全文共7421字,阅读大约需16分钟
//
在这个数字化浪潮汹涌的时代,勒索病毒如同潜伏在暗处的猛兽,时刻威胁着企业的信息安全和业务正常运转,因此亟需加强防护手段,以保障企业的稳定发展。面对勒索病毒的持续升级,安全有效性服务实践带开启勒索防御新思路。
一、勒索病毒的起源、发展及演变
1.1
起源引言
早在1989年,美籍生物博士Joseph Popp开发和传播被称为“AIDS Trojan”或“PC Cyborg Trojan”的病毒,这是可追溯到的第一款勒索病毒(Ransomware)。Popp博士通过邮寄软盘的方式传播AIDS Trojan。这些软盘被标注为“艾滋病信息磁盘”,声称包含关于艾滋病的信息,吸引接收者运行其中的程序,对系统文件进行替换。
AIDS Trojan会在启动后进行倒计时,经过90次系统重启后,病毒会激活并开始加密文件。它采用了一种对称加密算法,对C盘中的所有文件进行加密。一旦文件被加密,病毒会显示一条勒索信息,要求受害者支付189美元(或377美元的“企业版”赎金)到一个位于巴拿马的邮政信箱,以获取解密密钥。
病毒主要针对与艾滋病研究相关的科学家和研究机构。Popp博士将大约2万个软盘邮寄给全球的这些人员。但由于传播手段(邮寄软盘)的局限性,感染规模有限。但这一事件引起了广泛的社会关注和恐慌,使得计算机安全问题开始受到重视。
1.2
什么是勒索病毒(Ransomware)
勒索病毒(Ransomware)是一种恶意软件。它通过攻击并加密受害者的文件或锁定其计算机系统,然后要求支付赎金以换取密钥或解锁访问权限。
勒索病毒的绝大部分目的是索要解锁赎金,直接获取经济利益。随着技术的发展,勒索病毒变得越来越复杂,传播方式也更加多样化。勒索病毒通常采用强加密算法,使得受害者在不支付赎金的情况下难以恢复被加密的数据或系统。
这种压倒性的优势最终使得受害者陷入进退两难的境地。要么接受系统几乎被摧毁的损失,要么乖乖交钱平事。(有时候交了钱也不一定解密,反而会继续变本加厉的进行二次勒索。真可谓“盗亦无道”,毫无节操。)
1.3
Ransomware演变的重要阶段
勒索病毒(Ransomware)从诞生到现在的二十多年,其发展经历了多个阶段,从最初的简单加密工具到如今复杂的勒索即服务(RaaS)平台。
以下是勒索病毒发展的4个重要阶段:
演变过程中的部分典型勒索病毒如下:
原始期(1989年-2005年)
AIDS Trojan(1989年)
◾ 背景:第一个已知的勒索病毒,是Joseph Popp博士创建的AIDS Trojan。
◾ 技术特点:使用对称加密(简单的替换加密)。
◽ 通过软盘传播。
◽ 受害者需要向指定的邮政信箱发送赎金才能解密文件。
◾ 实例:用户安装了名为“AIDS Information Introductory Diskette”的程序,系统在90次启动后加密文件,并要求向巴拿马的邮政信箱支付189美元赎金。
Gpcode(2005年)
◾ 背景:逐渐发展起来的早期勒索软件,使用更复杂的加密方法。
◾ 技术特点:使用RSA和AES加密。
◽ 通过电子邮件附件传播。
◾ 实例:加密用户的文件后,要求支付赎金,通常是通过匿名支付平台。
成长期(2005年-2013年)
Archiveus(2006年)
◾ 背景:早期的勒索软件之一,开始在互联网上传播。
◾ 技术特点:使用RSA加密。
◽ 通过电子邮件和恶意网站传播。
◾ 实例:加密受害者的文件,并在桌面上留下赎金信息,要求支付赎金以获取解密密钥。
Cryptolocker(2013年)
◾ 背景:标志着现代勒索软件的兴起,利用更强大的加密技术和更有效的传播手段。
◾ 技术特点:使用RSA-2048和AES-256加密。
◽ 通过钓鱼邮件和恶意广告传播。
◾ 实例:加密用户的文件并显示倒计时,要求支付比特币赎金才能解密文件。
