勒索软件组织继续以医疗行业和关键服务为目标,攻击持续上升

COVID-19全球大流行,让远程工作变得越来越普遍,全球的商业领袖被迫对他们的基础设施进行通宵更改,IT主管和安全运营团队面临巨大的压力。然而,勒索软件组织并没有停止,攻击持续增长。

在此文章中,我们将对最近的勒索软件活动作深入分析。下面,我们将介绍:

易受攻击且不受监控的联网系统非常容易被入侵

各种各样的勒索软件攻击手法分析

针对主动攻击的即时响应措施

建立安全防护体系,以防御网络免受人工投毒攻击

Bitdefender GravityZone:针对复杂且范围广泛的人工勒索软件的协同防御

易受攻击且不受监控的联网系统容易被入侵

黑客入侵后,可在环境中保持相对休眠状态,直到他们确定了部署勒索软件的适当时机。

具有以下弱点的系统易受攻击:

无多因素身份验证(MFA)的远程桌面协议(RDP)或虚拟桌面端点

使用弱密码的旧系统,例如Windows Server 2003和Windows Server 2008

配置错误的系统,Web服务器,包括IIS,电子健康记录(EHR)软件

未修补的系统,你需要特别关注:CVE-2017-11882, CVE-2017-0199, CVE-2017-5638, CVE-2012-0158 , CVE-2019-0604, CVE-2017-0143, CVE-2018-4878, CVE-2017-8759, CVE-2015-1641, CVE-2018-7600, CVE-2019-0604, CVE- 2020-0688, CVE-2020-10189

攻击者经常使用工具(例如Mimikatz和Cobalt Strike)窃取凭证,横向移动,网络侦察和泄露数据。在这些活动中,黑客可以访问特权较高的管理员凭据,并准备在受到干扰时采取可能更具破坏性的措施。

在攻击者部署了勒索软件的网络上,他们故意在某些端点上维护其存在,目的是在支付赎金或重建系统后重新启动恶意活动。我们观察到几乎所有的黑客组织在攻击过程中都在查看和窃取数据,随后他们可以在暗网中将公司的网络访问凭据出售,再次获利。

所以,你需要主动修补/监控联网的系统,并采取缓解措施,以降低攻击风险。

各种各样的勒索软件攻击手法分析

尽管个别活动和勒索软件系列具有以下各节所述的独特属性,但这些勒索软件活动往往结合了人工投毒攻击,它们通常采用了类似的攻击战术,至于执行的Payload,完全取决于其个人风格。

1.png

RobbinHood勒索软件

RobbinHood勒索软件会利用易受攻击的驱动程序来关闭安全软件,它们通常对暴露资产进行远程桌面爆破。他们最终获得特权凭证,主要是具有共享或通用密码的本地管理员帐户,以及具有域管理员特权的服务帐户。像Ryuk和其他广为宣传的勒索软件组一样,RobbinHood运营商会留下新的本地和Active Directory用户帐户,以便在删除恶意软件和工具后重新获得访问权限。

Vatet loader勒索软件

攻击者通常会转移基础结构,技术和工具,以避开执法部门或安全研究人员的调查。Vatet是Cobalt Strike框架的自定义加载程序,早在2018年11月就已在勒索软件活动中出现,它是最近活动中浮出水面的工具之一。

该工具背后的小组似乎特别针对医院,援助组织,生物制药,医疗设备制造商和其他关键行业。他们是这段时间里最多产的勒索软件运营商之一,已经造成了数十起案件。为了访问目标网络,他们利用CVE-2019-19781,RDP爆破并发送包含启动恶意PowerShell命令的.lnk文件的电子邮件。一旦进入网络,他们就会窃取凭据(包括存储在凭据管理器库中的凭据),并横向移动直到获得域管理员权限。

NetWalker勒索软件

NetWalker运营商发送大量的COVID-19信息的钓鱼邮件,来锁定医院和医疗保健商。这些电子邮件包含了恶意.vbs附件。除此之外,他们还使用错误配置的基于IIS的应用程序来启动Mimikatz并窃取凭据,从而破坏了网络,他们随后又使用这些凭据来启动PsExec,并最终部署了NetWalker勒索软件。

PonyFinal勒索软件

这种基于Java的勒索软件被认为是新颖的,但是活动并不罕见。其经营者入侵了面向互联网的Web系统,并获得了特权凭证。为了建立持久性,他们使用PowerShell命令启动系统工具mshta.exe,并基于常见的PowerShell攻击框架设置反向shell。他们还使用合法的工具来维护远程桌面连接。

