2021年5月7日,美国 Colonial Pipeline 公司遭到网络攻击,导致其业务受到严重影响。获悉该事件后,微步情报局快速响应,并第一时间进行了研判分析 《 “美国进入紧急状态”?Colonial Pipeline 遭受勒索软件攻击事件分析》。随后,我们保持对该事件的跟进分析,目前的关键分析结论如下:
-
目前,关于该事件直接相关的攻击细节(包括入侵途径、攻击手法、攻击工具等)尚无法得知,但根据相关安全公司以及美国 FBI 的官方消息,已经确认该事件的始作俑者是 DarkSide 勒索组织及其 RaaS 合作伙伴。 -
根据微步在线的黑客画像系统收录的数据,DarkSide 团伙至少自2020年8月开始出现,以 RaaS 模型运营,截至目前有近百家企业被该团伙攻击,近 73.8% 的被攻击企业分布在美国,其余分别位于德国、法国、加拿大、摩洛哥等境外国家,国内鲜有相关受害者。因此,目前国内相关行业和企业并不是该团伙的主要攻击目标。 -
勒索软件这种新型威胁自面世以来,不同家族的勒索软件始终快速增长阶段,且呈现定向化、RaaS 化等特点。与此同时,针对能源、医疗、金融等关键基础设施行业的攻击案例明显增长,造成的经济、社会影响也愈发增大。我们建议相关行业、监管及企业安全部门针对勒索软件攻击的建立专项防护体系、应急响应和业务快速恢复机制,加强对于勒索软件的检测、响应及情报共享能力。 -
我们认为,企业针对勒索软件的防护应该采取不同于其他类型威胁的方案。对于勒索软件的防护应该重点放在初始入侵阶段,减少被入侵的攻击面,同时应该加强流量层面的漏洞、爆破等攻击行为的识别和攻击成功的自动判定,并快速响应处置。
2021年5月8日,美国燃油管道公司 Colonial Pipeline 官网进行通告,声称于7日得知被黑客攻击,同时联系第三方网络安全专家、执法部门和其他联邦机构启动应急响应,确定涉及勒索事件。启动应急响应后停止所有管道运行,并且关闭某些系统以便避免继续遭受攻击。
2021年5月9日,美国联邦调查局(FBI)新闻办公室声明,收到于7日收到 Colonial Pipeline 公司网络中断通知。
3.1 DarkSide 背景
值得回味的是,该勒索软件核心团队曾声明只会针对大型盈利性公司,并将他们支付的部分赎金用于慈善事业。随后在去年10月13日,DarkSide 团队通过其网站粘贴出两张 0.88BTC 的收据,受捐赠方分别为国际儿童基金会和水项目两个非盈利组织。但是由于两笔捐赠均为勒索赎金所得,而无法使用。
3.2 DarkSide 攻击手法
该勒索软件主要针对非俄语系统,确保不会在独立国家联合体(CIS)的机器中运行,并且曾经在俄语论坛 XSS 上发布相关信息,猜测该运营商为讲俄语的黑客组织,尽管目前没有证据表明俄罗斯可以从勒索软件中获取利益,但俄罗斯黑客已经渗透到美国一些关键部门。
3.3 DarkSide 组织受害者分析
3.4 疑似 DarkSide 关联组织
根据火眼公司当前披露的调查报告,基于 Darkside 勒索事件 TTPS 指纹可关联到 UNC2628、UNC2659、UNC2465 三个未知组织。当然,该关联存在一定程度的概率性,只能说明这些组织可能与 Darkside RaaS 运营机构存在合作关系。在公开报告中,火眼并未透露关于 Colonial Pipeline 公司切实的关联证据。除此之外,这三个组织当前并未公开披露。概述火眼报告中关于这三个组织的描述以及简要的 Darkside 部署流程如下。
|
|
当前发现攻击者对目标 VPN 系统进行密码喷洒类型的登录尝试,成功登录目标主机,然后借助域内主机进行横移、域控操作。最终使用 PsExec 将 Darkside 部署至域内机器。 |
|
|
攻击者渗入目标系统后,使用 TeamViewer 工具建立持久化,使用 rclone 工具窃取云端海量数据。然后部署 power_encryptor.exe 对文件进行加密并通过 SMB 协议创建赎金记录。 |
|
|
攻击者通过鱼叉邮件投递 SMOKEDHAM 后门,然后通过开源工具进行横移渗透,接着使用 PsExec和cron 部署 Darkside 勒索软件,最后攻击者将会致电受害人的客户支持热线,告诉他们数据被盗,并指示他们遵循赎金记录中的链接。 |
Colonial Pipeline 公司作为美国最大的燃油管道商,发生严重网络安全事件后,进行了快速的应急响应处理,通过相应措施避免二次损害,作为美国重要关键基础设施,美国相关联邦政府也表达高度重视,积极参与整个处理响应中。但是仍然可以看出 Colonial Pipeline 公司的 IT 和 OT 并没有将网络绝对隔离,所以目前暂未完全恢复业务。此次事件也是继 SolarWinds 供应链攻击以来对美国造成巨大影响又一次网络攻击事件,势必会引起美国政府对于加强网络安全能力关注。