爆发期(2013年-2017年)
CryptoWall(2014年)
◾ 背景:勒索软件家族中的重要成员,影响广泛。
◾ 技术特点:使用复杂的RSA和AES加密。
◽ 通过钓鱼邮件、恶意广告和漏洞利用工具包传播。
◾ 实例:加密用户文件后,要求支付比特币赎金,并通过TOR网络与C2服务器通信。
Locky(2016年)
◾ 背景:快速传播的勒索软件,以其有效的传播策略和强大的加密技术著称。
◾ 技术特点:使用RSA和AES加密。
◽ 通过Word宏、JavaScript附件和Exploit Kits传播。
◾ 实例:通过伪装成合法电子邮件的钓鱼邮件进行传播,一旦打开附件,立即加密用户文件并显示赎金要求。
WannaCry(2017年)
◾ 背景:全球爆发的大规模勒索软件攻击,利用NSA泄漏的永恒之蓝(EternalBlue)漏洞。
◾ 技术特点:使用RSA和AES加密。
◽ 利用SMB漏洞进行蠕虫式传播。
◾ 实例:在全球范围内感染超过200,000台计算机,导致医院、企业和政府部门严重受损。
成熟期(2017年至今)
NotPetya(2017年)
◾ 背景:尽管表现为勒索软件,但实际上是破坏性更强的恶意软件。
◾ 特性:使用RSA和AES加密。
◽ 利用Mimikatz工具和SMB漏洞传播。
◾影响:主要攻击乌克兰的企业和政府机构,但也波及全球,造成严重经济损失。
LockBit(2019年至今)
◾ 背景:迅速崛起的勒索软件家族,以其快速加密和自动化攻击而闻名。
◾ 特性:使用RSA和AES加密。
◽ 通过钓鱼邮件、RDP暴力攻击和漏洞利用传播。
◾ 影响:攻击了多家大型企业和机构,包括Accenture和阿根廷移民局,要求高额赎金以换取解密密钥。
以下是勒索病毒在不同阶段中的进化特点:
传播方式:从软盘传播发展到通过电子邮件、恶意广告、远程桌面协议、漏洞利用工具包和社工、供应链污染等多种技术和手段进行传播和感染,增加了传播效率和范围。
加密技术:从最初的简单对称加密发展到复杂的非对称加密(RSA、AES),提高了加密强度和破解难度。
勒索方式:从邮政信箱支付赎金发展到使用匿名加密货币(如比特币、以太坊、门罗币等)支付,提高了追踪难度和攻击者的匿名性。
自动化与定制化:现代勒索软件如LockBit和Ryuk,采用自动化和定制化攻击策略,针对性强,传播迅速,影响广泛。
现阶段勒索病毒的主要攻击模式:
我们通常会将勒索病毒的攻击过程有序的切分为:事前、事中、事后三个阶段。三个阶段过程中的目的和详情如下:
事前:通过多样性的手法获取被攻击系统的基本权限,达到侵入环境的目的。
常见的方式如下:
-
客户端攻击:利用邮件、登陆凭证、浏览器、应用。
-
服务器攻击:管理协议、数据库、配置缺陷、服务应用漏洞。
-
黑市交易:从黑市购买主机控制权、再渗透扩大控制面、最后进行勒索。或者直接购买RaaS全套服务。
事中:基于上一阶段拿到的立足点,并通过权限提升、横向移动、免杀/逃逸等技术手段获取更多机器的控制权限,扩大影响范围,达到横移和扩面最终完全获得组织管理权的目的。
常见的方式如下:
-
权限提升:Windows/Linux提权、登陆凭证/token、配置错误、应用漏洞等。
-
横向移动:密码/Token喷洒、数据库攻击、配置缺陷利用、AD域攻击、漏洞利用等。
-
免杀/逃逸:灰/白利用、流量加密/混淆、代码静态免杀、动态/行为免杀。
-
植入恶意软件:后门植入、凭据转储、C&C植入、Ransomware植入。
事后:通过多样性的手法获取被攻击系统的基本权限,达到侵入环境的目的。
常见的方式如下:
-
外渗:通过加密压缩、切分的方式化整为零向外窃取数据。
-
加密:使用非对称加密算法对系统和数据进行加密勒索。
-
摧毁备份:找到控制范围内备份数据并进行删除操作、以此来对抗在线备份恢复的机制。进一步巩固控制。
-
