鄭嘯宇 楊 瑩 汪 龍

(公安部第三研究所 上海 200031)

(zhengxiaoyu@mcst.org.cn)

勒索軟件又稱勒索病毒,是一種阻止或限制用戶使用計(jì)算機(jī)系統(tǒng)的惡意程序[1-2].黑客利用勒索病毒可以鎖定計(jì)算機(jī)系統(tǒng)或?qū)?shù)據(jù)加密,令受害者無法讀取數(shù)據(jù),進(jìn)而向受害者索要解密贖金[3].1989年,全球首次出現(xiàn)勒索病毒,但因極易被破解而未引起過多關(guān)注;2017年5月,WannyCry勒索病毒通過永恒之藍(lán)漏洞大肆傳播[2],使黑客認(rèn)識(shí)到將勒索軟件與蠕蟲病毒相結(jié)合可帶來巨大破壞力,此后大量黑客開始研發(fā)和使用勒索軟件,勒索攻擊在全球范圍的影響程度不斷加大[4-5]：2021年5月,DarkSide勒索軟件組織攻擊美國輸油管道公司Colonial Pipeline,導(dǎo)致美國能源部宣布17個(gè)受影響的州進(jìn)入緊急狀態(tài);2022年4月,Conti勒索軟件組織攻陷哥斯達(dá)黎加20余個(gè)政府機(jī)構(gòu),導(dǎo)致該國宣布進(jìn)入國家網(wǎng)絡(luò)安全緊急狀態(tài).勒索軟件攻擊在某種程度上已經(jīng)直接影響到國家安全[3,6-7].世界經(jīng)濟(jì)論壇《2022年全球網(wǎng)絡(luò)安全展望報(bào)告》稱,勒索軟件損害預(yù)計(jì)將從2015年的3.25億美元增長到2031年的2650億美元,將對(duì)全球經(jīng)濟(jì)造成極大的損失[1-2,8].

1 國內(nèi)外研究現(xiàn)狀

目前,最常用的檢測勒索軟件攻擊的方法是基于網(wǎng)絡(luò)大數(shù)據(jù)分析的攻擊檢測技術(shù),該技術(shù)主要有網(wǎng)絡(luò)流量異常檢測、主機(jī)惡意代碼異常檢測和社交網(wǎng)絡(luò)安全事件挖掘3種方法[9].

基于網(wǎng)絡(luò)流量異常檢測技術(shù)是指以網(wǎng)絡(luò)流數(shù)據(jù)為輸入,通過統(tǒng)計(jì)分析、數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)等方法,發(fā)現(xiàn)異常的網(wǎng)絡(luò)數(shù)據(jù)分組和異常網(wǎng)絡(luò)交互等信息[10].該方法可有效識(shí)別異常攻擊行為,但無法有效刻畫完整的攻擊鏈條.

惡意代碼異常檢測是指通過對(duì)海量樣本程序的動(dòng)靜態(tài)特征進(jìn)行智能分析來識(shí)別惡意代碼的檢測技術(shù).該方法是基于特征碼開展異常檢測,而無法處理未知的惡意代碼,無法有效應(yīng)對(duì)未知勒索軟件帶來的威脅[11].

社交網(wǎng)絡(luò)安全事件挖掘是指從社交網(wǎng)絡(luò)海量數(shù)據(jù)中學(xué)習(xí)用戶在網(wǎng)絡(luò)中的行為模式,并挖掘用戶的社交關(guān)系網(wǎng)等社會(huì)屬性,進(jìn)而為攻擊檢測提供指導(dǎo)[12].但勒索軟件組織一般潛伏在暗網(wǎng),無法有效通過社交網(wǎng)絡(luò)挖掘其攻擊行為.

上述3種攻擊檢測技術(shù)無法有效還原和刻畫其完整的攻擊鏈條.2011年,洛克希德·馬丁公司提出了網(wǎng)絡(luò)殺傷鏈模型,首次用模型描述網(wǎng)絡(luò)攻防,并將網(wǎng)絡(luò)攻擊過程分為7個(gè)階段[13].但存在2個(gè)不足：一是抽象化程序較高,缺乏統(tǒng)一的描述機(jī)制;二是攻防不對(duì)稱程度持續(xù)加深.針對(duì)同一個(gè)攻擊階段,攻方有多種技術(shù)、方法,而防守方卻無法清晰描述和全面知曉自身的安全防護(hù)能力.

