美燃油管道攻击组织DarkSide相关勒索样本技术分析

admin 2021年5月12日10:52:10评论86 views字数 9701阅读32分20秒阅读模式

0x00事件描述


天融信阿尔法实验室舆情监测,美国时间5月7日,Colonial Pipeline Company遭遇网络攻击,该公司是美国主要的燃料管道运营商之一,在遭受攻击后,被迫关闭美国东部沿海各州的关键燃油运输网络。Colonial公司不得不使紧急使用陆地运输,美运输部门为此提供了帮助,颁发紧急命令暂时取消了部分联邦法规(限制了加油车驾驶员每天可以工作的小时数的法规)的执行,美FBI官网5月10日公告证实,此次勒索事件的攻击者为DarkSide组织。攻击者劫持了近100GB的数据并要求支付赎金。Colonial正在与Fire Eye合作,尝试恢复数据和消除此次勒索事件的影响。
针对此次事件,阿尔法实验室及时跟进,对DarkSide组织相关信息进行调查,并对DarkSide组织以往使用的勒索软件样本进行技术分析。

美燃油管道攻击组织DarkSide相关勒索样本技术分析

FBI声明: FBI确认Colonial公司勒索事件攻击者为DarkSide组织


美燃油管道攻击组织DarkSide相关勒索样本技术分析

2021年5月10日在马里兰州Colonial油箱


美燃油管道攻击组织DarkSide相关勒索样本技术分析

Colonial官网处于关闭状态


0x01DarkSide组织介绍


DarkSide组织早在2020年8月就被发现,2020年11月在俄罗斯黑客论坛XSS上“首次亮相”了DarkSide勒索软件服务模型。不久之后,DarkSide勒索软件被大量使用在勒索软件事件中,包括针对欧洲和美国的制造商和律师事务所的几起事件。

在2021年3月,DarkSide开发人员推出了许多新功能,以吸引新的组织参与购买。其中包括针对Windows和Linux的勒索软件版本,增强的加密设置,直接集成在管理面板中的交互操作功能。
DarkSide攻击事件,大多利用Citrix,远程桌面Web(RDWeb)或远程桌面协议(RDP)等易受攻击的软件,进行横向移动和渗透来获得服务器权限,获取敏感信息后部署勒索软件。

美燃油管道攻击组织DarkSide相关勒索样本技术分析

鼓励用户支付赎金以解密其泄露数据

 

美燃油管道攻击组织DarkSide相关勒索样本技术分析

暗网地址索要赎金页面


美燃油管道攻击组织DarkSide相关勒索样本技术分析

DarkSide泄露数据的网站


美燃油管道攻击组织DarkSide相关勒索样本技术分析

DarkSide加密的文件(以受害者的ID为扩展名)


美燃油管道攻击组织DarkSide相关勒索样本技术分析

DarkSide解密工具截图


0x02DarkSide勒索病毒分析


DarkSide勒索软件主要功能为解密配置信息(配置信息包括加密Salas20密钥时用到的RSA-1024公钥信息,C2地址,勒索信息以及其他配置信息),权限提升,信息搜集,清空回收站,结束系统服务,结束系统进程,遍历文件进行加密等功能。天融信阿尔法实验室对勒索软件样本进行了分析。


1.样本分析

1)动态API解密,解密流程是:先使用加密函数对内存中的库和函数名字符串进行解密,然后使用LoadLibrary和GetProcAddress动态加载API,如下为解密流程和解密出来的部分API。

