一、事件背景
2021年5月,綠盟科技CERT監(jiān)測到REvil/Sodinokibi勒索家族的多起活動,REvil為Ransomware Evil(又稱Sodinokibi)的縮寫,是一個私人勒索軟件即服務(wù)(RaaS)組織。于2019年4月首次被發(fā)現(xiàn),在一年內(nèi)就已被用于一些知名網(wǎng)絡(luò)攻擊,2019年8月的PerCSoft攻擊,2020年1月的Travelex勒索軟件攻擊,及2020年1月的Gedia Automotive攻擊等事件。近期,該組織入侵了蘋果公司的供應(yīng)商,并竊取了蘋果公司即將推出的產(chǎn)品機密原理圖。
多數(shù)網(wǎng)絡(luò)安全專家認為,REvil是以前一個臭名昭著但已解散的黑客團伙GandCrab的分支。該推測源于REvil在GandCrab停止運營后立刻開始活動,且二者使用的勒索軟件存在大量共享代碼。
二、組織分析
Sodinokibi運營商通常雇用黑客攻擊者進行初始入侵。他們的攻擊往往從熟悉的技術(shù)開始,如帶有魚叉式釣魚鏈接或附件的惡意郵件、使用有效賬戶的RDP訪問、已被入侵的web網(wǎng)站和漏洞利用等。并且還會使用一些對目標具有針對性的技術(shù)。
Sodinokibi家族采用勒索軟件即服務(wù)的模式,意味著分發(fā)的攻擊者將向運營商支付最新版本的使用費,并由勒索組織為他們運營基礎(chǔ)設(shè)施。在Sodinokibi的配置中有兩個字段,將跟蹤客戶端和部署勒索軟件期間的特定客戶端活動。
三、攻擊手法分析
Sodinokibi病毒本身并不具備自動傳播功能,主要依靠攻擊者手動傳播,但會通過掃描局域網(wǎng)共享資源,嘗試加密共享文件。勒索病毒團伙對特定目標進行長期滲透,獲取內(nèi)網(wǎng)權(quán)限并控制關(guān)鍵生產(chǎn)設(shè)施(例如域控主機),然后通過特定方式(例如域策略、PsExec遠程連接執(zhí)行等)在內(nèi)網(wǎng)中傳播加密病毒主體程序。在入侵過程中,攻擊者使用了很多類似APT組織的手段,如利用CobaltStrike等遠控木馬長期駐留、收集敏感文件、白加黑實現(xiàn)勒索病毒免殺等。
某案例中,攻擊者通過powershell命令禁用Windows Defender的實時保護:
通過共享拷貝與wmic命令,將勒索病毒樣本拷貝到目標主機并執(zhí)行:
或者通過域控下發(fā)組策略的方式,將勒索病毒樣本拷貝到終端并執(zhí)行。勒索病毒本體具有有效數(shù)字簽名,并采用了白加黑的方式,躲避殺毒軟件查殺。
攻擊者還會使用powershell或MSBUILD命令執(zhí)行文件加載CobaltStrike 遠控木馬以實現(xiàn)長期權(quán)限維持。
病毒本身并不具備系統(tǒng)駐留功能,不會讀寫被加密終端的任何啟動項。但在一些案例中發(fā)現(xiàn),部分攻擊者通過批處理的方式新建定時計劃任務(wù)來不斷啟動加密程序,以便達到感染新文件、新存儲介質(zhì)的目的。
REvil家族在滲透的過程中除了投放勒索病毒,還會收集上傳被攻擊系統(tǒng)的文件。某案例中,勒索信提到“我們還從您的服務(wù)器下載了大量敏感數(shù)據(jù),如果您不付款,我們將會把您的文件上傳到我們的公共博客”。
在本地開啟網(wǎng)絡(luò)共享,并通過psexec工具,利用通用口令,批量將users.ps1拷貝到目標主機。
使用psexec命令,批量執(zhí)行拷貝到目標主機的users.ps1文件。
攻擊者會通過powershell腳本搜集系統(tǒng)敏感文件并上傳。腳本作用:收集目標主機120天內(nèi)創(chuàng)建的指定后綴文件,并上傳到目標主機共享目錄。
通過注冊表信息,確認攻擊者安裝了TntDrive客戶端,并將云存儲對象掛載到本地磁盤U(攻擊者上傳文件的共享目錄)。
四、CobaltStrike分析
原始powershell代碼使用powershell base64編碼:
解碼后內(nèi)容如下:
進行二次解碼,獲取到powershell真實代碼,功能為將腳本中的數(shù)據(jù)進行異或,加載到內(nèi)存中執(zhí)行。此腳本為Cobaltstrike powershell形式的payload。