為了標(biāo)準(zhǔn)化描述語言,2013年,美國MITRE組織在網(wǎng)絡(luò)殺傷鏈模型的基礎(chǔ)上構(gòu)建了一套更細(xì)粒度、更易共享的知識(shí)模型——ATT&CK模型,該模型基于對(duì)現(xiàn)實(shí)世界真實(shí)的網(wǎng)絡(luò)攻防數(shù)據(jù)的分析提取,形成標(biāo)準(zhǔn)化描述語言來分類網(wǎng)絡(luò)對(duì)抗行為[13-14].ATT&CK模型采用TTP(戰(zhàn)術(shù)、技術(shù)、步驟)的描述方法,目前已發(fā)展為14項(xiàng)戰(zhàn)術(shù)、188項(xiàng)技術(shù)、129個(gè)組織和639個(gè)惡意軟件的龐大體系[15].

2 主要勒索軟件組織的攻擊方法

綜合境內(nèi)外網(wǎng)絡(luò)安全公司發(fā)布的勒索軟件態(tài)勢分析報(bào)告,發(fā)現(xiàn)近年異?；钴S的勒索軟件組織有Conti,LAPSUS$,REvil等9個(gè)[16].本節(jié)使用ATT&CK矩陣的方式,按照攻擊過程的14個(gè)階段,針對(duì)這9個(gè)勒索軟件組織的攻擊技戰(zhàn)術(shù)展開詳細(xì)分析.

2.1 偵察和資源開發(fā)階段

任何組織都會(huì)有偵察和資源開發(fā)這2個(gè)階段的工作,但多數(shù)組織在該階段的工作較為隱蔽.

1) 偵察階段.

攻擊者在該階段的主要工作是盡可能收集攻擊目標(biāo)的詳細(xì)信息,用以規(guī)劃和執(zhí)行未來的攻擊活動(dòng).包括選擇攻擊目標(biāo)、制定攻擊計(jì)劃、收集攻擊目標(biāo)的基礎(chǔ)設(shè)施等.

LAPSUS$組織在該階段常使用收集受害者身份信息(T1589)、收集受害者組織信息(T1591)、搜索公開網(wǎng)站和域名(T1593)3種技術(shù).該組織通過收集目標(biāo)組織的員工信息和公開泄露的電子郵件身份憑據(jù);利用暗網(wǎng)、數(shù)據(jù)交易論壇等購買身份憑證;在github等公開代碼存儲(chǔ)平臺(tái)搜索公開的憑據(jù)等方式,獲得受害者系統(tǒng)的初始訪問權(quán)限,增強(qiáng)其社會(huì)工程學(xué)成功率.

2) 資源開發(fā)階段.

攻擊者在該階段的主要工作是通過創(chuàng)建、購買、破壞或者竊取等方式,獲得支持定位目標(biāo)組織的資源、可用的武器工具等.

LAPSUS$組織在該階段常使用獲取基礎(chǔ)設(shè)施(T1583)和獲得能力(T1588)等技術(shù).該組織使用VPS等虛擬專用服務(wù)器作為其網(wǎng)絡(luò)基礎(chǔ)設(shè)施,并通過開發(fā)和使用Redline密碼竊取程序、AD Explorer檢查軟件等武器工具,為后續(xù)的攻擊作好儲(chǔ)備.

2.2 初始訪問和執(zhí)行階段使用的技戰(zhàn)術(shù)

表1列出了9個(gè)勒索軟件組織在初始訪問和執(zhí)行階段使用的技戰(zhàn)術(shù)：

表1 勒索軟件組織在初始訪問和執(zhí)行階段使用的技戰(zhàn)術(shù)

1) 初始訪問階段.

通過外部遠(yuǎn)程服務(wù)(T1133)方式特別是利用遠(yuǎn)程桌面協(xié)議(RDP)和虛擬專用網(wǎng)(VPN)是獲取初始訪問權(quán)限最常見的方式.根據(jù)對(duì)近5年的歷史勒索軟件攻擊事件分析發(fā)現(xiàn),至少有一半是通過外部遠(yuǎn)程服務(wù)的方式獲得最初的訪問權(quán)限.針對(duì)此類攻擊,應(yīng)及時(shí)識(shí)別來自異常地點(diǎn)和異常時(shí)間范圍內(nèi)的訪問,對(duì)多次不成功的身份認(rèn)證嘗試進(jìn)行拒絕.

利用面向公眾的應(yīng)用(T1190),特別是利用各種網(wǎng)絡(luò)系統(tǒng)的漏洞成為勒索軟件組織青睞的攻擊方式,REvil勒索軟件組織曾于2021年使用美國托管服務(wù)提供商Kaseya的遠(yuǎn)程管理軟件Kaseya VSA的漏洞實(shí)施了大規(guī)模供應(yīng)鏈攻擊,殃及全球數(shù)千家企業(yè),造成了7000萬美元的損失.針對(duì)此類攻擊,應(yīng)及時(shí)對(duì)相關(guān)產(chǎn)品進(jìn)行補(bǔ)丁更新、漏洞修復(fù)工作.