美燃油管道攻击组织DarkSide相关勒索样本技术分析

美燃油管道攻击组织DarkSide相关勒索样本技术分析

2)解析配置,解密出了需要躲避的路径,要删除的路径,躲避的进程,要结束的进程,要结束的服务,C2地址,威胁字符串和txt文本内容。

"DIRECTORY_TO_AVOID": "$recycle.bin, config.msi, $windows.~bt, $windows.~ws, windows, appdata, application data, boot, google, mozilla, program files, program files (x86), programdata, system volume information, tor browser, windows.old, intel, msocache, perflogs, x64dbg, public, all users, default","FILE_TO_AVOID": "autorun.inf, boot.ini, bootfont.bin, bootsect.bak, desktop.ini, iconcache.db, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, thumbs.db","FILE_EXTENSION_TO_AVOID": "386, adv, ani, bat, bin, cab, cmd, com, cpl, cur, deskthemepack, diagcab, diagcfg, diagpkg, dll, drv, exe, hlp, icl, icns, ico, ics, idx, ldf, lnk, mod, mpa, msc, msp, msstyles, msu, nls, nomedia, ocx, prf, ps1, rom, rtp, scr, shs, spl, sys, theme, themepack, wpx, lock, key, hta, msi, pdb","DIR_TO_REMOVE": "backup","SQL_STRING": "sql, sqlite","PROCESS_TO_AVOID": "vmcompute.exe, vmms.exe, vmwp.exe, svchost.exe, TeamViewer.exe, explorer.exe","PROCESS_TO_KILL": "sql, oracle, ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, xfssvccon, mydesktopservice, ocautoupds, encsvc, firefox, tbirdconfig, mydesktopqos, ocomm, dbeng50, sqbcoreservice, excel, infopath, msaccess, mspub, onenote, outlook, powerpnt, steam, thebat, thunderbird, visio, winword, wordpad, notepad","SERVICE_TO_KILL": "vss, sql, svc$, memtas, mepocs, sophos, veeam, backup, GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr","C2_URL": "securebestapp20.com, temisleyes.com","THREAT_STRING": "All of your files are encrypted! rn  rn Find %s and Follow Instructions!","RANSOM_NOTE": "----------- [ Welcome to DarkSide ] -------------> rn  rn What happend? rn ---------------------------------------------- rn Your computers and servers are encrypted, backups are deleted. We use strong encryption algorithms, so you cannot decrypt your data. rn But you can restore everything by purchasing a special program from us - universal decryptor. This program will restore all your network. rn Follow our instructions below and you will recover all your data. rn  rn What guarantees? rn ---------------------------------------------- rn We value our reputation. If we do not do our work and liabilities, nobody will pay us. This is not in our interests. rn All our decryption software is perfectly tested and will decrypt your data. We will also provide support in case of problems. rn We guarantee to decrypt one file for free. Go to the site and contact us. rn  rn How to get access on website?  rn ---------------------------------------------- rn Using a TOR browser: rn 1) Download and install TOR browser from this site: https://torproject.org/ rn 2) Open our website: http://darksidfqzcuhtk2.onion/CZEX8E0GR0AO4ASUCJE1K824OKJA1G24B8B3G0P84LJTTE7W8EC86JBE7NBXLMRT rn  rn When you open our website, put the following data in the input form: rn Key: rn  rn 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 rn  rn !!! DANGER !!! rn DO NOT MODIFY or try to RECOVER any files yourself. We WILL NOT be able to RESTORE them.  rn !!! DANGER !!!"

美燃油管道攻击组织DarkSide相关勒索样本技术分析3)解析出配置之后,会使用IsUserAnAdmin来判断当前是不是管理员权限,如果不是管理员权限,就会检查用户令牌信息,看其是否具有SECURITY_BUILTIN_DOMAIN_RID第一个子权限和DOMAIN_ALIAS_RID_ADMINS第二个子权限。

美燃油管道攻击组织DarkSide相关勒索样本技术分析

4)使用更新之后的权限调用shellexecute来重新启动勒索软件。

美燃油管道攻击组织DarkSide相关勒索样本技术分析

5)检测用户令牌是否具有NTAUTHORITY权限。

美燃油管道攻击组织DarkSide相关勒索样本技术分析

6)GUID校验和:生成校验和函数中使用了0xDEADBEEF作为第一个crc32值,并在受害人的计算机GUID上经过了四轮此CRC32校验和的计算,最后校验和转换为十六进制以方便后边使用。

美燃油管道攻击组织DarkSide相关勒索样本技术分析

美燃油管道攻击组织DarkSide相关勒索样本技术分析

7)接下来使用了GetUserNameW,GetComputerNameW,MachinePreferredUILanguage等函数进行了系统信息收集,提取内容如下。