將加載到內(nèi)存中的內(nèi)容恢復(fù)成二進制文件,可以獲取到CS beacon的回連地址。通過回連地址發(fā)現(xiàn),此shellcode是CS的SMB beacon,主要用于內(nèi)網(wǎng)滲透。
五、勒索樣本分析
5.1 釋放本體
樣本入口如下:
會釋放出一個exe和一個dll到臨時目錄,并啟動進程MsMpEng.exe
釋放的MsMpEng.exe文件本身無惡意功能,主要用于給Mpsvc.dll提供運行環(huán)境,病毒的所有行為都在該dll文件中。接口為Mpsvc.dll的導(dǎo)出函數(shù)ServiceCrtMain:
導(dǎo)出函數(shù)ServiceCrtMain任務(wù)是:
PE如下:
還原PE標記,使用PE文件解析器可正常解析,但導(dǎo)入表被加密,后來發(fā)現(xiàn)病毒手動調(diào)用要使用的API(動態(tài)解密)。
該PE文件為病毒本體,到此病毒本體釋放完成。
病毒本體概覽:
5.2 病毒配置表
該勒索病毒有張配置表,該配置表單主要記錄了病毒加密行為以及勒索文本如下:
文件目錄排除:
“fld”:[“$windows.~bt”,”intel”,”google”,”windows”,”torbrowser”,”$windows.~ws”,”applicationdata”,”mozilla”,”windows.old”,”perflogs”,”appdata”,”msocache”,”boot”,
“systemvolumeinformation”,”programfiles”,”programfiles(x86)”,”$recycle.bin”,”programdata”],
文件排除:
“fls”:[“thumbs.db”,”bootsect.bak”,”desktop.ini”,”ntldr”,”ntuser.dat”,”autorun.inf”,”iconcache.db”,”boot.ini”,”bootfont.bin”,”ntuser.ini”,”ntuser.dat.log”],
文件擴展名排除:
“ext”:[“exe”,”mod”,”shs”,”cpl”,”idx”,”diagcfg”,”ico”,”nomedia”,”sys”,”cmd”,”key”,”msp”,”msstyles”,”bin”,”rom”,”bat”,”cur”,”diagcab”,”ldf”,”dll”,”scr”,”hta”,”rtp”,”hlp”,”theme”,”msi”,”com”,”prf”,”spl”,”wpx”,”deskthemepack”,”diagpkg”,”mpa”,”icns”,”ps1″,”drv”,”ics”,”nls”,”adv”,”msu”,”cab”,”lnk”,”ocx”,”ani”,”themepack”,”icl”,”msc”,”386″,”lock”]},
文件目錄移除:
“wfld”:[“backup”],
停用服務(wù)清單:
“prc”:[“mydesktopqos”,”thebat”,”synctime”,”onenote”,”mspub”,”dbsnmp”,”isqlplussvc”,”tbirdconfig”,”oracle”,”xfssvccon”,”wordpad”,”agntsvc”,”sqbcoreservice”,”ocautoupds”,”firefox”,”msaccess”,”thunderbird”,”excel”,”outlook”,”encsvc”,”visio”,”powerpnt”,”ocomm”,”steam”,”mydesktopservice”,”ocssd”,”sql”,”winword”,”dbeng50″,”infopath”]
殺死服務(wù)清單:
“svc”:[“veeam”,”sql”,”svc$”,”backup”,”sophos”,”vss”,”memtas”,”mepocs”]
勒索文本:
[+] Whats Happen? [+]
Your files are encrypted, and currently unavailable. You can check it: all files on your system has extension u89416xh.
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
[+] What guarantees? [+]
………………………………..
