ALPHA SPIDER 勒索软件攻击分析

2024年3月20日08:25:18评论6 views字数 4580阅读15分16秒阅读模式

ALPHA SPIDER 是 Alphv 勒索软件服务（RaaS）的开发和运营背后的对手。
在过去的一年里，ALPHA SPIDER 的合作伙伴们一直在利用各种新颖的技术作为其勒索软件行动的一部分。
CrowdStrike 服务团队观察到的技术包括使用 NTFS 备用数据流来隐藏反向 SSH 工具、利用与 GNU/Linux 基础设备相关的多个漏洞进行初始访问和提权，以及通过篡改网络配置文件绕过基于 DNS 的过滤和多因素身份验证（MFA）。
ALPHA SPIDER 的合作伙伴们仍在对受害者进行成功的勒索软件行动，这个对手对任何组织仍然是一个明显而且现实的威胁。

在过去的两年里，CrowdStrike 服务团队已经进行了几次事件响应（IR）行动——在勒索软件发生前后——在这些行动中，不同的 ALPHA SPIDER 合作伙伴展示了新颖的攻击技术，结合了更常见的技术。本文中描述的事件已被 CrowdStrike 对抗对手行动团队归因于 ALPHA SPIDER 的合作伙伴。

Alphv 勒索软件服务首次出现于 2021 年 12 月，值得注意的是它是首个使用 Rust 编程语言编写的勒索软件。Alphv RaaS 提供了许多旨在吸引复杂合作伙伴的功能，包括针对多个操作系统的勒索软件变种；一个高度可定制的变种，每小时重建自身以逃避防病毒工具；一个清晰的 Web 域和对手的专用泄漏站点（DLS）上的可搜索数据库，该站点允许访问者搜索泄漏的数据；以及集成到合作伙伴面板中的比特币混合器。

CrowdStrike 对抗对手行动团队观察到的许多 Alphv 合作伙伴都擅长加密受害者的虚拟化基础设施。合作伙伴使用 Linux 版本的 Cobalt Strike 和 SystemBC 在部署勒索软件之前对 VMware ESXi 服务器进行侦察。

链接漏洞以获取初始访问权限并实现持久化

在 ALPHA SPIDER 附属公司（本博客随后称为威胁参与者 1）实施的 IR 攻击中，攻击者结合使用两个软件漏洞在目标网络中获得了初步立足点。首先，威胁参与者 1 利用了识别为 CVE-2021-44529 的漏洞，Ivanti EPM 云服务设备 (CSA) 中的一个代码注入漏洞，影响 CSA Web 服务器组件并允许未经身份验证的用户执行任意代码具有有限的权限（用户无人）。在 2021 年 12 月 2 日漏洞发生之前，已为 CVE-2021-44529 提供了补丁。威胁参与者 1 能够在服务器上运行代码后，就利用了识别为 CVE-2021-40347 的漏洞，也称为 PwnKit，用于临时获取 root 权限并向系统添加新的 UID 0（“root”）帐户。此时，威胁参与者 1 安装了reverse-ssh3 个可执行文件以连接回其服务器。由本地 Cron 守护进程定期reverse-ssh执行，以实现受感染系统的持久性。、

嘈杂的网络发现和凭证访问

在获得目标网络的初始本地特权立足点后，同一攻击中的威胁参与者 1 执行了广泛的网络发现活动。威胁行为者 1 下载了臭名昭著的网络扫描工具 Nmap，以及其他 Nmap 脚本。威胁行为者使用 Nmap 进行系统和服务发现，并利用特定的 Nmap 脚本对目标网络执行有针对性的漏洞扫描。

此次扫描后，威胁行为者 1 尝试使用mitm6和responder两个攻击性安全网络工具来收集其他凭据。根据各自作者的说法，这是一个“利用 Windows 默认配置接管默认 DNS 服务器的渗透测试工具”，并且是一个“LLMNR、NBT-NS 和 MDNS 中毒者”。mitm6responder

威胁参与者 1 还尝试利用标识为 CVE-2021-21972 的漏洞。7 CVE-2021-21972 是 vCenter Server 插件中的远程代码执行漏洞，威胁参与者可能利用该漏洞以不受限制的权限执行命令。随后，在这次攻击中，威胁行动者 1 还在受感染的 CSA 服务器上安装了masscan8 个计算机，以执行其他网络侦察活动。