美燃油管道攻击组织DarkSide相关勒索样本技术分析

"lang":"zh-CN","username":"Security","hostname":"SECURITY-PC","domain":"WORKGROUP","os_type":"windows","os_version":"Windows 7  Professional","os_arch":"x64" ,"disks":"C:55  /99|D:48/49"," id":"6ff48602333  218a67193"

8)之后构造字符串,将恶意软件的版本信息和受害者的UID包含在系统信息中,最后要发送的完整信息如下:

"bot":{"ver":"1861","uid":"25fdf86ce58f588"},"os":{"lang":"zh-CN","username":"Security","hostname":"SECURITY-PC","domain":"WORKGROUP","os_type":"windows","os_version":"Windows 7  Professional","os_arch":"x64","disks":"C:55/99|D:48/49","id":"6ff48602333218a67193"}

美燃油管道攻击组织DarkSide相关勒索样本技术分析

9)之后该数据将会被加密发送,并使用InternetOpenW和InternetConnectW打开Firefox / 80.0 Internet应用程序的句柄,通过端口443连接到C2服务器,C2url为:securebestapp20.com。

美燃油管道攻击组织DarkSide相关勒索样本技术分析

美燃油管道攻击组织DarkSide相关勒索样本技术分析

10)清空回收站:首先会在指定的驱动器路径中查找回收站文件夹,该函数调用FindFirstFileExW和FindNextFileW以查找名称中包含“ * recycle *”的文件夹。

美燃油管道攻击组织DarkSide相关勒索样本技术分析

11)结束指定服务(包括vss, sql, svc$, memtas, mepocs, sophos, veeam, backup, GxVss, GxBlr,GxFWD, GxCVD, GxCIMgr"),该函数通过调用OpenSCManagerW打开服务控制管理器,并调用EnumServicesStatusExW枚举要结束的服务列表,通过ControlService和DeleteService调用将其删除。

美燃油管道攻击组织DarkSide相关勒索样本技术分析

美燃油管道攻击组织DarkSide相关勒索样本技术分析

12)结束指定进程(包含sql, oracle, ocssd, dbsnmp, synctime, agntsvc, isqlplussvc,xfssvccon, mydesktopservice, ocautoupds, encsvc, firefox, tbirdconfig,mydesktopqos, ocomm, dbeng50, sqbcoreservice, excel, infopath, msaccess, mspub,onenote, outlook, powerpnt, steam, thebat, thunderbird, visio, winword,wordpad, notepad):通过调用NtQuerySystemInformation查询的SYSTEM_PROCESS_INFORMATION结构与每一个要结束的进程列表,如果在进程列表中就使用TerminateProcess结束进程。

美燃油管道攻击组织DarkSide相关勒索样本技术分析

13)该函数将遍历系统上所有驱动器类型为DRIVE_FIXED,DRIVE_REMOVABLE或DRIVE_REMOTE的驱动器,然后构造驱动器路径,最终调用main_encrpty函数加密驱动器。

美燃油管道攻击组织DarkSide相关勒索样本技术分析

14)之后还有加密共享文件功能,大概如下,使用GetAdaptersInfo和inet_addr、SendARP、gethostbyname等函数来实现。

美燃油管道攻击组织DarkSide相关勒索样本技术分析

美燃油管道攻击组织DarkSide相关勒索样本技术分析

15)主要加密函数: 在进行加密之前,该恶意软件会检查系统是否有0x6400000字节或100 MB的可用空间。

接下来会使用FindFirstFileExW和FindNextFileExW递归遍历目录,该函数遍历到文件时会检查当前文件是否为自述文件,是否为需要躲避的文件等。

美燃油管道攻击组织DarkSide相关勒索样本技术分析

16)如果需要加密sql文件,则还会加密可以加密的sql列表中的sql文件。

美燃油管道攻击组织DarkSide相关勒索样本技术分析

17)接下来会检测遍历到的文件是否已经加密,检测方法为通过将文件最后0x90字节读入缓冲区,并使用CRC32_checksum函数作为前0x80字节生成校验和完成检测。将该校验和与缓冲区的最后0x10字节进行比较,如果匹配,则表示文件已加密。

美燃油管道攻击组织DarkSide相关勒索样本技术分析

18)最后使用Salsa20和自定义的RSA-1024算法进行了加密,如果该勒索将自身删除标志位置为1,病毒运行结束时则会通过 ShellExecuteW调用cmd结束进程。

