时下,勒索病毒猖獗,一不小心,稍微疏忽就会中上勒索病毒。那么如何预防勒索病毒,并且中毒后如何处理呢?之前写过很多文章,但是光是策略性质的建议和处理方法,太过于死板,欠生动不好学习。本文虫虫给大家分享一个实际的勒索病毒中标后的操作和分析,通过实践来学习,希望对能抛砖迎玉能对我们有所帮助。
背景该案例源于一个实际的时间,源于社交网络上一个网友的家庭实验设备中了勒索病毒,并求助的帖子。看到帖子后安全工程师通过联系了网友,并帮助对其进行定位分析和处理。
根据分析,攻击发生在上午2:23,文件开始被加密。攻击者大概用了14分钟,在目标主机中,安装了很很多工具。比如Mimikatz和Lazagne,并启动了Dever Ransomware,其中包括SMB扫描,持久性机制和横向扩散等功能。以下部分我们将讨论该起勒索事件中涉及环境的网络架构,实时事件响应,一些有意义挖掘,攻击时间分析,Dever勒索软件信息,总结和IOCs等。
网络架构涉事环境包括为大约15台主机的内部网络。其网络环境为一个平面网络,内部使用的24位子网,openvpn使用单独一个24位子网。分析首先做的事情就是对该网络的功能和作用进行了解。下图是防火墙/网关设备的屏幕截图,图上显示对外公开映射转发的端口。
首先,网络映射了三个远程桌面的端口(3389),对应三台内网Windows主机。映射端口还包括ssh连接(22)、VNC连接(5900)等。这样我们大概了解了该环境中进行数据交互和远程管理时候使用的工具等。在深入的调查后,发现系统上还安装了多个远程管理工具,有TeamViewer,ChromeRDP和VNC。这样暴露的对外端点和攻击路径比较复杂,分析更加棘手费劲。
接着,又分析网络日志部分。首先是从控制器中查找连接日志,但很快了解到,除非在其他异地上传存储了syslog记录,否则获取日志的唯一方法是在网关上。可以通过SSH进入网关,但是它的日志每8小时滚动一次,并且没有保留历史副本。所以当时的日志已经丢了,但是节点日志还有:
分析中,用到下面一些日志:
NAS ——FreeNas(共享已加密) SSH从公网访问
MGMT工作站——Win10 RDP可从从公网访问
Utility Workstation(注入点)——Win10 RDP可从从公网访问
一个客户工作站——Win 10 RDP从公网访问
Utility Server(加密)——Win 2016 Core 不直接对公网开放
实时事件响应当事件发生时候,一个现象是到Plex服务器无法正常工作时,出现了一些错误。许多电影都丢失了,由于最近对Plex配置做过修改,没有太在意,以为是由于更改导致的。事后才发现Utility Server被勒索软件破坏。服务器显示OS文件,事件日志,应用程序,电影,游戏等文件,都被用Dever进行了加密。
奇怪的是,只对某些文件进行了加密,但这是一个很好的起点。现在知道了Dever勒索软件,又有初步目标。Dever通常会将info.txt和info.hta中标主机的桌面上,但是在该主机中没有找到这些文件。
具体原因不得而知,但是可以肯定该主机受到了攻击,并发现它要么从远程桌面或者ssh的人进入内网的人攻击,还可能是该主机上有人打开了恶意文件导致的。打开网络上的其他工作站,并在其上放下了一个代理,以寻找破坏的迹象。在发生这种情况的同时,继续浏览日志以尝试了解其来源。在完成代理程序安装的整个过程中,发现整个环境中的主机的密码都是相同的,这可能是导致问题的原因之一。随后对所有所有设备更改了密码。
应用工作站在桌面上有名为info.txt和info.hta的文件。文件截图如下:
文件中信息显示攻击者用了AOL电子邮件地址。找到这些信息后,假设是该计算机已受到攻击,并且从该计算机上运行了Dever勒索软件,但是其他多台计算机是如何受到攻击的?