2) 執(zhí)行階段.

攻擊者在該階段獲得相應(yīng)入口后,便需要在執(zhí)行階段使部署的惡意代碼在受害者的系統(tǒng)內(nèi)運(yùn)行,以達(dá)到信息搜集、數(shù)據(jù)竊取等目的.針對(duì)此類攻擊,應(yīng)關(guān)注網(wǎng)絡(luò)系統(tǒng)內(nèi)新的或者不常見的計(jì)劃任務(wù)、未經(jīng)授權(quán)安裝的程序或者軟件等.

2.3 持久化和權(quán)限提升階段使用的技戰(zhàn)術(shù)

表2列出了9個(gè)勒索軟件組織在持久化和權(quán)限提升階段使用的技戰(zhàn)術(shù)：

表2 勒索軟件組織在持久化和權(quán)限提升階段使用的技戰(zhàn)術(shù)

1) 持久化階段.

攻擊者在該階段需盡可能保證對(duì)目標(biāo)組織網(wǎng)絡(luò)系統(tǒng)的訪問權(quán)限不中斷,包括受害者在重啟機(jī)器等期間保持系統(tǒng)訪問權(quán)限不中斷.

啟動(dòng)或登錄自動(dòng)啟動(dòng)執(zhí)行(T1547)和有效賬戶(T1078)仍是勒索軟件組織最常用的持久化機(jī)制.Ryuk組織使用Windows命令在HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun目錄下創(chuàng)建注冊(cè)表?xiàng)l目已建立持久性.Ryuk組織偏好使用竊取的域管理員賬戶進(jìn)行高級(jí)權(quán)限的持久化保持.針對(duì)此類攻擊,應(yīng)實(shí)時(shí)監(jiān)控系統(tǒng)啟動(dòng)或者用戶登錄運(yùn)行時(shí)可疑的可執(zhí)行文件,以及監(jiān)控現(xiàn)有賬戶的異常行為.

2) 權(quán)限提升階段.

攻擊者在該階段是為了在網(wǎng)絡(luò)系統(tǒng)內(nèi)獲得更高的權(quán)限,包括系統(tǒng)級(jí)別、本地管理員、具有類似管理員的權(quán)限等.創(chuàng)建或修改系統(tǒng)進(jìn)程(T1543)是Conti組織在該階段常用的技術(shù),利用Cobalt Strike Beacons生成受害者用戶使用的同名惡意軟件,并替換合法的可執(zhí)行文件獲取受害者的系統(tǒng)權(quán)限.針對(duì)此類攻擊,應(yīng)關(guān)注Windows服務(wù)修改事件以及常見進(jìn)程的異常行為.

2.4 防御繞過和憑證訪問階段使用的技戰(zhàn)術(shù)

表3列出了9個(gè)勒索軟件組織在防御繞過和憑證訪問階段使用的技戰(zhàn)術(shù)：

表3 勒索軟件組織在防御繞過和憑證訪問階段使用的技戰(zhàn)術(shù)

1) 防御繞過階段.

攻擊者在該階段通過偽裝或使用一些系統(tǒng)工具來加載惡意軟件,以期逃避安全設(shè)備的檢測.

REvil組織使用偽裝(T1036)技術(shù)將勒索軟件及相關(guān)惡意程序偽裝成常見的Windows系統(tǒng)可執(zhí)行文件名,如重命名為svchost.exe.還利用削弱防御(T1562)技術(shù),使用腳本來禁用受害者網(wǎng)絡(luò)內(nèi)的防病毒軟件,以及將目標(biāo)主機(jī)重啟到安全模式以避免安全防護(hù)設(shè)備的干擾.針對(duì)攻擊,應(yīng)監(jiān)控網(wǎng)絡(luò)系統(tǒng)中禁用安全工具的操作,以及強(qiáng)制在安全模式中啟動(dòng)的程序等.

2) 憑證訪問階段.

攻擊者在該階段為了竊取更多的系統(tǒng)憑據(jù),并通過合法的憑據(jù)訪問目標(biāo)網(wǎng)絡(luò)系統(tǒng),使自己的攻擊行為更難被檢測.

