Buddy Tancio,Ryan Maglaque,Cenen Enalbes和Jay Yaneza的
。 一个例子是Ryuk勒索软件(被检测为Ransom_RYUK.THHBAAI),该软件于2018年12月因其扰乱了几家主要报纸的运营而声名狼藉。 Checkpoint在2018年8月的早期分析指出,Ryuk仅用于有针对性的攻击,其主要目标是受害者的重要资产。 在12月攻击发生前的几个月,Ryuk攻击设法从各种大型企业中勒索了价值超过60万美元的比特币。
Trend Micro的受管检测和响应(MDR)和事件响应团队调查了两次单独的Ryuk攻击,彼此之间似乎几乎没有共同之处。 第一种情况涉及使用MikroTik路由器作为C&C服务器来传播Ryuk的TrickBot运营商,而第二种情况涉及攻击者设法获得对管理员帐户的访问权限,以便在网络内部部署Ryuk。 除了2018年的事件外,这些新攻击还强烈表明该恶意软件背后的威胁行为者正在扩大其范围。
案例1:Ryuk和Trickbot通过利用受损的MikroTik路由器在组织内传播
第一起事件是攻击者使用TrickBot(通过Eternal Blue漏洞以及所收集的凭据来进行横向移动)来部署Ryuk。
MikroTik路由器最有可能被选中,因为针对这些特定模型的漏洞利用程序已经可以使用-威胁行动者可以轻易地破坏未打补丁的Mikrotik路由器,并将其转变为C&C服务器。 此外,它还可以用于融合到组织的网络中。 识别出的MikroTik路由器的版本还表明,攻击者可能已经使用了RCE(远程执行代码)漏洞CVE-2018-1156和CVE-2018-14847,而后者与2018年8月用于加密劫持活动的漏洞相同
感染链始于包含TrickBot下载器的恶意垃圾邮件,该下载器一旦下载,将通过两种方法在网络内传播:第一种是通过EternalBlue的SMB攻击;第二种是通过SMB利用EternalBlue。 第二个则使用结合了多个模块的收集到的凭据。 然后,Trickbot与充当C&C服务器的受威胁的面向互联网的Mikrotik路由器进行通信,以从受感染的计算机发送和接收指令。
TrickBot可用于横向移动并感染尽可能多的机器。 然后,它会在随机确定的时间部署Ryuk。
Trickbot如何在网络内横向移动的详细信息 当TrickBot危及一台机器时,它会与模块库捆绑在一起,这些模块用于执行侦察,收集凭据并进行横向移动。 我们之前的文章“ Trickbot的大把戏”和“ TrickBot展示了新的技巧:密码捕获器模块”中详细讨论了这些模块。
下表显示了用于特定任务的TrickBot模块的摘要: 任务 模块
从受感染用户的系统中收集信息 systeminfo –计算机规格(操作系统,体系结构,处理器) networkdll –收集机器数据(用户名,域名等)
感染系统中的更多计算机 wormdll – SMB漏洞(MS17-010) sharedll –将副本复制到C $或ADMIN $的管理共享中 Tabdll
隐藏凭据并拦截与某些银行站点的连接 注入DLL 导入dll 邮件搜索者 pwgrab
用于反向外壳的PowerShell Empire模块 NewBCtestnDll64
列表中两个最值得注意的模块是wormdll32和NewBCtestnDll64。 第一个是wormdll32,是用于通过Eternal Blue漏洞执行横向移动的模块。 另一个NewBCtestnDll64生成一个PowerShell脚本,该脚本下载Empire PowerShell。 这将建立反向外壳,并充当受感染机器内的后门。 它执行并下载Empire PowerShell,如下图所示:
Empire PowerShell为威胁参与者发起攻击提供了更大的灵活性,因为它提供了广泛的模块,可用于特权升级,横向移动,持久性和侦察等。
TrickBot模块的配置文件还显示了受感染的计算机与MikroTik路由器IP地址(通过MDR传感器发现)进行了入侵。
案例2:用于部署Ryuk的组织安全漏洞
第二个示例涉及攻击者通过获取管理员访问权限在网络内部部署Ryuk。 在这种情况下,拥有被盗管理凭据的攻击者将能够执行以下操作: 禁用安全软件。 将滴管转移到系统中。 加载Ryuk勒索软件以加密多台服务器。