这是桌面上文件的截图。可以看到Process Hacker 2应用被删除了,已被勒索软件加密。
该计算机上连接了一个外部硬盘驱动器。此外部驱动器上的所有内容均已加密,截图如下:
还有另一个名为main的共享,它映射到FreeNAS服务器。好的,现在可以假设NAS是加密的,因为Dever最有可能加密所有连接的共享和操作系统。
现在的问题是,Utility Server是如何受到攻击?后面时间线部分介绍。
通过在计算机上下载并运行了Loki,但是没有找到任何东西。捕获了RAM用于处理,还捕获了Redline软件包。
Prefetch我们知道,如果Prefetch中出现了某些内容,它就会运行。在使用Redline来抓取可Prefetch内容:下图为Prefetch目录的截图。
可以看到,mimikatz可能被丢弃并运行了多次。还能看到exes名称为dllhost和svchost,不知道它们是什么,但是根据时间戳分析可以肯定它们都是恶意的。右键单击"开始"按钮在该计算机上不起作用了,因此除了勒索软件外,肯定还有其他恶意软件。似乎已删除并运行了一个名为ps.exe的exe。纯粹猜测,应该是psexec.exe重命名为ps.exe了。注意到另一个可执行文件是lazagne.exe。这是什么呢?通过搜索,发现是GitHub上一个密码窃项目的二进制文件。LaZagne项目(github:/AlessandroZ/LaZagne),是一个开源应用程序,可以获取大量的密码,本存储在本地计算机上。Lazange支持从Windows,Linux和Mac窃取密码。它还可以从所有浏览器(例如FireFox,Chrome,Opera,Chromium等)中窃取密码。还可以从Skype,Postgressql,Git,Outlook,Keepass,FilzeZilla,OpenVPN,OpenSSH,VNC,PuttyCM,无线网络,自动登录等。
幸好,该机器没有用来登录网站,也没有太多的应用程序,所以没有什么密码被盗取。
一个启示,你是否经常在浏览器中保存密码?如果是这样,大家一定要小心哦。
Prefetch中的一些二进制文件可以绑定到勒索软件,例如taskkill.exe,netscan.exe,wadmin.exe,bcdedit,vssadmin.exe,wmic.exe,ipconfig.exe,nslookup.exe和attrib。 exe和processhacker.exe
可以使用taskkill和processhacker杀死进程,以便勒索软件可以加密所有东西。
删除了netscan并用于扫描,某些内容appears似乎ipconfig和nslookup是此工作的一部分
wbadmin用于删除备份目录:
wbadmin delete catalog -quiet
wbadmin删除目录-安静bcdedit可用于防止系统引导到恢复模式:
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
vssadmin可用于删除卷影副本
vssadmin delete shadows /all /quiet
WMIC还可以用于删除卷影副本
wmic shadowcopy delete
Prefetch中还有其他无法识别的他项目。
时间线7:19 mimikatz被投放,并运行
7:20 Lazagne运行,但日志被删除了
7:22 netscan.exe被删除并运行
7:23 成功认证为Utility Server的管理员
7:23 netscan.exe运行后,立即通过SMB连接到Utility Server。这有可能是传播方式
7:23 Utility Workstation尝试连接到Guest Workstation,但是由于它使用Utility Workstation名称为域而失败。通知登录类型3 =网络身份验证、
7:23 Utility Workstation使用Guest Workstation名称作为域成功连接到Guest Workstation。
7:23 未连接到Utility Workstation(注入点)。
7:23 Utility Workstation以管理员身份连接到Utility Server,试图连接到被拒绝的E驱动器。
7:23 Utility Workstation尝试连接到Guest Server上的print $共享,但访问被拒绝。该工作站未显示任何勒索软件迹象。
7:30 Utility Workstation上清除了所有日志。