-
勒索软件已经成为目前最具破坏力的网络威胁,且仍然呈爆发式增长。 根据安全厂商 CheckPoint 收集的数据表明,在过去的9个月中,美国每月勒索攻击次数几乎增加到了两倍,达到了300次,而最近几周,美国每88个公共事业组织中就有一个遭受到勒索软件攻击,较2021年初增长了34%,而美国网络安全和基础设施安全局(CISA)的官方网站专门列出一份勒索软件指南,页面上详细讲解了关于针对勒索软件的介绍和相关缓解措施。 -
此次攻击事件也展现出勒索软件攻击已经具备定向攻击的能力。
纵观勒索病毒发展历史,早期勒索软件运营模式单一且赎金较低,并且大多是针对普通用户。经过近几年的发展,勒索软件已经从 To C 转向 To B,从广撒网模式转变为定向模式,攻击方法也花招不断,除了垃圾邮件、弱口令爆破、网页挂马、漏洞组合利用等常见的方法还出现了 BitPaymer 利用 Apple 0day 漏洞攻击的案例。并且一些 APT 组织已经使用勒索软件作为攻击手段之一,这些 APT 组织表面上是使用勒索软件进行攻击,实际上却是在进行掩盖获取情报数据的目的,又或者是进行关于地缘政治目的的破败数据报复行为。所以勒索软件的攻击手法会更加具备 APT 能力的水准,定向性也更强。 -
勒索软件针对关键基础设施的攻击更为频繁,后果也愈发严重。
在近几年,与勒索软件相关的安全大事件比比皆是,其中不乏一些关键基础设施被攻击。关键基础设施包括能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、公用事业等多个领域,是一个综合实体继续顺利运作至关重要的基本资产,关乎着整个国家的发展,一旦被攻击导致无法运转,造成的损失是无法测量的,同时很有可能波及其他行业。所以针对关键基础设施行业的网络安全防御也格外重要。 -
企业应该重点加强威胁的检测和响应能力来针对性防范勒索软件的攻击。
勒索软件攻击的日益增长与攻击手法的更加精进,都在考验着企业的防御能力。特别在面对具有定向性的勒索攻击时,不能纯粹依靠传统安全软件进行防护和备份文件恢复,重点在于防御并非事后处置。需要加强纵深防御和建立快速应急响应机制与团队,针对不同业务线、网络、设备制定不同防护策略,加强边界防御管理能力,保证安全响应流畅性。
参考链接
https://www.fbi.gov/news/pressrel/press-releases/fbi-statement-on-network-disruption-at-colonial-pipeline
https://twitter.com/CISAgov/status/1391124273155219459
https://www.fmcsa.dot.gov/emergency/esc-ssc-wsc-regional-emergency-declaration-2021-002-05-09-2021
https://www.colpipe.com/news/press-releases/media-statement-colonial-pipeline-system-disruption
https://www.colpipe.com/news/press-releases/media-statement-colonial-pipeline-system-disruption
https://www.fbi.gov/news/pressrel/press-releases/fbi-statement-on-network-disruption-at-colonial-pipeline
https://www.bleepingcomputer.com/news/security/darkside-new-targeted-ransomware-demands-million-dollar-ransoms/
https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html
关于微步在线研究响应团队
本文始发于微信公众号(安全威胁情报):美国燃油管道公司Colonial Pipeline遭受勒索攻击事件分析及复盘思考
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论