敲诈:锁定系统/数据并指定赎金金额和支付方式。并有最后期限要求。若最后支付时间超过期限,则可能切香肠式泄露数据,以此要挟受害者。
二、勒索病毒之王--LockBit
2.1
LockBit Ransomeware简介
LockBit可谓是近几年经常占据各大新闻头条的勒索软件家族了,自2019年首次被发现以来就注定了它的不平凡。
近2年最知名的几个攻击事件如下:
◾ 2023年11月8日,中国工商银行在美全资子公司(ICBCFS),受到LockBit3.0勒索软件组织攻击。此次攻击导致部分系统中断,暂时拖欠纽约梅隆银行90亿美元的未结算交易。
◾ 2024年2月,LockBit在遭受FBI联合多个英美等国执法部门的“Cronos行动”致命打击后,在不到一周的时间内死灰复燃,重新启动了勒索软件业务,公布了新的数据泄露站点,并威胁将把更多西方政府部门放入攻击名单。
◾ 2024年6月23日20:27(UTC时间),LockBit宣称入侵美联储系统,窃取了33TB的金融信息,其中包含“美国金融业的秘密”。
自诞生到现在,已经经历了多个版本的演变。并以其高效的加密速度和自动化攻击能力而闻名,对各类机构组织、政府构成了严重威胁,是名之无愧的“当红炸子鸡”。
LockBit演变时间线总结如下:
2.2
逆向窥探LockBit团伙的坚持与狡猾
从1.0版本到3.0版本演变的过程中,LockBit持续对其自身代码在系统防御的逃逸/绕过能力上进行迭代和更新,狡猾的引入了更多高级的反调试和混淆技术。
通过逆向分析和TTPs拆分比对,发现有许多值得探讨的点。如下表所示:
关键技术点分析如下:
反调试
反调试技术是一种用来检测和防止调试工具分析和干扰恶意软件的技术。恶意软件利用这些技术来隐藏其行为,增加分析难度,从而提高成功感染和执行的机会。LockBit采用了多种反调试技术来保护其代码和操作。
1)利用NtGlobalFlag函数反调试
通过FS寄存器查找PEB,获取偏移0x68位置的NtGlobalFlag字段中的值和0x70进行比较,如果判断相等,说明处于调试状态,样本将进入循环。
2)利用NtSetInformationThread函数反调试
通过调用NtSetInformationThread传递ThreadHideFromDebugger参数,线程可以被隐藏,使调试器无法检测到该线程的存在。
代码混淆
代码混淆是一种常用于保护软件的技术,通过使代码变得难以阅读和理解,从而增加逆向工程的难度。代码混淆广泛应用于恶意软件和商业软件中,通过使用代码混淆,LockBit大大提高了其恶意代码的隐蔽性和抗分析性,从而增强了其攻击效果和生存能力。
1)堆栈字符串混淆
将字符串gdiplus.dll编码后存入数组,使用时异或0x7D解码调用,这种方法通过在二进制文件中存储编码后的字符串,可以有效地隐藏字符串信息,防止静态分析工具检测到明文字符串,从而提高恶意软件的隐蔽性。
2、API Hashing
通过PEB获取模块列表,遍历模块导出表,将每个API名称进行哈希处理,可以避免在恶意软件的二进制文件中出现明文字符串。这使得静态分析工具难以识别和检测恶意软件使用的API调用,从而提高恶意软件的隐蔽性。
勒索数据配置
LockBit勒索软件在其版本更新过程中,对数据配置方式进行了显著的进化,逐步从硬编码转向了更灵活和安全的配置方式。这种演变提高了操作的隐蔽性和复杂性。
1)数据硬编码
在LockBit1.0中,将想要终止的服务列表进程列表以硬编码字符串方式写入二进制文件中,无任何加密混淆。
2)数据配置化
和1.0版本对比,2.0之后将要停止的服务列表和进程等配置数据编码后静态存储在可执行文件中。
通过地址偏移、长度、异或密钥可以得到解码后的数据。
此外,在泄露的LockBit3.0构建器中,可以查看完整的配置文件。该配置文件包括详细的服务和进程列表,这些列表会在感染过程中被终止。同时,构建器还包含其他配置选项,如白名单列表、网络横移和清除日志等。
