隨著勒索軟件攻擊越來(lái)越復(fù)雜、周期越來(lái)越長(zhǎng)、攻擊目標(biāo)的價(jià)值越來(lái)越高,勒索軟件的贖金也水漲船高。近日勒索軟件Ryuk從某受害企業(yè)那里成功獲取3400萬(wàn)美元贖金,一度刷新了公開(kāi)的贖金記錄。
如野火般肆虐的勒索軟件的下一個(gè)目標(biāo)是誰(shuí)?這個(gè)行當(dāng)?shù)降子卸?ldquo;賺錢(qián)”?勒索軟件攻擊手段為何能屢屢奏效,在企業(yè)網(wǎng)絡(luò)里偷天換日,翻江倒海的呢?
一次斬獲3400萬(wàn)美元贖金
根據(jù)Advanced Intelligence的Vitali Kremez的說(shuō)法,Ryuk集團(tuán)近期的主要目標(biāo)是科技、醫(yī)療、能源、金融服務(wù)和政府部門(mén)。
醫(yī)療保健和社會(huì)服務(wù)領(lǐng)域的組織在所有勒索軟件受害者中所占比例略高于13%。
自“重出江湖”以來(lái),Ryuk勒索軟件火力全開(kāi),勢(shì)如破竹。根據(jù)Check Point10月的一份報(bào)告指出,Ryuk團(tuán)伙在2020年第三季度平均每周攻擊20家公司。
Ryuk勒索軟件的最新“致命戰(zhàn)績(jī)”包括Universal Health Services(UHS)、大聯(lián)盟IT服務(wù)公司 Sopra Steria、Seyfarth Shaw律師事務(wù)所、辦公家具巨頭Steelcase以及布魯克林和佛蒙特州的醫(yī)院的加密網(wǎng)絡(luò)。
Kremez透露,Ryuk收到的贖金平均金額約48比特幣(接近75萬(wàn)美元),以此估算,自2018年以來(lái),Ryuk團(tuán)伙至少賺了1.5億美元,在勒索軟件行當(dāng)中表現(xiàn)突出,另外一個(gè)“業(yè)績(jī)”突出的勒索軟件是REvil。根據(jù)Russia OSINT此前的報(bào)道,REvil勒索軟件開(kāi)發(fā)商本月初發(fā)布“財(cái)報(bào)”聲稱(chēng)2020年已經(jīng)賺取1億美元。
在昨天的一份報(bào)告中Kremez透露說(shuō),說(shuō)俄語(yǔ)的Ryuk團(tuán)伙在談判中表現(xiàn)得非常強(qiáng)硬,很少做出寬大處理。它們獲得的最大一筆贖金為2,200比特幣,以目前的加密貨幣市場(chǎng)行情估算接近3400萬(wàn)美元。
Ryuk的15步攻擊鏈
正如安全牛之前《勒索軟件防御最重要指標(biāo):駐留時(shí)間》所報(bào)道過(guò)的,如今勒索軟件平均駐留時(shí)間只有43天,相對(duì)其他APT攻擊動(dòng)輒數(shù)月甚至數(shù)年來(lái)說(shuō)較短,防御者想方設(shè)法去縮短駐留時(shí)間,而勒索軟件的攻擊者則希望能夠爭(zhēng)取更多時(shí)間來(lái)橫向移動(dòng)、鎖定更多價(jià)值目標(biāo)并清除盡可能多的痕跡。
對(duì)于防御者來(lái)說(shuō),縮短駐留時(shí)間最重要的方法就是搞清楚勒索軟件攻擊的TTP戰(zhàn)術(shù)手段。
近日,分析來(lái)自事件響應(yīng)參與的攻擊流程后,Kremez注意到Ryuk團(tuán)伙“僅”花了15個(gè)步驟就找到網(wǎng)絡(luò)上的可用主機(jī),竊取管理員級(jí)別的憑據(jù)并成功部署Ryuk勒索軟件。
Ryuk團(tuán)伙使用的軟件大部分都是開(kāi)源的,紅隊(duì)也使用這些軟件來(lái)測(cè)試網(wǎng)絡(luò)安全性:
Mimikatz-利用后的工具,用于從內(nèi)存中轉(zhuǎn)儲(chǔ)憑證;