操作系統(tǒng)憑據(jù)轉(zhuǎn)儲(chǔ)(T1003)是各大勒索軟件組織最常用的技術(shù),該技術(shù)操作簡單、且方式多樣,多數(shù)組織會(huì)使用Mimikatz等黑客工具獲取系統(tǒng)的憑證信息.蠻力(T1110)仍是各大勒索軟件組織青睞的攻擊方式,最常見的是使用NLBrute和Hydra等工具獲取內(nèi)網(wǎng)環(huán)境中的各類訪問憑據(jù).Conti組織則使用Invoke-SMBAutoBrute PowerShell腳本和先前獲得的賬號(hào)密碼在目標(biāo)網(wǎng)絡(luò)中檢索其他有效憑據(jù).針對(duì)此類攻擊,應(yīng)關(guān)注對(duì)ntds.dit文件的訪問、訪問瀏覽器的可疑進(jìn)程等.

2.5 發(fā)現(xiàn)和橫向移動(dòng)階段使用的技戰(zhàn)術(shù)

表4列出了9個(gè)勒索軟件組織在發(fā)現(xiàn)和橫向移動(dòng)階段使用的技戰(zhàn)術(shù)：

表4 勒索軟件組織在發(fā)現(xiàn)和橫向移動(dòng)階段使用的技戰(zhàn)術(shù)

1) 發(fā)現(xiàn)階段.

攻擊者在該階段需盡可能獲取目標(biāo)網(wǎng)絡(luò)系統(tǒng)內(nèi)的信息,用以幫助其確定攻擊入口,該階段是勒索軟件攻擊中最主要的一步.

文件和目錄發(fā)現(xiàn)(T1083)和系統(tǒng)位置發(fā)現(xiàn)(T1614)是REvil,Clop等組織常用的技術(shù).REvil能夠識(shí)別不需要加密的特定文件和目錄,以提高發(fā)現(xiàn)和攻擊的效率.REvil還使用GetUserDefaultULangeuage和GetSystemDefaultULanguage檢查系統(tǒng)語言,若發(fā)現(xiàn)特定語言則停止攻擊過程,以規(guī)避非攻擊目標(biāo).針對(duì)此類攻擊,應(yīng)實(shí)時(shí)監(jiān)控Powerview/Powersploit命令行相關(guān)的操作,及時(shí)檢查whoami和query程序的異常使用.

2) 橫向移動(dòng)階段.

在攻陷目標(biāo)網(wǎng)絡(luò)系統(tǒng)后,攻擊者往往需要進(jìn)行橫向移動(dòng)擴(kuò)展攻擊成果,此前在全球范圍內(nèi)大爆發(fā)的WannaCry勒索病毒就是利用永恒之藍(lán)漏洞在內(nèi)網(wǎng)進(jìn)行橫向傳播.攻擊者通常會(huì)部署遠(yuǎn)程訪問工具或橫向移動(dòng)工具完成橫向移動(dòng).

遠(yuǎn)程服務(wù)(T1021)特別是遠(yuǎn)程桌面協(xié)議和SMB管理員共享是在目標(biāo)網(wǎng)絡(luò)系統(tǒng)中最常見的橫向移動(dòng)方式,Conti組織就常通過SMB傳播勒索病毒并加密不同主機(jī)上的文件,做到快速攻擊整個(gè)目標(biāo)網(wǎng)絡(luò)系統(tǒng).針對(duì)此類攻擊,應(yīng)實(shí)時(shí)監(jiān)控RDP相關(guān)的注冊(cè)表操作和防火墻規(guī)則添加操作,關(guān)注SMB和Windows Admin Shares濫用行為等.

2.6 收集和命令與控制階段使用的技戰(zhàn)術(shù)

1) 收集階段.

為了加大受害者支付贖金的成功率,攻擊者在部署最終的勒索軟件前,會(huì)從受害者的網(wǎng)絡(luò)系統(tǒng)內(nèi)盡可能收集和竊取有價(jià)值的數(shù)據(jù)和信息.

壓縮收集的數(shù)據(jù)(T1560)是最常用的技術(shù),為了減小數(shù)據(jù)規(guī)模,方便傳輸,勒索軟件組織通過會(huì)使用WinRAR,7-Zip等軟件對(duì)數(shù)據(jù)進(jìn)行壓縮處理.本地系統(tǒng)中的數(shù)據(jù)(T1005)也是勒索軟件組織的目標(biāo)數(shù)據(jù),但勒索軟件組織并不會(huì)對(duì)數(shù)據(jù)照單全收,而是針對(duì)性地收集可用于進(jìn)一步實(shí)施勒索贖金的高價(jià)值數(shù)據(jù).如Conti組織還專注于收集與受害者的客戶、財(cái)務(wù)業(yè)績相關(guān)的信息.Clop組織則會(huì)專門收集企業(yè)高管的相關(guān)數(shù)據(jù)等.