三、LockBit勒索TTPs分解和向量重构模拟
在研究LockBit勒索病毒的过程中,我们先通过逆向分析、动态调试和虚拟化等技术对它进行了行为代码静态分解、阶段性动作复现和攻防知识组合分析。
并通过无害化的手法,在不同的操作系统上重构模拟其关键行为,最后形成了一套相对丰富完整的攻击向量和编排集合。
3.1
LockBit TTP剖析
在对LockBit全版本做TTP(Tactics、Tachniques、Procedures)分析时,主要聚焦于以下2点:
◾ 工具集分析
◾ MITRE ATT&CK Enterprise战术和技术
工具集分析
LockBit多个版本在攻击过程中,使用了许多比较高明的手段,组合式的将各类合法软件、系统工具、黑客工具、特征技巧等元素结合在一起,巧妙的完成其攻击连。
具体体现在以下这些方面:
1)利用热门的软件漏洞
LockBit利用多个应用程序漏洞进入受害者网络包括log4j、Citrix、F5 BigIP和FortiOS等产品,涉及有直接代码执行,未授权访问和用于系统提权。
-
CVE-2021-44228(Apache Log4j2远程代码执行漏洞)
-
CVE-2021-22986(F5 BIG-IP and BIG-IQ Centralized Management iControl REST远程代码执行漏洞)
-
CVE-2019-0708(Microsoft Remote Desktop Services远程代码执行漏洞)
-
CVE-2023-0669(Fortra GoAnyhwere托管文件传输 (MFT) 远程代码执行漏洞)
-
CVE-2023-4966(Citrix NetScaler ADC&Gateway信息泄露漏洞)
-
CVE-2023-27350(PaperCut MF/NG不当访问控制漏洞)
-
CVE-2020-1472(NetLogon特权提升漏洞)
-
CVE-2018-13379(Fortinet Forti0s安全套接层(SSL)虚拟专用网络(VPN)路径遍历漏洞)
例如,以Citrix设备CVE-2023-4966漏洞为入口点(据传ICBCFS因此洞被开口),发送数据包访问url/oauth/idp/.well-known/openid-configuration,往Host字段插入大量数据,导致缓冲区过度读取,从而使得返回的response中带上缓冲区信息,缓冲区信息中可能会包含32-65字节长的十六进制字符串cookie信息,借助该信息可无需经过身份验证访问系统。
2)套用合法免费软件和开源工具
将常见/正当用途的合法软件的部分功能,组合进其攻击链/攻击过程中。如网络侦察、远程访问和隧道、凭据转储以及文件外泄。
利用这些软件的白签名或不被安全软件查杀的特点,成功绕过层层检测和防御,执行其恶意动作。这类“白利用”在LockBit3.0中比较突出。
我们在研究分析过程中对这些被利用的合法软件进行了整理,如下图:
3)利用Windows PowerShell特性来增强逃逸效果
由于Windows PowerShell的特性,即绝大多数代码直接在内存中执行,而不写入本地磁盘。LockBit也大量利用了此特点,例如:系统发现、侦察、密码/凭证搜索、密码/Token喷洒、权限提升等。如下图:
4)将复杂的横向移动过程组合化/程序化
在横向移动传播过程中,将不同的工具、攻击手法进行高效组合,尽可能扩大主机感染范围。例如:
-
使用AdFind、Seatbelt、Bloodhound等专业工具进行基本信息收集。
-
使用LaZagne、Mimikatz、PasswordFox、ProcDump进行凭据获取和收集。
-