PowerShell PowerSploit-用于后期利用的PowerShell腳本集合;
LaZagne-與Mimikatz相似,用于從在本地存儲(chǔ)數(shù)據(jù)的軟件中收集密碼;
AdFind-Active Directory查詢(xún)工具;
Bloodhound-利用后工具,用于枚舉和可視化Active Directory域,包括設(shè)備、登錄的用戶(hù)、資源和權(quán)限;
PsExec-允許在遠(yuǎn)程系統(tǒng)上執(zhí)行進(jìn)程。
在Ryuk攻擊鏈的初始階段,攻擊者運(yùn)行Cobalt Strike的“invoke”命令,以執(zhí)行“DACheck.ps1”腳本,以檢查當(dāng)前用戶(hù)是否是Domain Admin組的一部分。
然后,通過(guò)Mimikatz檢索密碼,映射網(wǎng)絡(luò),并在端口掃描FTP、SSH、SMB、RDP和VNC協(xié)議后識(shí)別主機(jī)。
Kremez詳細(xì)介紹了Ryuk攻擊的十五個(gè)完整步驟,并附上了Cobalt Strike命令(經(jīng)過(guò)編輯):
通過(guò)“Invoke-DACheck”腳本檢查域管理員;
通過(guò)Mimikatz“mimikatz的sekurlsa logonpasswords”收集主機(jī)密碼;
還原令牌并通過(guò)Mimikatz命令輸出為管理注釋創(chuàng)建令牌;
通過(guò)“net view”查看主機(jī)的網(wǎng)絡(luò);
端口掃描FTP、SSH、SMB、RDPVNC協(xié)議;
列出可用主機(jī)上的訪(fǎng)問(wèn);
從“net view”和端口掃描的主機(jī)上傳帶有目錄腳本“adf.bat”的活動(dòng)目錄查找器“AdFind”工具包;
通過(guò)“WMIC”命令在主機(jī)上顯示防病毒軟件名稱(chēng);
上傳多功能密碼恢復(fù)工具“LaZagne”以?huà)呙柚鳈C(jī);
刪除密碼恢復(fù)工具;
運(yùn)行ADFind并保存輸出;
刪除AdFind工具痕跡并下載輸出;
設(shè)置網(wǎng)絡(luò)共享授予Ryuk勒索軟件全部訪(fǎng)問(wèn)權(quán)限;
上載遠(yuǎn)程執(zhí)行軟件“PSExec”并準(zhǔn)備好網(wǎng)絡(luò)主機(jī),然后卸載防病毒產(chǎn)品;
上傳執(zhí)行批處理腳本和已解析的網(wǎng)絡(luò)主機(jī),并在不同的受感染用戶(hù)下通過(guò)PsExec運(yùn)行Ryuk勒索軟件。
Ryuk攻擊另外一個(gè)值得關(guān)注的趨勢(shì)是:從2020年4月開(kāi)始,Ryuk的主要投放渠道之一Trickbot團(tuán)伙就通過(guò)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)活動(dòng)傳播Bazar Loader后門(mén)。與廣為人知的Trickbot惡意軟件不同,該惡意軟件最初可能是為高價(jià)值目標(biāo)準(zhǔn)備的,可以部署能向操作員提供遠(yuǎn)程訪(fǎng)問(wèn)權(quán)限的Cobalt Strike信標(biāo)。
不過(guò),最近一段時(shí)間以來(lái),傳播Bazarloader后門(mén)的釣魚(yú)郵件越來(lái)越普遍,常見(jiàn)手法是使用與攻擊時(shí)間(節(jié)日、事件),或通用性主題(投訴、工資單、服務(wù)或聘用通知)相關(guān)的的誘餌。
【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】