ATT&CK是一个图形化攻击框架,这个框架里面的内容其实就是根据各种不同的流行恶意软件攻击技术以及黑客攻击活动总结而来的,下面我们来介绍勒索病毒黑客组织在利用勒索病毒攻击的时候,在ATT&CK框架的各个不同的阶段使用的一些常用的攻击技术和攻击流程。
勒索病毒攻击者通过RDP方式进行攻击,RDP服务器也不是唯一的外部远程服务目标,攻击者在初始访问阶段还会通过各种VPN设备的漏洞进行攻击,相关的漏洞信息列表,如下所示:
CVE-2018-13379 (Fortinet FortiOS)
CVE-2019-19781 (Citrix Application Delivery Controller (ADC) and Gateway)
CVE-2019-2725 (Oracle WebLogic Server)
CVE-2019-11510 (Pulse Secure Pulse Connect Secure (PCS))
CVE-2019-11539 (Pulse Secure Pulse Connect Secure (PCS))
CVE-2019-18935 (Telerik UI for ASP.NET AJAX)
CVE-2020-5902 (BIG-IP)
CVE-2020-0688 (Microsoft Exchange Server)
2020年开始越来越多地使用恶意软件来获取要访问的目标网络的初始信息,同时大量的僵尸网络运营商与勒索病毒黑客组织合作,将恶意软件投递到目标网络,使用网络钓鱼等方式,在邮件中附带各种恶意Office文档,这些Office文档里面都包含恶意的宏代码,用于安装各种恶意软件,常见的一些使用钓鱼邮件进行传播安装的恶意软件家族,如下所示:
Emotet、TrickBot、Qakbot、Dridex、IcedID、Zloader、SDBBot、Buer、Bazar等。
前期初始阶段通过钓鱼邮件进行攻击之后,需要受害者执行相关的交互操作,执行恶意软件的附件,然后通过一些系统组件接口来执行附件中携带的恶意代码,例如:PowerShell、CMD、VBScript、JScript等系统组件,例如Dridex家族,使用PowerShell命令加载Payload执行,如下所示:
利用系统注册表自启动项仍然是勒索病毒攻击使用的最常见的持久化手段,例如Bazar Loader就是通过将路径写入系统加载器来实现自启动操作,相应的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,勒索病毒还会使用一些其他相关的注册表自启动项可以实现持久化操作,就不一一列举了。
APT27黑客组织在进行勒索病毒攻击的时候还曾使用DLL劫持的方式来实现持久化操作,如下所示:
同时创建计划任务也是常用的一种常见的持久化操作方法,Qakbot就曾使用过这种攻击方法,如下所示:
攻击者要想获得受害者主机的管理员特权,而又不通知受害者,必须要绕过系统UAC防护,一般勒索病毒会通过使用一些系统漏洞的攻击手法来实现,例如Prolock勒索病毒会利用CVE-2019-0859这个Windows提权漏洞,获得管理员权限,Sodinokbi(REvil)勒索病毒会使用CVE-2018-8453系统漏洞来进行提权操作。
攻击者为了逃避安全产品的检查,会使用一些系统工具来加载恶意软件,例如使用BITS来下载恶意软件,如下所示:
除了BITS,有些攻击者会使用msbuild.exe、regsvr32.exe等来执行恶意操作,还会使用各种混淆加密技术对恶意软件进行二次封装,以躲避杀毒软件的静态查杀,一些攻击者在攻陷系统之后,会使用一些专业软件去关闭系统的安全软件。
攻击者在攻击的过程中会使用一些黑客工具来获取系统的凭证信息,例如Mimikatz等工具,还会使用一些暴力破解工具,在内网环境中扫描,获取更多的系统的访问凭证信息,例如NLBrute和Hydra都是攻击者非常喜欢使用的系统暴破工具。
攻击者在进行内网渗透的时候,为了发现更多的服务器,通常会收集相关的Active Directory信息,一般使用AdFind工具进行信息扫描,通常使用的扫描脚本,如下所示:
Active Directory侦察的另一个常用工具是BloodHound(SharpHound),它可以使攻击者收集和分析有关用户、组和域信任的信息。