并使用CrackMapExec、Impacket等工具进行密码/Hash/Token横向喷洒爆破;结合Ngrok进行跨网络攻击。
-
并在横向移动的过程中使用PCHunter、Process Hacker等工具来结束、破坏EDR等终端防护软件进行逃逸/免杀。
5)使用专业的渗透测试工具
最后一个值得留意的是,常见的红队工具也被LockBit大量调用。如LaZagne、Mimikatz、CrackMapExec、Impacket、Metasploit和Cobalt Strike也都未缺席。
MITRE ATT&CK Enterprise战术和技术
通过对LockBit1.0、LockBit2.0、LockBit3.0的三个主流版本TTPs进行分拆后,将其映射到MITRE ATT&CK Enterprise的12个阶段中。
1)初始访问阶段/Initial Access
在初始访问阶段,LockBit勒索软件会通过诱使用户访问水坑网站、Web漏洞利用、账户爆破、发送钓鱼邮件等方式获得对系统的初始访问权限。
2)执行阶段/Execution
LockBit在此阶段通过Windows系统内置命令和PowerShell环境来执行命令。并通过PsExec、Chocolatey等工具进行命令执行和恶意软件部署动作。
3)持久化阶段/Persistence
LockBit通过收集和重用系统账户,并通过启用自动登录。来相对隐蔽的维持控制权限。
4)权限提升阶段/Privilege Escalation
LockBit通过Window系统机制缺陷、UAC bypass、GPO策略修改、高权限账户利用等方式来完成权限提升。
5)防御规避阶段/Defense Evasion
LockBit通过使用GMER、PCHunter、PowerTool、Process Hacker、TDSSKiller、DefenderControl、Backstab等工具来禁用和卸载安全软件及相关的进程/服务;也使用资源管理器/定制的脚本/组策略等方法禁用Windows Defender、清除Windows日志文件,并通过将自身关联程序多次重命名后删除等方式进行防御规避。
6)凭证访问阶段/Credential Access
LockBit使用Lazagne、PasswordFox、GrabChrome、GrabRFF获取浏览器的密码;同时使用Mimikatz、ExtPassword或LostMyPassword获取操作系统登录凭证等方式进行“再次利用”。
7)发现阶段/Discovery
LockBit通常会枚举系统信息,(如主机名、进程信息、网络连接、域信息、局域网共享、本地驱动器配置及外部存储设备等),并设定排除策略,不感染特定语言(如俄语)主机。恰恰因为这个特性,很多机构坚定的认为LockBit背后的团伙是俄罗斯人。
8)横向移动阶段/Lateral Movement
LockBit通常会使用Psexec、WMI、RDP协议、Plink、wmiexec等工具获取主机权限;也会使用Adfind及ADExplorer工具进行域内信息收集,并使用CrackMapExec在内网进行批量哈希传递进行横移。
9)收集阶段/Collection
早期的LockBit会通过7-zip等压缩或者加密收集到的敏感数据,然后通过RClone工具将数据传输到MegaSync、MegaSync、FreeFileSync等文件云存储站点中,其中MEGASync用的更多一些。后期数据窃取主要由LockBit加密勒索组织专门编写的StealBit后门工具完成。
10)命令与控制阶段/Command and Control
LockBit会使用多种方式进行C2通信,例如:使用FileZilla等文件传输协议、使用Ligolo从反向连接建⽴SOCKS5或TCP隧道进行C2;使用PuTTY中的Plink在Windows上自动执行SSH操作进行C2通信;以及调用AnyDesk、Atera RMM或TeamViewer等远程管理工具进行C2通信。
