 路由器
“tomcat7.exe”是通过名为“RoHesJayPv”的服务执行的;执行后,该服务启动了与 C2“lenfante[.]com”的 HTTP 连接,该连接当时解析为两个 Cloudflare IP 地址:104.21.76.76 和 172.67.191.26。
Windows 事件日志 ID 7045 的片段,显示执行“tomcat7.exe”的“RoHesJayPv”服务的创建
基于 MDE 日志的片段,显示从“tomcat7.exe”进程到 lenfante[.]com 的通信
同样的“tomcat7.exe”文件也被远程执行,以对 MS SQL 端口(1433)、RDP、SSH、SMB 和 Stowaway 代理端口(8080)进行网络扫描。
显示由“tomcat7.exe”启动的网络连接摘要的片段
此执行的证据是在本地服务器上发现的名为“C:ositr.ps1”的混淆 PowerShell 脚本。尽管该文件在执行后不再存在(可能已被威胁者删除),但通过分析 PowerShell 日志,可以恢复并解码该文件的内容。该文件被识别为“ADRecon”,这是一款开源 PowerShell 工具,专门设计用于收集有关 Active Directory (AD) 环境的大量信息,包括 ACL、DNS 区域、BitLocker 恢复密钥、LAPS 密码、域帐户和 SPN 凭据哈希。
Windows PowerShell 日志中的片段显示了“r.ps1”编码脚本的执行情况,以及“r.ps1”脚本的部分解码片段,显示它是“ADRecon”
EDR 检测到并终止了“C:Windowdebugdebughost.exe”进程的另一次渗透尝试。可执行文件的哈希值表明该文件实际上是“Rclone”可执行文件。使用不同的文件名和不同的哈希值执行“Rclone”的其他尝试也被 EDR 阻止。
EDR 和 VirusTotal 的片段显示使用“Rclone”检测到的渗漏尝试,并重命名为“reborn.exe”
渗透尝试揭示了威胁行为者用于渗透的另外两个云服务。从受感染的服务器检索到的“Rclone”配置文件表明使用了“IDrive”服务,而在另一台服务器上发现了对“pCloud.com”服务的连接尝试失败。
在最后一次已知的渗透尝试的同一天,威胁行为者使用专用的 @protonmail 帐户向受害公司的数十名员工发送了主题为“**** 数据泄露”的电子邮件,其中威胁行为者声称数 TB 的数据已从其网络中泄露。
一些电子邮件包含附加图像,其中显示了受害者网络中文件服务器的文件夹。在接下来的几周内,这些电子邮件继续从不同的电子邮件帐户发送到不同的收件人。
威胁参与者发送的一封电子邮件的片段,其中包括从网络泄露的共享文件夹的图像
两周后,受害公司的一名代表联系了威胁行为者,威胁行为者提供了一个“证据包”,其中包括几份文件,其中包含按主机名排序的据称被泄露的文件列表。
两周后,作为与受害者通信的一部分,威胁行为者声称已准备好第二个证据包可供发布,其中包括一个附件,其中包含据称被泄露的文件列表。
几周后,从受害者那里窃取的文件被发布在 BlackCat 的暗网上泄密网站上。
-
BlackCat 勒索软件组织于 2021 年 11 月浮出水面,此后已成为最复杂、最活跃的威胁组织之一,目标是备受瞩目的多部门和全球组织。
-
与其他勒索软件威胁参与者一样,BlackCat 采用勒索软件即服务业务模式,允许其附属机构利用其工具和基础设施进行勒索软件和勒索攻击。
-
最近,我们注意到大公司通过安全成熟度较低的第三方的妥协而被利用的趋势;这表明组织仔细映射与其供应商的网络连接并将供应商的访问限制在所需的最低限度的重要性。
-
对于需要保持公司运营连续性的网络管理员来说,阻止大型网络的互联网连接是一项具有挑战性的任务。在此博客中描述的事件中,尽管受害公司的 IT 团队阻止了本地 Internet 访问,但他们在网络中使用 Azure Express Routes 允许威胁行为者绕过组织防火墙保持对网络的访问。
-
组织应该有一个预定义的计划来减轻勒索软件攻击。在这种情况下,威胁行为者未能成功执行网络加密,因为受害者愿意立即阻止互联网访问作为缓解措施。
评论