美燃油管道攻击组织DarkSide相关勒索样本技术分析

2.IoC信息

域名:

securebestapp20.com

catsdegree.com

temisleyes.com

样本哈希值:

4d9432e8a0ceb64c34b13d550251b8d9478ca784e50105dc0d729490fb861d1a

43e61519be440115eeaa3738a0e4aa4bb3c8ac5f9bdfce1a896db17a374eb8aa

151fbd6c299e734f7853497bd083abfa29f8c186a9db31dbe330ace2d35660d5

17139a10fd226d01738fe9323918614aa913b2a50e1a516e95cced93fa151c61

adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e


0x03防范与建议


Colonial Pipeline遭攻击事件再次暴露出燃油输送管道控制系统在网络安全方面的脆弱性。燃油输送管道控制系统涵盖DCS、SCADA、SIS、FGS以及用户管理系统等多类信息系统,其与控制中心、通信专网、办公网络等不同网络进行数据交换,整个工业控制网络中存在网络架构、控制设备、操作系统、通信协议等安全风险,极易遭受来自系统外部或内部的网络攻击或入侵。

根据阿尔法实验室近年的跟踪调查,各类勒索软件事件呈逐年上升趋势。企业、研究机构和个人都是勒索软件的攻击目标和勒索对象。面对勒索软件攻击,大家应该从以下几个方面做出防范:

1.开发阶段防御

在开发过程中,开发人员的安全意识会影响到安全威胁技术防御的各个方面。所以需要对开发人员进行网络安全意识培训,在开发初期就尽量考虑安全问题,提高开发质量。在开发阶段,首先要确保应用程序不会以明文的形式存储敏感数据或者凭证数据,在凭据验证时采用Hash验证,而非明文比对。可以鼓励开发人员对敏感数据进行非对称加密解密,或进行远程存储,并禁止开发人员将敏感数据打印到本地log日志上。

对于危险函数,要在确保其参数不被外部影响的情况下使用,如system函数,其参数需要不能被外界影响与修改,或者直接使用安全替代类函数如execl等。在进行堆栈操作时,要充分校验数据的上下限以防止崩溃溢出产生。对于屏幕抓取,安卓开发人员可以使用FLAG_SECURE将其敏感数据应用在敏感屏幕上,从而使捕获屏幕内容更加困难。对于已经完成的代码,可考虑使用代码审计工具进行自动安全审计。对于硬件设施,推荐把芯片型号信息从丝印上移除增加破解难度。在使用第三方功能库或使用第三方硬件时,应尽量考察其历史安全性,对第三方设备或第三方库进行安全评估,严防供应链攻击。

2.密码防护

密码相关的防御手段,主要防御的初始接入、横向移动等战术。密码的设置规则需要满足一定的强度,推荐使用NIST的密码规则以保证强度,其可有效防止暴力破解等技术,增加暴力破解的难度。不要在系统之间重复使用本地管理员帐户密码。确保密码的复杂性和唯一性,以使密码不会被破解或猜测。在程序安装后或部署到生产环境之后,应立即修改默认密码,如有可能,应定期更新使用SSH密钥的应用程序。

在密码存储的过程中,应使用高强度的HASH进行存储,应该避免明文存储。每一个用户的默认密码应随机生,避免使用固定默认密码。应尽量密码存储在云设施上,以避免被本地接触获取。在web应用的环境中,可根据当前服务的重要性,修改凭证存储策略,如高权限账户禁止缓存cookies等。在内存dump方面,有些密码会被有意或无意的存储在正在运行的进程中,如windows的lsass进程,开发者应在驱动层对这种关键进程进行隔离,使被保护进程运行在沙箱里,或者使其他进程无法对被保护进程进行内存读写操作,以防止内存被dump。最后,在密码生成时,密码应该与设备进行关联,当本设备的密码丢失,可以有效控制影响。

3.合法性校验

此种防御是指使用数字签名或其他安全手段,来验证待运行程序、待读取文件、待接收数据的合法性。此种防御主要用来对抗权限提升、防御规避、持久性控制。校验的过程中,应采用非对称加解密算法,以防止数据被篡改。