此表格要求攻击者已经渗透并能够在内部网络中自由移动。 软件分发工具使用的服务帐户也构成了其他目标,这些帐户在域中的所有工作站和服务器上都具有管理员访问权限。 在我们处理的事件中,威胁参与者广泛使用Powershell来横向移动到其目标,如下图所示:
下面的屏幕截图显示了威胁行为者用来转移 kill.bat 的代码。 在这种情况下,用于分发kill.bat的帐户是与Microsoft Systems Center Operations Manager关联的服务帐户-该帐户对网络中的所有主机都有提升的特权。
一旦复制并执行 kill.bat ,它会使用多种方法来禁用任何安全软件(如下图所示),然后复制Ryuk勒索软件文件。
除了执行内置的Windows实用程序 taskkill 终止安全软件外,它还会尝试其他方法来停止同一组服务。 在我们处理的事件中,威胁参与者还使用了内置的Windows实用程序 net stop ,并且为了安全起见,通过使用 sc的内置Windows方法禁用了服务。 配置。
执行后, svchost.exe 将Ryuk放到系统中,对服务器和工作站进行加密。 但是,攻击者并未对所有域控制器进行加密,因为发现组织的五个域控制器中只有三个是加密的。
值得一提的是,威胁执行者还使用了通过UNC路径和psexec复制文件的命令行方法。
托管检测和响应(MDR)如何帮助对抗Ryuk
我们在这里讨论了Ryuk的两种不同情况,以及每种情况如何给管理员和安全人员带来不同的挑战。
在第一种情况下,与大多数垃圾邮件攻击一样,斗争不仅在于识别恶意内容,还取决于组织每天需要处理的数据量。 在数据的海洋中寻找异常值可能非常困难,特别是对于那些既不具有知识又没有经验来正确识别危险信号的人员而言。 它需要技能和资源来确定过多警报中哪些仅是“灰色警报”,而哪些实际上实际上是恶意的。 此外,IT和安全人员可能没有经过培训,或者缺乏关联各种要素以准确确定所面临威胁的性质的经验。
对于第二种情况,它显示了组织如何面对那些有权访问网络关键部分的人员的内部漏洞,将很难在短时间内检测和解决攻击。 迅速做出反应的需求尤为重要,因为证据表明这可能是大规模针对性运动的一部分。
在这两种情况下,趋势科技MDR和IR团队都能够快速识别出受感染的计算机以及攻击链。 MDR从端点,网络和服务器等各种来源收集数据,以确定攻击的来源,分布和传播-因此可以更清晰地了解组织所处理的情况。 例如,在第一种情况下,团队使用IoT设备搜索引擎Shodan来确定与众多机器通信的外部IP地址实际上是面向公众的MikroTik路由器。 一开始的交流似乎正常或微不足道,这使它们容易被未经培训的人员所忽视。
除了精通内部和外部威胁情报资源外,MDR团队还具有使用趋势科技套件中高级安全解决方案的经验。 其中之一就是趋势科技™深度发现™解决方案,该解决方案可用于通过识别受感染的系统并将其关闭来防止攻击者的内部访问。 另一个是Deep Discovery Inspector,它可以检测到组织内部威胁的横向移动,就像第二个Ryuk示例中那样,发现了从未加密的域控制器到MSP服务器的横向移动。
趋势科技解决方案
可以为“永恒蓝色”(SMB漏洞利用)触发的规则名称列表如下:
深度威胁发现设备规则名称: 规则2435-MS17-010-Metasploit-SMB(请求) 规则2435-MS17-010-远程执行代码-SMB(请求) 规则2528-MS17-010-远程执行代码-SMB(请求)-变体2
趋势科技服务器深度安全防护系统IPS规则名称: Microsoft Windows SMB远程执行代码漏洞(MS17-010)
以下是TrickBot和Ryuk的规则和检测内容: 规则2413-TRICKBOT-HTTP(请求) 规则1628-DYREZA-HTTP(请求)-变体2 可能性_TrickBot-Cfg TSPY_TRICKBOT.SMB TrojanSpy.Win32.TRICKBOT.AE Ransom_RYUK.THHBAAI
值得注意的是,上述威胁发现设备规则是有力折衷的指标。 但是,还有其他支持这些高可信度规则的信息规则和检测。 为简便起见,我们仅提及中/高置信度规则。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