寻找 Veeam 凭证

在同一次 IR 交战中，威胁行为者 1在执行初始横向移动后将目标锁定为 Veeam 备份实用程序9 。Veeam 用户帐户凭据是面向勒索软件的威胁参与者的首选目标，这些威胁参与者通常会在执行勒索软件负载之前删除系统备份。在这次特定的攻击中，威胁行为者 1 尝试使用KoloVeeam（也称为veeamp）Windows 远程管理 (WinRM) 协议来提取和解密存储的凭据。

图 1. CrowdStrike Falcon® 平台检测到的执行示例KoloVeeam

KoloVeeam是一个简单的工具，可提取和解密存储在 VeeamBackup 数据库中的用户凭据。

代码1.KoloVeeam反编译代码

在这次特定的攻击中，正如KoloveeamCrowdStrike Falcon® 平台检测到并阻止的那样，威胁参与者 1 尝试使用合法的certutilLOLBIN 10手动下载 Microsoft SQL Server Management Studio ，并使用 Veeam 自己的库解密存储的密码Veeam.Backup.Common.dll。

图 2. 使用 LOLBIN 下载的 Microsoft SQL Server Management Studio 的 Falcon 平台检测示例certutil

在最初的 Veeam 凭证访问技术被阻止后，威胁参与者 1 尝试执行以下代码来手动解密之前获得的加密凭证。该脚本最初是在 Veeam 研发论坛上共享的。

代码2.Veeam凭证解密PowerShell脚本

在另一次活动中，另一个 ALPHA SPIDER 附属机构（本博客随后称为 Threat Actor 2）利用广泛使用的 Veeam Credential Recovery 12 PowerShell 脚本 ( Veeam-Get-Creds.ps1) 从 Veeam 数据库中提取用户凭据。

寻找泄露的凭证

除了针对 Veeam 之外，威胁参与者 1 还导出了终端服务 LocalSessionManager/操作日志。威胁参与者可能出于各种原因导出此类日志，例如：

识别通常登录到感兴趣端点的（特权）用户帐户
识别网络内对手可能能够横向移动的系统
收集可能被错误输入到用户名字段的密码

代码 3. 威胁参与者导出终端服务 LocalSessionManager/操作日志

多重防御规避技术

隐藏 NTFS 备用数据流 (ADS) 中的持久性

NTFS 文件系统使用“流”存储数据。文件有一个默认的未命名流，通常存储文件的内容。文件夹没有任何默认流。备用数据流是可以添加到 MFT 条目的附加流。Windows 操作系统将 ADS 用于不同的目的，最常见的用例之一是 ADS Zone.Identifier，也称为Windows 用来识别文件的网络源的 Web 标记。

在两次 IR 攻击中，威胁参与者 1reverse-ssh在多个 Windows 系统上部署了一个可执行文件C:System，然后将其隐藏在 C 盘根目录“.”中。（MFT 条目 5）ADS 名为“ Host Process for Windows Service.” 然后，威胁参与者 1 创建了一个恶意服务，以确保其reverse-ssh工具的持久性，然后再从初始位置删除可执行文件。

代码4.恶意ADS和服务创建命令

威胁参与者 1 选择了一个特别有趣的 ADS 来隐藏其恶意可执行文件，因为许多工具（包括系统dir命令和常见的 PowerShell cmdlet）不会在根卷上显示 ADS，即使这些命令会在其他文件上显示 ADS，并且目录。

图 3. dir /r 在文件和目录上显示 ADS，但不在卷的根目录上显示

图 4. PowerShell 5.1 Get-Itemcmdlet 在文件上显示 ADS，但不在目录或卷的根目录上显示

图 5. PowerShell 7.4 Get-Itemcmdlet 在文件和目录上显示 ADS，但不在卷的根目录上显示

然而，与其他 ADS 一样，可以通过搜索FileName 字段中包含“:”字符的FileCreate或DirectoryCreate事件，在 Falcon 平台数据中查找此特定的 ADS 创建。