对于即将运行或即将安装的应用程序,操作系统需验证其程序签名,当不符合规则时禁止运行。对于TSL等通信协议,应校验证书的有效性与合法性,对于证书应设置过期期限,在算法选择上需尽量避免选择低版本的算法,以保证算法的强壮性。在系统启动过程中,从bootloader开始,每一步都要验证即将要启动的子系统的合法性,这样可以大大提高接触类的破解的成本,防止固件和芯片被进一步破解。在读取配置文件时,也要对配置文件或注册表中的每一个配置变量进行合法性校验,尤其在IoT设备中应该特别注意,很多时候攻击者为了达到长久驻留的目的,会修改IoT设备中的配置变量,当配置变量在程序或脚本中展开的时候,很容易造成任意执行的漏洞,达到长期驻留的目的。

4.特权提升防御

特权相关的防御手段,主要用于防御权限提升战术和持久性控制战术。攻击者通常是从低权限账户开始的,所以应从账户管理与账户策略入手。 

在账户管理上,应从本地管理员组删除不经常使用用户,必须保证在终端上,禁止管理员权限缓存,如在linux中把timestamp_timeout设置成0,强制要求用户每次执行sudo时候都输入管理员密码。分化用户组,为特定需求定制特定权限的用户组,此用户组里的用户只能做特定的事情。禁止使用管理员权限做日常操作。在windows系统上PowerShell的使用应限制为系统管理员。system服务单元文件的创建和修改也应该限定为管理员。管理员的凭证应该与任何其他账户不同。 

同时,在文件访问方面应做好文件的读取和访问权限分离,特别是禁止所有关键log日志的删除权限,以方便入侵检测。特别要注意对配置文件和注册表的权限管理,低权限用户应无权访问配置文件。在进程通信方面,应禁止和调试相关的函数的调用,并施行重要进程单独隔离的策略,防止内存抓取和注入。在公用库加载方向也需要进行权限管理,防止发生通过加载共享库提权。同时应阻止用户改变和历史记录相关的环境变量。在网络方面,应该对网络构架进行细分,不同的网络构架设置不同的权限,对敏感域应该采用网络分段管理,并隔离SNMP流量。

5.反病毒与反入侵防御

反病毒与反入侵相关防御手段适用于各个技战术环节。其可分为本地反病毒防护与网络反入侵防护。

在本地防护方面,需要管理者及时对设备固件进行更新,病毒数据库进行升级,漏洞及时用补丁修复。应按照需求进行定时定期反病毒扫描和安全漏洞扫描,安全级别较高的设备推荐以每小时为单位扫描一次。目前的网络环境是具有高对抗性的,所以理应提高安全检测级别,即开启本地反病毒引擎的rootkit检测功能和启发性检测功能。

在网络防护方面,需要对防火墙进行配置以限制非授权人员对关键系统和域控制器的访问。对于设备访问而言,需要限制端口访问,即仅允许必要的端口访问和流量进入和退出网络。同时也需要对流量中的数据进行检测,需要配合势态感知和公开威胁情报,识别流量中的恶意流量。在必要时防火墙需要具有断网自我保护的权限。

6.安全意识培养

对员工进行完整的网络安全教育培训,让员工了解勒索软件和常见网络攻击的攻击手法。培养所有员工养成良好的上网习惯,不点击来路不明的文件。不访问不可信的网站。

网络管理人员应及时备份重要的数据,并对备份数据进行断网处理,有效的数据备份可以使勒索事件危害降至最低。将重要的设备、关键的业务隔离到安全的独立区域,防止关键数据遭受来自外网和内网的攻击。



美燃油管道攻击组织DarkSide相关勒索样本技术分析

美燃油管道攻击组织DarkSide相关勒索样本技术分析

天融信

阿尔法实验室

长按二维码关注我们

本文始发于微信公众号(天融信阿尔法实验室):美燃油管道攻击组织DarkSide相关勒索样本技术分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月12日10:52:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   美燃油管道攻击组织DarkSide相关勒索样本技术分析http://cn-sec.com/archives/372480.html

发表评论

匿名网友 填写信息