攻陷系统之后,往往需要进行横向移动操作,永恒之蓝(Eternal Blue)是最常见的漏洞用于横向移动,此前在全球范围内大爆发的WannaCry等勒索病毒就是利用了永恒之蓝在内网中进行横向传播,同时在一些勒索病毒的攻击中,还会使用一些其它的系统漏洞进行横向移动,例如一些勒索病毒会利用Zerologon(CVE-2020-1472)漏洞建立易受攻击的Netlogon会话并获得域管理员特权,从而实现横向移动。
在一些布署了PsExec执行工具的企业环境中,攻击者有时还会使用PsExec等工具来进行横向移动感染更多的服务器机器,例如Netwalker勒索病毒会使用如下脚本,进行横向移动,如下所示:
Ryuk勒索病毒则使用了另外一种横向移动的攻击手法,通过远程访问协议直接复制勒索病毒到远程服务器,如下所示:
同时RDP也是一种常用的横向移动的攻击方法,攻击者会使用脚本开启系统服务器的RDP访问权限,然后进行横向移动操作,如下所示:
在执行渗透之后,攻击者会使用常用的一些归档程序,例如WinRAR或7-Zip对数据进行压缩处理,例如:Maze勒索病毒黑客组织会将数据分割成多个不部分。
同时在收集数据的时候,一些勒索病毒会有目地的去收集受害者的重要数据,例如:Clop勒索病毒黑客组织会专门收集企业中的一些高层管理人员使用的工作站数据等。
还有一些勒索病毒黑客组织会收集企业共享网络驱动器上存储的敏感数据。
在C2通讯阶段,攻击者一般使用一些加密算法,对通信流量进行加密处理,例如:IcedID和Zloader两款恶意软件家族,会使用TLS/SSL对C2通讯数据进行加密处理,攻击者最受欢迎的加密算法是RC4和简单的XOR算法。
数据编码也会使C2通信流量难以检测,例如:Emotet、Hancitor和Buer使用BASE64编码,Valak使用ASCII编码,还有一些勒索病毒使用压缩算法,例如Hancitor使用了LZNT-1压缩算法。
C2流量隐写术也是攻击者常用的一种攻击手法,例如:IcedID会从黑客服务器上下载一个.png文件,其中PNG图片中包含有恶意Payload代码。
攻击者还会使用一些商用的合法工具访问远程受感染的网络,例如:Sodinokibi和Netwalker这两款勒索病毒黑客组织会使用AnyDesk和TeamViewer等远程工具,直接与远程受害者服务器进行交互。
勒索病毒黑客组织在攻击成功,获取企业的重要的数据之后,一般会通过建立暗网网站发布获取到的企业重要数据,例如:DoppelPaymer勒索病毒黑客组织在某暗网网站公布的企业数据,如下所示:
一些勒索病毒黑客组织,还会对获取的企业重要数据进行非法拍卖,例如:Sodinokibi(REvil)勒索病毒黑客组织在某网站上拍卖的企业数据,如下所示:
同时一些勒索病毒黑客组织,不会直接公布企业的数据,往往会通过展示渗透攻击成功之后的一些证据来证明企业的数据被他们盗取了,来逼迫受害者交赎金,勒索病毒黑客组织一般会通过窃取大块数据的形式绕过检测,例如:Maze勒索病毒黑客组织,会创建多个归档文件,其中包含要窃取的数据,如下所示:
最后勒索病毒黑客组织还会使用云存储的方式,这种云存储的方式也是勒索病毒黑客组织常使用的一种方式,他们会将获取到的企业数据存储到类似于MEGA或DropMeFiles等的云服务器上。
勒索病毒攻击者攻击的目标主要就是为了加密企业数据,因为很多勒索病毒是通过RaaS模式进行分发的,并且由于每个勒索病毒拥有多个不同的会员,因此相应的TTPS会发生变化,一些勒索病毒是公开的,例如:Sodinokibi(REvil)、Netwalker和DarkSide等,还有一些勒索病毒没有公开,例如:Ryuk、DoppelPaymer和Egregor等,大多数勒索病毒还会内置相应的命令,禁用或删除系统恢复功能,例如:Netwalker勒索病毒会使用WMI删除磁盘卷影副本,同时勒索病毒开发者通常使用强大的加密算法,在没有密钥的情况下基本是无法解密文件,一些常用的勒索病毒使用的加密算法,如下所示:
勒索病毒使用上面的加密算法,没有密钥使受害者无法解密,如果需要解密数据,就必须交赎金,同时勒索病毒黑客组织还会通过公开盗取的企业重要数据的方式,来逼迫受害者交赎金。
2021年勒索病毒黑客组织的攻击活动早已经开始了,而且似乎比2020年更多了,通过监控已经发现有多款勒索病毒的最新变种样本,还出现了很多的新型勒索病毒家族,自从上次Avaddon勒索病毒的解密工具被公布之后,Avaddon勒索病毒运营商也已经在某地下黑客论坛上公布了他们V2.0最新版本,如下所示:
可以预见,2021年勒索病毒的攻击会更加猛烈,攻击手法会更加复杂,参与勒索病毒攻击的黑客组织会更多,全球网络安全威胁已经无处不在,黑客组织不断地在对目标发起攻击或者在寻找着下一个攻击目标。