图6. Falcon平台目录ADS创建事件

通过网络配置篡改绕过 DNS 过滤和 MFA

在两起独立事件中，ALPHA SPIDER 附属公司（威胁行为者 1 和威胁行为者 2）修改了操作系统本地名称解析配置文件，以绕过基于 DNS 的过滤或多重身份验证 (MFA) 等安全措施。

在 Microsoft Windows 操作系统上，本地名称解析配置文件位于C:WindowsSystem32Driversetchosts. 系统使用此本地配置文件来确定域名的 IP 地址。如果文件中存在条目hosts，系统不会执行 DNS 请求来解析域名。在一次 IR 活动中，威胁行为者 1 修改了hosts特定系统上的文件，以绕过基于 DNS 的网络过滤，阻止对知名文件存储网站的访问。

图 7. 修改 Windowshosts文件以绕过基于 DNS 的过滤

在另一次 IR 活动中，威胁参与者 2 修改了hosts文件以停用 MFA 和单点登录 (SSO) 产品。根据 Duo 产品文档，“默认情况下，Windows 登录的 Duo 身份验证将‘打开失败’，如果无法联系 Duo 服务，则允许 Windows 登录继续。” 这种攻击性安全技术至少自 2018 年起就有记录。

代码5.MFA绕过命令

持久渗透

在其中一次 IR 活动中，威胁行为者 1 持续尝试使用三种不同的方法和工具窃取数据，直到成功。

首先，威胁行为者 1 多次尝试使用 Rclone 来窃取数据。威胁参与者 1 试图以不同的系统和合法软件可执行文件名称伪装 Rclone 可执行文件。此类伪装的示例包括将 Rclone 重命名为 svchost.exe 并将其复制到不寻常的位置，或者将其重命名为（威胁参与者 1 的拼写错误）。Ivaniti Cloud Software.exe

图8. Falcon平台Rclone检测示例

然后，威胁行为者 1 从合法网站下载了 FileZilla。FileZilla 是免费提供的 FTP 软件，通常被威胁行为者用来通过 FTP 或 SFTP 窃取数据；然而，这在网络层面被阻止了。

最后，威胁行为者 1 下载了 MEGA客户端软件，将数据泄露到 MEGA 云帐户。威胁行为者 1 使用前面提到的防御规避方法来有效绕过受害者网络中基于 DNS 的网络过滤。

建议

ALPHA SPIDER 附属公司已证明有能力在相对较短的时间内执行其业务并实现其目标。防御者需要承认这一事实，投资最先进的端点保护平台，并确保其组织中有适当的检测处理流程或手册。所有检测结果都应进行彻底调查并及时做出响应，以阻止违规行为。

还需要注意的是，威胁行为者（如 ALPHA SPIDER 附属公司）有能力利用双重用途管理工具和合法用户帐户在受害者环境中执行恶意活动，从而转向无恶意软件攻击。诸如 CrowdStrike Falcon ® Adversary OverWatch™提供的人类威胁追踪器可帮助识别此活动，以确保您的组织能够以时间紧迫的方式做出响应。

结论

ALPHA SPIDER 附属机构不断展示多种攻击技术的使用，利用大型工具集（包括各种漏洞利用），并且在成功窃取数据方面极其坚持。

然而，执行本博文中描述的操作的不同 ALPHA SPIDER 附属公司似乎没有采取特定的操作安全 (OPSEC) 措施来避免被检测到。OPSEC 措施的缺乏为防御者提供了大量的机会来检测和响应 ALPHA SPIDER 附属公司的操作，只要他们能够在持续违规的情况下快速有效地做出响应。

原文始发于微信公众号（Ots安全）：ALPHA SPIDER 勒索软件攻击分析

左青龙
微信扫一扫

右白虎
微信扫一扫

ALPHA SPIDER 勒索软件攻击分析

软件开发者被骗安装恶意软件的虚假npm包

密码管理乱象：九成用户靠好记性和烂笔头

网安简报【2024/4/27】

Spyware.Joker分析报告

管控设备接入，规范使用范围，IP-guard助力落实移动存储设备管理

分析新BBTok 恶意银行软件变体的服务器端组件

泄露用户隐私，智能门铃厂商Ring遭重罚

蠕虫爆发，PlugX新变种感染250万主机

iMessage 零点击RCE利用被曝现身黑客论坛

深度丨隐私计算技术标准化路径分析与建议

发表评论