并且病毒會判斷所感染計算機使用的語言,如下:
使用函數(shù)GetUserDefaultUILanguage,GetSystemDefaultUILanguage返回的ID和列表框中的ID不同,那么為感染目標,通過此處來看修改非目標計算機語言可排除感染該病毒。病毒會創(chuàng)建互斥體確保唯一運行,病毒會多次檢查自己的句柄權(quán)限是否為管理員權(quán)限,如果權(quán)限不夠?qū)匦乱怨芾韱T權(quán)限重新啟動自己,并且激活相關(guān)權(quán)限。
5.3 主體功能
5.3.1 本地加密
病毒實際的行為是在Sub_F4476F_Start函數(shù)中,如下:
病毒首先清空回收站,關(guān)閉清單中的相關(guān)服務(wù),殺死清單中進程,然后在激活相關(guān)權(quán)限的情況下,開始加密功能。主要使用FindFirstFile 和FindNextFile來查找所有文件,使用salsa20+AES的算法進行文件加密。
在加密的過程如果發(fā)現(xiàn)文件為目標感染文件,但被進程占用,病毒會調(diào)用terminateProcesss結(jié)束相關(guān)進程,再進行加密。
加密函數(shù)如下:
網(wǎng)絡(luò)磁盤加密
病毒也會同時對網(wǎng)絡(luò)磁盤中的文件進行加密,如下:
5.3.2 嘗試加密局域網(wǎng)共享文件
在加密的過程中病毒有枚舉局域網(wǎng)計算機的行為,主要是查找局域網(wǎng)共享,嘗試加密共享文件。
5.4 顯示桌面勒索背景
在加密功能完成以后會通過設(shè)置注冊表設(shè)置桌面背景為勒索圖片。
六、勒索軟件防范建議
- 加強企業(yè)員工安全意識培訓,不輕易打開陌生郵件或運行來歷不明的程序;
- 盡量排除危險端口對外開放,利用IPS、防火墻等設(shè)備對危險端口進行防護(445、139、3389等);
- 開啟Windows系統(tǒng)防火墻,通過ACL等方式,對RDP及SMB服務(wù)訪問進行加固;
- 通過Windows組策略配置賬戶鎖定策略,對短時間內(nèi)連續(xù)登陸失敗的賬戶進行鎖定;
- 加強主機賬戶口令復(fù)雜度及修改周期管理,并盡量排除出現(xiàn)通用或規(guī)律口令的情況;
- 修改系統(tǒng)管理員默認用戶名,排除使用admin、administrator、test等常見用戶名;
- 安裝具備自保護的防病毒軟件,防止被黑客退出或結(jié)束進程,并及時更新病毒庫;
- 及時更新操作系統(tǒng)及其他應(yīng)用的高危漏洞安全補;
- 定時對重要業(yè)務(wù)數(shù)據(jù)進行備份,防止數(shù)據(jù)破壞或丟失。
七、產(chǎn)品防護
針對此類事件,綠盟科技網(wǎng)絡(luò)入侵防護/檢測系統(tǒng)(IPS/IDS)、綜合威脅探針(UTS)與下一代防火墻 (NF)已發(fā)布規(guī)則升級包。請相關(guān)用戶升級至最新版本規(guī)則,以形成安全產(chǎn)品防護能力。產(chǎn)品規(guī)則版本號如下:
產(chǎn)品 |
升級包版本 |
升級包下載鏈接 |
IPS/IDS規(guī)則包 |
5.6.9.25418 5.6.10.25418 5.6.11.25418 |
http://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.9 http://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.10 http://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.11 |
UTS規(guī)則包 |
5.6.10.25418 |
http://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.0 |
NF規(guī)則包 |
6.0.1.850 6.0.2.850 |
http://update.nsfocus.com/update/listNewNfDetail/v/rule6.0.1 http://update.nsfocus.com/update/listNewNfDetail/v/rule6.0.2 |
八、IOCs
835f242dde220cc76ee5544119562268
7d1807850275485397ce2bb218eff159
8cc83221870dd07144e63df594c391d9
主機特征:
%TEMP%\MsMpEng.exe
%TEMP%\Mpsvc.dl