7:31 Process Hacker 2已安装在Utility Workstation上
7:33 远程桌面会话从Utility Workstation断开。该用户名是执行Dever Ransomware的用户名。源IP地址是5.45.71.178,该IP不没有在任何公开的胁报告或列表发现。
7:44 Utility Workstation连接超时。可以看到Utility Workstation通过C$共享连接到Utility Server。该日志显示该服务器为何受到勒索软件攻击。勒索软件会自动连接扩散么?两台机器的勒索软件ID相同,这样勒索软件可以执行一次并扩展到多台计算机。
16:31 Defender重新打开并隔离了Utility Workstation上的勒索软件。
16:37 Defender隔离了更多文件和持久性密钥。
Dever
此处,不对Dever进行过多介绍,它使用AES加密文件,并且没有任何免费的解密程序可以解密加密的文件。Dever来自Phobos勒索软件家族,该家族基于Dharma AKA CrySis。Dever大约在2019年11月底开始出现,但直到2019年12月底才出现出现相关报道。
通过使用给出的AOL地址联系了攻击者,他们要求解密者支付5000美元。即使已经TB的数据进行了加密,对于任何勒索软件而言,最大的耗时是重建或还原环境所花费的时间。
Dever分析这是PeStudio的屏幕截图,显示了Dever中所有列入黑名单的字符串。可以很容易地看到此二进制文件可以创建进程,终止进程,执行外壳程序代码,修改注册表以及发现进程。
这是PeStudio的指标列表-注意35个列入黑名单的字符串,较高的VT分数,46个列入黑名单的导入和7个MITER技术。
MITER技术如下
根据VirusTotal的分析,此二进制文件的创建时间为2019-6-19,首次提交时间为2019-12-29。
通过Any.Run运行勒索软件,但没有得到假设的结果:
除了执行勒索软件和持久性外,没有看到任何网络连接。很确定这东西通过SMB中传播,但无法浮现。
在沙盒中运行它,然后每30秒立即看到以下内容。
可以证明Dever正在扫描SMB,然后有可访问的情况下感染了远程计算机/共享。实验发现Dever会识别Any.Run中某些特征,然后不会进行SMB扫描。
总结最终,网友丢失了所有数据,需要通过备份重建环境。勒索软件共计感染了三台主机,分别是Utility Workstation(注入点),Utility Server和NAS。日志已在MGMT工作站上有攻击迹象,没有成功加密的文件。
Dever使用SMB在环境中横向扩散,感染网络上的其他计算机。首次运行Dever之后,它会扫描24位内网查找新的SMB连接。它以每30秒扫描一次整个内网,通过445端口进行扫描,然后尝试连接。当计算机联机且具有相同的密码时候,计算机很可能会被勒索软件感染。
Mimikatz显然是为了防止横向扩散而丢掉面面,PSExec用于测试密码,然后将密码传递给Dever。Dever以一个帐户身份运行,但使用另一个帐户对另一台计算机进行了加密。
勒索不建议偿付索金进行解密文件,因为我们无法保证解密器是否可以正常工作,也有可能根本没有解密器。就算拿到了解密器机可以解密了,很多大文件或数据库解密后会是损坏状态,无法保证可以用。
安全建议:要在公网上使用远程桌面,TeamViewer,SSH等单因素远程管理工具。如果必须要用,建议使用VPN,并确保使用两因素身份验证。
除非绝对必要,否则不要通过SMB通信,关闭到SMB 445端口的开放。
不要在浏览器中保存密码。
在每个主机上使用不同的密码。
尽可能集中日志存储。
离线备份是对付勒索和故障的唯一法宝。
默默无闻的安全不会阻止持久的对手
监视是否关闭了诸如Defender之类的安全工具
IOCSMISP Priv 65012 / UUID
5e471206-3fb8-43d3-adfd-4806950d210f
Dever运行的命令:
wbadmin delete catalog -quiet
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
vssadmin delete shadows /all /quiet
wmic shadowcopy delete
netsh firewall set opmode mode=disable
netsh advfirewall set currentprofile state off
svhost.exe scanning /24 for 445/tcp