Maze 勒索软件

Maze是首批出售被盗数据的勒索软件,Maze继续以技术提供商和公共服务为目标。Maze有攻击托管服务提供商(MSP)来访问MSP客户数据和网络的记录。

Maze通过电子邮件发送,其运营商在使用通用媒介(例如RDP爆破)获得访问权限后,将Maze部署到了网络。一旦进入网络,他们就会窃取凭证,横向移动以访问资源并窃取数据,然后部署勒索软件。

窃取凭证获得对域管理员帐户的控制权之后,勒索软件运营商使用Cobalt Strike,PsExec和大量其他工具来部署各种payload并访问数据。他们使用计划任务和服务建立了无文件持久化,这些任务和服务启动了基于PowerShell的远程Shell。他们还使用被盗的域管理员权限打开Windows远程管理以进行持久控制。为了削弱安全控制以准备勒索软件部署,他们通过组策略操纵了各种设置。

REvil/Sodinokibi勒索勒索软件

REvil(也称为Sodinokibi)可能是第一个利用Pulse VPN中的网络设备漏洞窃取凭据以访问网络的勒索软件,Sodinokibi访问MSP以及访问客户的网络后,盗窃并出售客户的文档和访问权,声名狼藉。在COVID-19危机期间,他们继续开展这项活动,以MSP和其他组织(例如地方政府)为目标。REvil在漏洞利用方面与其它组织有所不同,但攻击手法与许多其他组织类似,它们曾经依赖于像Mimikatz这样的凭据盗窃工具和PsExec等工具进行横向移动和侦察。

其他勒索软件系列

在此期间,其他人工投毒的勒索软件系列包括:

Paradise,曾经直接通过电子邮件分发,但现在用人工投毒勒索软件攻击(Bitdefender已推出免费的解密工具)

RagnarLocker,大量使用被盗的凭据,RDP爆破和Cobalt Strike攻击

MedusaLocker,可能通过现有的Trickbot感染进行部署

LockBit,使用公开的渗透测试工具CrackMapExec进行横向移动

针对主动攻击的即时响应措施

我们强烈建议组织立即检查是否有与这些勒索软件攻击有关的警报,并优先进行调查和补救。防御者应注意的与这些攻击有关的恶意行为包括:

恶意PowerShell,Cobalt Strike和其他渗透测试工具

盗窃凭据活动,例如可疑访问lsass.exe系统服务

任何篡改安全事件日志,取证工件,例如USNJournal或安全代理的行为

使用 BitDefender GravityZone Elite Security 和 BitDefender GravityZon Ultra Security 的客户可以在管理控制台实时查阅每个安全事件的详细调查报告,以获取有关相关警报,包含详细的攻击时间表,查看缓解建议,响应措施。

2.png

图1- Bitdefender GravityZone控制台,事件,调查视图

如果您的网络受到影响,请立即执行以下范围和调查活动,以了解此安全事件的影响。仅仅使用危害指标,payload,可疑文件来确定这些威胁的影响并不是一个持久的解决方案,因为大多数勒索软件活动都为活动使用“一次性”套件,一旦确定了安全软件具有检测能力,便经常更改其工具和系统。

—调查受影响的端点和凭据

调查受这些攻击影响的端点,并标识这些端点上存在的所有凭据。假定攻击者可以使用这些凭据,并且所有关联帐户都受到了威胁。请注意,攻击者不仅可以转储已登录交互式或RDP会话的帐户的凭据,还可以转储存储在注册表的LSA Secrets部分中的服务帐户和计划任务的缓存的凭据和密码。

检查Windows事件日志中是否存在泄漏后登录,查看审核失败事件,查看事件ID为4624,登录类型为2或10的事件。对于其他任何时间范围,请检查登录类型4或5。

—隔离被入侵的端点

从管理控制台中立即隔离可疑的或已成为横向移动目标的端点,或使用高级搜寻语法查询搜索相关IOC的方法找到这些端点,从已知的受影响的端点寻找横向运动。

Bitdefender管理控制台具有隔离主机,远程连接功能,如下:

3.png

图2- Bitdefender GravityZone控制台,事件分析,隔离主机,远程连接视图

—安全加固

您可以使用Bitdefender漏洞扫描与补丁管理,风险管理来修复端点的漏洞,配置错误:

计划漏洞扫描和安装补丁,主动发现资产的漏洞清单,确定优先级,自动修复操作系统和第三方程序漏洞,Bitdefender允许安全管理员和IT管理员无缝协作以解决问题。

设置风险扫描计划,主动评估端点的攻击面,例如:Windows安全基线扫描,配置错误,程序漏洞等

配置防火墙策略,阻止未经授权的网络访问

通过事件搜寻,查找和解决攻击源

4.png

图3- Bitdefender GravityZone控制台,补丁清单视图

5.png

图4- Bitdefender GravityZone控制台,风险管理,公司风险评分和态势视图

6.png

图5- Bitdefender GravityZone控制台,安全风险视图

image.png

图6 安全报表-网络事件,查看攻击者IP

—检查和重置被恶意软件感染的设备

许多勒索软件运营商通过Emotet和Trickbot等恶意软件感染,然后进入目标网络。这些恶意软件家族通常被认为是银行木马,已被用来提供各种payload,包括持久化工件。研究和补救任何已知的感染,并认为它们可能是复杂的人类对手的病媒。在重建受影响的端点或重置密码之前,请确保检查暴露的凭据,其他payload和横向移动。

建立安全防护体系,以防御网络免受人工投毒攻击

勒索软件运营商仍在不断挖掘新的攻击目标,防御者应使用所有可用工具主动评估风险。您应该继续执行经过验证的预防性解决方案- 设置复杂的密码,并定期更改,最小特权,保持操作系统和应用程序最新,安装超一流的反病毒软件,保持更新,系统遵循Windows安全基线设置,配置防火墙,执行备份- 来阻止这些攻击,利用监视工具不断改善安全。

应用以下措施可使您的网络更灵活地抵御新的勒索攻击,横向移动:

使用LAPS之类的工具随机化本地管理员密码。

应用帐户锁定策略。

利用Bitdefender的漏洞扫描与补丁管理功能修复漏洞

使用Bitdefender风险管理评估安全风险,并修复风险指标。

利用主机防火墙限制横向移动。屏蔽445端口会严重破坏对手的活动。

配置内网的计算机通过Bitdefender中继转发云安全查询,以获取最新的威胁情报,涵盖快速发展的攻击工具和技术。基于云的机器学习保护可阻止绝大多数新的和未知的变种。

打开密码保护功能,以防止攻击者卸载安全软件。

开启Bitdefender的高级威胁防护,网络攻击防护,无文件攻击防护,HyperDetect可调节机器学习,云沙盒,高级反漏洞利用模块,从各个维度屏蔽黑客的活动

拦截高级勒索软件

阻止漏洞利用

阻止利用autoit.exe, bitsadmin.exe, cscript.exe, java.exe, javaw.exe, miprvse.exe, net.exe, netsh.exe, powershell.exe, powershell_ise.exe, py.exe, python.exe, regedit.exe, regsvr32.exe, rundll32.exe, schtasks.exe, PsExec和 wscript.exe等执行无文件攻击

阻止从Windows本地安全授权子系统(lsass.exe)窃取凭据

阻止犯罪软件

自动化分析可疑文件

Bitdefender GravityZone:针对复杂且范围广泛的人工勒索软件的协同防御

人工投毒勒索软件攻击代表了不同级别的威胁,因为攻击者擅长于系统管理和发现安全配置错误,因此可以以最小路径快速入侵。如果碰壁,他们可以熟练地尝试其它方法突破。总而言之,人工投毒勒索软件攻击是非常复杂的,没有两次攻击是完全相同的。

Bitdefender GravityZone提供了协调的防御,Bitdefender具有世界顶级的预防技术,可以发现完整的攻击链并自动阻止复杂的攻击,例如人工投毒的勒索软件。

Bitdefender GravityZone从端点、网络、云等等多个维度,全方位洞察整个基础架构中的所有网络攻击和可疑活动,实时阻止恶意威胁和流量。

通过内置的智能,自动化和SIEM集成,Bitdefender GravityZone可以阻止攻击,消除其持久性并自动修复受影响的资产,主动评估资产的攻击面,协助您自动修复。它可以关联传感器并合并警报,以帮助防御者确定事件的优先级以进行调查和响应。Bitdefender GravityZone还提供了独特的事件搜寻功能,可以进一步帮助防御者识别攻击蔓延并获得组织特定的见解以加强防御。

7.png

图7- Bitdefender GravityZone解决方案架构图,全面保护端点,数据中心,超融合基础架构,云,邮件,网络,Iot,远程办公等