勒索軟件Ryuk的十五步攻擊鏈
責編:gltian |2020-11-11 10:56:21隨著勒索軟件攻擊越來越復雜、周期越來越長、攻擊目標的價值越來越高,勒索軟件的贖金也水漲船高。近日勒索軟件Ryuk從某受害企業那里成功獲取3400萬美元贖金,一度刷新了公開的贖金記錄。
如野火般肆虐的勒索軟件的下一個目標是誰?這個行當到底有多“賺錢”?勒索軟件攻擊手段為何能屢屢奏效,在企業網絡里偷天換日,翻江倒海的呢?
一次斬獲3400萬美元贖金
根據Advanced Intelligence的Vitali Kremez的說法,Ryuk集團近期的主要目標是科技、醫療、能源、金融服務和政府部門。
醫療保健和社會服務領域的組織在所有勒索軟件受害者中所占比例略高于13%。
自“重出江湖”以來,Ryuk勒索軟件火力全開,勢如破竹。根據Check Point10月的一份報告指出,Ryuk團伙在2020年第三季度平均每周攻擊20家公司。
Ryuk勒索軟件的最新“致命戰績”包括Universal Health Services(UHS)、大聯盟IT服務公司 Sopra Steria、Seyfarth Shaw律師事務所、辦公家具巨頭Steelcase以及布魯克林和佛蒙特州的醫院的加密網絡。
Kremez透露,Ryuk收到的贖金平均金額約48比特幣(接近75萬美元),以此估算,自2018年以來,Ryuk團伙至少賺了1.5億美元,在勒索軟件行當中表現突出,另外一個“業績”突出的勒索軟件是REvil。根據Russia OSINT此前的報道,REvil勒索軟件開發商本月初發布“財報”聲稱2020年已經賺取1億美元。
在昨天的一份報告中Kremez透露說,說俄語的Ryuk團伙在談判中表現得非常強硬,很少做出寬大處理。它們獲得的最大一筆贖金為2,200比特幣,以目前的加密貨幣市場行情估算接近3400萬美元。
Ryuk的15步攻擊鏈
正如安全牛之前《勒索軟件防御最重要指標:駐留時間》所報道過的,如今勒索軟件平均駐留時間只有43天,相對其他APT攻擊動輒數月甚至數年來說較短,防御者想方設法去縮短駐留時間,而勒索軟件的攻擊者則希望能夠爭取更多時間來橫向移動、鎖定更多價值目標并清除盡可能多的痕跡。
對于防御者來說,縮短駐留時間最重要的方法就是搞清楚勒索軟件攻擊的TTP戰術手段。
近日,分析來自事件響應參與的攻擊流程后,Kremez注意到Ryuk團伙“僅”花了15個步驟就找到網絡上的可用主機,竊取管理員級別的憑據并成功部署Ryuk勒索軟件。
Ryuk團伙使用的軟件大部分都是開源的,紅隊也使用這些軟件來測試網絡安全性:
- Mimikatz-利用后的工具,用于從內存中轉儲憑證;
- PowerShell PowerSploit-用于后期利用的PowerShell腳本集合;
- LaZagne-與Mimikatz相似,用于從在本地存儲數據的軟件中收集密碼;
- AdFind-Active Directory查詢工具;
- Bloodhound-利用后工具,用于枚舉和可視化Active Directory域,包括設備、登錄的用戶、資源和權限;
- PsExec-允許在遠程系統上執行進程。
在Ryuk攻擊鏈的初始階段,攻擊者運行Cobalt Strike的“invoke”命令,以執行“DACheck.ps1”腳本,以檢查當前用戶是否是Domain Admin組的一部分。
然后,通過Mimikatz檢索密碼,映射網絡,并在端口掃描FTP、SSH、SMB、RDP和VNC協議后識別主機。
Kremez詳細介紹了Ryuk攻擊的十五個完整步驟,并附上了Cobalt Strike命令(經過編輯):
- 通過“Invoke-DACheck”腳本檢查域管理員;
- 通過Mimikatz“mimikatz的sekurlsa logonpasswords”收集主機密碼;
- 還原令牌并通過Mimikatz命令輸出為管理注釋創建令牌;
- 通過“net view”查看主機的網絡;
- 端口掃描FTP、SSH、SMB、RDPVNC協議;
- 列出可用主機上的訪問;
- 從“net view”和端口掃描的主機上傳帶有目錄腳本“adf.bat”的活動目錄查找器“AdFind”工具包;
- 通過“WMIC”命令在主機上顯示防病毒軟件名稱;
- 上傳多功能密碼恢復工具“LaZagne”以掃描主機;
- 刪除密碼恢復工具;
- 運行ADFind并保存輸出;
- 刪除AdFind工具痕跡并下載輸出;
- 設置網絡共享授予Ryuk勒索軟件全部訪問權限;
- 上載遠程執行軟件“PSExec”并準備好網絡主機,然后卸載防病毒產品;
- 上傳執行批處理腳本和已解析的網絡主機,并在不同的受感染用戶下通過PsExec運行Ryuk勒索軟件。
Ryuk攻擊另外一個值得關注的趨勢是:從2020年4月開始,Ryuk的主要投放渠道之一Trickbot團伙就通過魚叉式網絡釣魚活動傳播Bazar Loader后門。與廣為人知的Trickbot惡意軟件不同,該惡意軟件最初可能是為高價值目標準備的,可以部署能向操作員提供遠程訪問權限的Cobalt Strike信標。
不過,最近一段時間以來,傳播Bazarloader后門的釣魚郵件越來越普遍,常見手法是使用與攻擊時間(節日、事件),或通用性主題(投訴、工資單、服務或聘用通知)相關的的誘餌。