11)数据渗出阶段/Exfiltration
StealBit 恶意软件是 LockBit 勒索组织开发的数据泄露工具,可以将文件内容泄露到远程攻击者控制的端点以进行双重勒索。此外,LockBit 团伙还使用外泄到云存储等方式进行数据渗出。
12)影响破坏阶段/Impact
在该阶段,LockBit会删除Windows卷影副本,尝试结束特定进程与服务如:Windows Defender、SQL等。同时也会查找连接的驱动器并尝试对文件进行加密。最后会伴随着修改桌面背景、生成勒索信等行为。
四、勒索病毒专题安全有效性验证的价值
4.1
向量重构
基于对LockBit主流版本研究分析的结果,结合ATT&CK框架。我们在“灰度-先知BAS系统”中分别从:系统层、网络层、应用层等维度进行勒索病毒攻击向量的模拟重构,并进行了绝对的无害化处理。
部分模拟的向量内容,如下图:
在攻击向量模拟重构层面,我们几乎对MITRE ATT&CK Enterprise的所有阶段的大部分技战术做了覆盖。如下图:
4.2
勒索软件场景编排--序列化向量的集合
在“先知BAS”系统中,我们将上一章节重构编写的向量,按照勒索软件攻击的实际情况,按照先后序列连接起来形成一个集合。
此时,就重新构建了完整的勒索软件攻击链验证场景,即勒索软件场景编排。如下图:
4.3
勒索病毒专题集合--量变带来的质变
单一的编排场景仅能模拟和验证已知特定家族勒索病毒的防御有效性。但是将多个类似的勒索病毒编排场景聚合在一起的时候,情况就发生了改变。即他们在ATT&CK的每一个阶段技术实现和多样性上,都会比单一场景要宽泛和丰富得多。
而这种变化才有可能对未发生和将来可能发生的勒索攻击进行一定程度的模拟和验证,起到一定程度“防患于未然”的效果,这正是勒索病毒编排场景“量变带来”质变的根本原因。同时,这也我们做“勒索病毒专题集合”的初衷。
五、勒索病毒专项演练服务
在这个数字化浪潮汹涌的时代,勒索病毒如同潜伏在暗处的猛兽,时刻威胁着企业的信息安全和业务正常运转。因此亟需加强防护手段,以保障企业的稳定发展。
灰度安全着眼于当下持续升级的勒索病毒事件,重磅推出了【勒索病毒】安全演练服务。该服务拥有众多显著的优势:
1
专家级知识图谱,洞察病毒玄机
依托灰度安全【天弓实验室】在攻防实战中的丰富经验和先进技术,精心构建多种勒索病毒攻击编排场景,形成了详尽且专业的勒索病毒专项知识图谱。这些图谱全面涵盖各类常见和新型勒索病毒的攻击策略与传播途径。
2
丰富模拟场景,持续更新迭代
灰度先知·智能风险评估系统提供了 30多种典型勒索病毒攻击演练场景,并且实现持续更新。这意味着企业能够及时跟进最新的勒索病毒威胁态势,始终保持高度的警惕性和有效的防护能力。
3
自适应风险评估,无损保障业务
我们的服务致力于在不影响企业业务正常运行的前提下,精准评估网络防御体系的有效性。在验证过程中所有的攻击向量均进行了无损化重构和处理,切实保障整体验证工作稳定施行,让您的业务于接受评估之际依然保持平稳顺畅。
4
自定义场景编排,贴心适配需求
考虑到不同企业的业务架构和安全需求差异巨大,我们的服务支持个性化定制勒索病毒攻击场景的编排。能够深入了解您企业的特点,完整重现可能的攻击过程,从而灵活地满足您的特定评估需求。
勒索病毒专项安全演练服务,将作为灰度安全重点的安全服务能力推向市场,欢迎各行业客户申请测试,我们的专业团队会为您提供详细的测试报告和针对性的改进建议,帮助您及时发现潜在的安全问题,强化网络安全防线,为业务稳定运行保驾护航。
原文始发于微信公众号(灰度安全):技术实践 | 勒索病毒专项技术研究
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论