爱尔兰卫生部遭Conti勒索软件攻击说明与建议

  • 事件简介

爱尔兰健康服务管理署(HSE)于5月14日遭到Conti勒索软件攻击后,迫使其网络中断,也造成至少一家医院关闭所有门诊。5月17日Conti又针对HSE主管机关爱尔兰卫生部(DoH)发动袭击,爱尔兰政府警告,在勒索软件攻击DoH之后,有可能泄露机敏的医疗信息与其他患者个人资料。

新闻来源网址:

https://www.bleepingcomputer.com/news/security/conti-ransomware-also-targeted-irelands-department-of-health/

  • 事件说明
    • 一、 爱尔兰卫生部遭攻击事件概述
  1.  5月13日下午,爱尔兰国家网络安全中心(National Cyber Security Centre,NCSC)被告知卫生部(Department of Health,DoH)网络上存在可疑的攻击活动后,立即与美国卫生部及第三方安全厂商一起进行了一项调查,以确认任何可能威胁的性质与程度。
  2. 初步调查显示怀疑存在远程访问工具cobalt strike Beacon,恶意攻击者经常使用该工具在执行勒索软件有效负载前,于环境中进行横向移动。
  3.  5月14日大约早上7 点,NCSC被告知有严重事件影响爱尔兰健康服务管理署(Health Service Executive,HSE)系统。最初的报告表明,受到人为操控的Conti勒索软件攻击,严重破坏了许多系统,因此必须关闭大多数HSE系统。
  4.  5月14日清晨,在DoH网络上也检测到恶意的网络活动,但由于在调查过程中结合了防病毒软件与其他工具的部署,检测到并停止了勒索软件的尝试执行。
  5. 为了评估与限制影响,HSE决定关闭其所有IT系统,以作为预防措施。
  6. NCSC已启动其紧急应变措施,并正对HSE与DoH提供支持及协助,以快速从攻击事件恢复正常运作。
  7. NCSC还继续监控其他网络,以解决进一步攻击的风险。
  8. 进一步分析此网络攻击之后,NCSC已向各单位发布了适当的建议。
  9. HSE限制了与其他医疗保健提供商的网络连接,以做为预防措施。
  10. 在HSE勒索软件事件发生后,Conti组织声称可以存取HSE的网络超过两个星期,并且能够窃取700 GB的未加密档案,包括员工与患者的信息、财务报表、薪资单及合约等。
  11. 要求HSE需要支付2,000万美元的赎金,以从其服务器中删除所有被盗的数据并提供解密程序。
    • 二、 Conti勒索软件简介

Conti勒索软件是使用一种勒索软件即服务(RaaS)运作,自2020年以来,Conti背后的组织已建立了一个站点,可以从该站点泄漏勒索软件窃取得到之档案,而该组织被认为是Ryuk勒索软件家族的继承者被称为WizardSpider,总部设在俄罗斯。去年11月,国内工业计算机大厂研华科技(Advantech)即遭Conti勒索软件之攻击。

Conti勒索软件之攻击方式大致如以下方式:

  1. 初始存取

该勒索软件可能是由于受到BazarLoader感染而进入系统,这可能是透过网络钓鱼电子邮件导致,其中包含与Google Drive连接,进而下载恶意软件。

  1. 横向运动与防御规避

攻击者还透过排程以及使用批处理文件来停用安全工具,且在获得网域管理者的凭证后,攻击者就可以自由地在网络上进行横向移动。

  1. 凭证存取

获得有关网域帐户的信息之后,攻击者便使用ntdsutil转存域控制器之凭证。

  1. 资料转出

攻击者使用名为RClone的工具来执行数据转出,该工具是一个开放式程序代码工具,用于将档案同步到指定的云端储存。

  1. 影响

在勒索软件转出数据并派送到目标端点后,档案并未被加密,且还透过使用WMI删除阴影复制(shadow copy)来禁止系统还原。

    • 三、 NCSC提供之相关信息
      • (一) 攻击策略(TTPs)

NCSC观察到了Conti勒索软件的一变种,并且在初始分析中显示了以下数据:

  1. 在系统上发现Cobalt Strike beacons说明在执行Conti勒索软件有效负载之前,曾被用于在环境中横向移动。
  2. 使用WMIC.exe删除阴影复制:

cmd.exe /c C:\Windows\System32\wbem\WMIC.exe shadowcopy  where "ID=’{REDACTED}’" delete

  1. 列举内部网络之子网段,并保存结果到档案。
  2. 使用多个批处理文件(.bat)将恶意软件复制到端点。
  3. 透过psexec.exe利用受感染的使用者凭证,于受感染的使用者端点上执行恶意负载。
  4. 发现32位可执行文件的Conti勒索软件。
  5. 恶意软件尝试加密除了以下檔名以外的所有档案:

CONTI_LOG.txt、readme.txt、* .FEEDC、* .msi、* .sys、* .lnk、* .dll及* .exe

  1. 恶意软件开始是透过使用无效参数呼叫许多伪造的WinAPI来刻意引发异常,这些是由恶意软件处理,以使用反仿真/沙盒逃避(anti-emulation/sandbox evasion)技术。
  2. 加密的档案以.FEEDC的附檔名重新被命名。
      • (二) 对应到MITRE ATT&CK框架
  3. T1047:Windows管理规范(Windows Management Instrument)
  4. T1106:原始API(Native API)
  5. T1129:共享的模块(Shared Modules)
  6. T1027.002:软件封装(Software Packing)
  7. T1036:伪装(Masquerading)
  8. T1564.003:隐藏窗口(Hidden Window)
  9. T1497.001:虚拟化/沙盒:系统检查(Virtualization/Sandbox Evasion:System Checks)
  10. T1124:侦测系统时间(System Time Discovery)
  11. T1083:侦测档案与目录(File and Directory Discovery)
  12. T1049:侦测系统网络连接(System Network Connections Discovery)
  13. T1057:侦测程序(Process Discovery)
  14. T1016:侦测系统网络组态配置(System Network Configuration Discovery)
  15. T1135:侦测网络共享(Network Share Discovery)
  16. T1486:受加密影响的数据(Data Encrypted for Impact)
  17. T1490:禁止系统还原(Inhibit System Recovery)
      • (三) 入侵威胁指标(IoCs)
      • (四) 相关防范措施

项次

Hash 256

备注

1

d21c71a090cd6759efc1f258b4d087e82c281ce65a9d76f20a24857901e694fc

Conti

2

234e4df3d9304136224f2a6c37cb6b5f6d8336c4e105afce857832015e97f27a

Cobalt Strike

3

1429190cf3b36dae7e439b4314fe160e435ea42c0f3e6f45f8a0a33e1e12258f

Cobalt Strike

4

8837868b6279df6a700b3931c31e4542a47f7476f50484bdf907450a8d8e9408

Cobalt Strike

5

a390038e21cbf92c36987041511dcd8dcfe836ebbabee733349e0b17af9ad4eb

Cobalt Strike

6

d4a1cd9de04334e989418b75f64fb2cfbacaa5b650197432ca277132677308ce

Cobalt Strike

7

5a2e947aace9e081ecd2cfa7bc2e485528238555c7eeb6bcca560576d4750a50

Lazagne

8

_EXE.bat

檔名

9

_COPY.bat

檔名

NCSC建议包括:

        • 1. 隔离域控制器
        • 2. 管制进出因特网之联机
        • 3. 建立用于重建与恢复运作的干净VLAN
        • 4. 阻挡恶意IP及网域
        • 5. 保护特权账户
        • 6. 强化端点防护
        • 7. 抹除、重建及更新所有被感染的设备
        • 8. 确保防病毒软件在所有系统上皆为最新状态
        • 9. 确保所有硬设备之漏洞均已修补,并且已更新到最新
        • 10. 使用异地备份来还原系统,在还原之前,请确认备份未受到恶意软件的攻击。
        • 11. 还原端点设备
        • 12. 根据需要重新映像设备
        • 13. 重置密码凭证
        • 14. 重新整合受隔离的系统
        • 15. 还原服务

你可能感兴趣的:(linux,安全漏洞)