隨著(zhù)勒索軟件攻擊越來(lái)越復雜��、周期越來(lái)越長(cháng)�、攻擊目標的價(jià)值越來(lái)越高��,勒索軟件的贖金也水漲船高�。近日勒索軟件Ryuk從某受害企業(yè)那里成功獲取3400萬(wàn)美元贖金����,一度刷新了公開(kāi)的贖金記錄���。
如野火般肆虐的勒索軟件的下一個(gè)目標是誰(shuí)?這個(gè)行當到底有多“賺錢(qián)”?勒索軟件攻擊手段為何能屢屢奏效�,在企業(yè)網(wǎng)絡(luò )里偷天換日��,翻江倒海的呢?
一次斬獲3400萬(wàn)美元贖金
根據Advanced Intelligence的Vitali Kremez的說(shuō)法�����,Ryuk集團近期的主要目標是科技��、醫療�、能源���、金融服務(wù)和政府部門(mén)���。
醫療保健和社會(huì )服務(wù)領(lǐng)域的組織在所有勒索軟件受害者中所占比例略高于13%���。
自“重出江湖”以來(lái)���,Ryuk勒索軟件火力全開(kāi)����,勢如破竹���。根據Check Point10月的一份報告指出��,Ryuk團伙在2020年第三季度平均每周攻擊20家公司�����。
Ryuk勒索軟件的最新“致命戰績(jì)”包括Universal Health Services(UHS)�、大聯(lián)盟IT服務(wù)公司 Sopra Steria����、Seyfarth Shaw律師事務(wù)所����、辦公家具巨頭Steelcase以及布魯克林和佛蒙特州的醫院的加密網(wǎng)絡(luò )�。
Kremez透露��,Ryuk收到的贖金平均金額約48比特幣(接近75萬(wàn)美元)����,以此估算�,自2018年以來(lái)���,Ryuk團伙至少賺了1.5億美元����,在勒索軟件行當中表現突出�����,另外一個(gè)“業(yè)績(jì)”突出的勒索軟件是REvil�。根據Russia OSINT此前的報道����,REvil勒索軟件開(kāi)發(fā)商本月初發(fā)布“財報”聲稱(chēng)2020年已經(jīng)賺取1億美元���。
在昨天的一份報告中Kremez透露說(shuō)����,說(shuō)俄語(yǔ)的Ryuk團伙在談判中表現得非常強硬�����,很少做出寬大處理���。它們獲得的最大一筆贖金為2,200比特幣��,以目前的加密貨幣市場(chǎng)行情估算接近3400萬(wàn)美元����。
Ryuk的15步攻擊鏈
正如安全牛之前《勒索軟件防御最重要指標:駐留時(shí)間》所報道過(guò)的����,如今勒索軟件平均駐留時(shí)間只有43天��,相對其他APT攻擊動(dòng)輒數月甚至數年來(lái)說(shuō)較短����,防御者想方設法去縮短駐留時(shí)間���,而勒索軟件的攻擊者則希望能夠爭取更多時(shí)間來(lái)橫向移動(dòng)�、鎖定更多價(jià)值目標并清除盡可能多的痕跡���。
對于防御者來(lái)說(shuō)����,縮短駐留時(shí)間最重要的方法就是搞清楚勒索軟件攻擊的TTP戰術(shù)手段��。
近日�����,分析來(lái)自事件響應參與的攻擊流程后�����,Kremez注意到Ryuk團伙“僅”花了15個(gè)步驟就找到網(wǎng)絡(luò )上的可用主機��,竊取管理員級別的憑據并成功部署Ryuk勒索軟件���。
Ryuk團伙使用的軟件大部分都是開(kāi)源的��,紅隊也使用這些軟件來(lái)測試網(wǎng)絡(luò )安全性:
Mimikatz-利用后的工具�����,用于從內存中轉儲憑證;
PowerShell PowerSploit-用于后期利用的PowerShell腳本集合;
LaZagne-與Mimikatz相似���,用于從在本地存儲數據的軟件中收集密碼;
AdFind-Active Directory查詢(xún)工具;
Bloodhound-利用后工具��,用于枚舉和可視化Active Directory域���,包括設備�、登錄的用戶(hù)���、資源和權限;
PsExec-允許在遠程系統上執行進(jìn)程�。
在Ryuk攻擊鏈的初始階段�,攻擊者運行Cobalt Strike的“invoke”命令�����,以執行“DACheck.ps1”腳本���,以檢查當前用戶(hù)是否是Domain Admin組的一部分�����。
然后��,通過(guò)Mimikatz檢索密碼���,映射網(wǎng)絡(luò )���,并在端口掃描FTP�、SSH���、SMB����、RDP和VNC協(xié)議后識別主機���。
Kremez詳細介紹了Ryuk攻擊的十五個(gè)完整步驟��,并附上了Cobalt Strike命令(經(jīng)過(guò)編輯):
通過(guò)“Invoke-DACheck”腳本檢查域管理員;
通過(guò)Mimikatz“mimikatz的sekurlsa logonpasswords”收集主機密碼;
還原令牌并通過(guò)Mimikatz命令輸出為管理注釋創(chuàng )建令牌;
通過(guò)“net view”查看主機的網(wǎng)絡(luò );
端口掃描FTP����、SSH���、SMB���、RDPVNC協(xié)議;
列出可用主機上的訪(fǎng)問(wèn);
從“net view”和端口掃描的主機上傳帶有目錄腳本“adf.bat”的活動(dòng)目錄查找器“AdFind”工具包;
通過(guò)“WMIC”命令在主機上顯示防病毒軟件名稱(chēng);
上傳多功能密碼恢復工具“LaZagne”以?huà)呙柚鳈C;
刪除密碼恢復工具;
運行ADFind并保存輸出;
刪除AdFind工具痕跡并下載輸出;
設置網(wǎng)絡(luò )共享授予Ryuk勒索軟件全部訪(fǎng)問(wèn)權限;
上載遠程執行軟件“PSExec”并準備好網(wǎng)絡(luò )主機���,然后卸載防病毒產(chǎn)品;
上傳執行批處理腳本和已解析的網(wǎng)絡(luò )主機���,并在不同的受感染用戶(hù)下通過(guò)PsExec運行Ryuk勒索軟件�����。
Ryuk攻擊另外一個(gè)值得關(guān)注的趨勢是:從2020年4月開(kāi)始�,Ryuk的主要投放渠道之一Trickbot團伙就通過(guò)魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)活動(dòng)傳播Bazar Loader后門(mén)�����。與廣為人知的Trickbot惡意軟件不同���,該惡意軟件最初可能是為高價(jià)值目標準備的����,可以部署能向操作員提供遠程訪(fǎng)問(wèn)權限的Cobalt Strike信標���。
不過(guò)�,最近一段時(shí)間以來(lái)��,傳播Bazarloader后門(mén)的釣魚(yú)郵件越來(lái)越普遍���,常見(jiàn)手法是使用與攻擊時(shí)間(節日����、事件)�,或通用性主題(投訴���、工資單��、服務(wù)或聘用通知)相關(guān)的的誘餌��。
【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng )文章���,轉載請通過(guò)安全牛(微信公眾號id:gooann-sectv)獲取授權】
贛公網(wǎng)安備 36050202000267號