針對(duì)此類攻擊,應(yīng)實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)壓縮軟件的可疑活動(dòng),篩選出在短時(shí)間內(nèi)創(chuàng)建的多個(gè)大文件.及時(shí)關(guān)注針對(duì)網(wǎng)絡(luò)系統(tǒng)內(nèi)高價(jià)值數(shù)據(jù)的未經(jīng)授權(quán)訪問操作等.

2) 命令與控制階段.

攻擊者在該階段的主要工作是與網(wǎng)絡(luò)系統(tǒng)中的受害主機(jī)進(jìn)行通信,通過將通信流量模仿成正常流量以避免被發(fā)現(xiàn).

應(yīng)用層協(xié)議(T1071)是最常用與遠(yuǎn)程命令控制服務(wù)器通信的網(wǎng)絡(luò)協(xié)議.為了防止通信內(nèi)容被竊取,還使用加密信道(T1573)技術(shù)對(duì)網(wǎng)絡(luò)通信內(nèi)容進(jìn)行加密,如REvil就使用ECIES等非對(duì)稱加密算法對(duì)通信進(jìn)行了加密,確保數(shù)據(jù)傳輸?shù)陌踩?為了與無法直連的網(wǎng)段內(nèi)的主機(jī)進(jìn)行通信,為逃避檢測,勒索軟件組織會(huì)使用隧道協(xié)議(T1572)和代理(T1090)技術(shù).Conti和Diavol組織常用CobaltStrike作為反向代理,使用ngrok轉(zhuǎn)發(fā)遠(yuǎn)程桌面協(xié)議的端口.Darkside等組織還使用匿名的洋蔥網(wǎng)絡(luò)(Tor)作為代理.遠(yuǎn)程訪問軟件(T1219)如AnyDesk工具是REvil,Diavol等組織常用的工具.

針對(duì)此類攻擊,應(yīng)及時(shí)識(shí)別與已知的惡意地址的連接;及時(shí)關(guān)注網(wǎng)絡(luò)系統(tǒng)內(nèi)的漏洞掃描工具等黑客組織常用工具.

2.7 數(shù)據(jù)滲漏和影響階段使用的技戰(zhàn)術(shù)

1) 數(shù)據(jù)滲漏階段.

該階段是攻擊者實(shí)現(xiàn)牟利的主要階段.在攻擊成功后攻擊者會(huì)聯(lián)系受害者支付贖金,若受害者拒絕,攻擊者會(huì)通過暗網(wǎng)公布或非法拍賣數(shù)據(jù)以牟取經(jīng)濟(jì)利益.一些組織往往通過展示攻擊成果證明其竊取了受害者的數(shù)據(jù),并逼迫受害者繳納贖金.

通過Web服務(wù)進(jìn)行滲漏(T1567)是勒索軟件組織青睞的方式,DarkSide,REvil等組織通常使用MEGA網(wǎng)盤、Gofile文件分享平臺(tái)、DropMeFiles文件共享服務(wù)器進(jìn)行數(shù)據(jù)滲透.Maze等組織會(huì)使用數(shù)據(jù)傳輸限制(T1030)技術(shù)來繞過目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全檢測,將竊取的數(shù)據(jù)進(jìn)行切塊,創(chuàng)建多個(gè)壓縮包,并逐個(gè)上傳,而不是一次性上傳所有數(shù)據(jù).

針對(duì)此類攻擊,應(yīng)監(jiān)控在可疑位置創(chuàng)建的壓縮文件,識(shí)別系統(tǒng)內(nèi)的未知云存儲(chǔ)服務(wù)提供商等.

2) 影響階段.

勒索攻擊的主要方式是加密數(shù)據(jù),并要求受害者支付贖金.因此,防止加密的數(shù)據(jù)被恢復(fù)對(duì)其十分重要.

絕大多數(shù)勒索軟件組織都會(huì)使用禁用系統(tǒng)恢復(fù)(T1490)技術(shù),通過刪除Windows卷影副本、禁用系統(tǒng)恢復(fù)功能、使用強(qiáng)大的加密算法等,使得受害者自行解密并恢復(fù)數(shù)據(jù)的難度極大.為了加大恢復(fù)數(shù)據(jù)的難度,LAPSUS$,REvil等組織還會(huì)使用數(shù)據(jù)破壞(T1485)技術(shù),直接破壞甚至刪除備份服務(wù)器數(shù)據(jù).針對(duì)此類攻擊,應(yīng)檢測任何與WMI相關(guān)的可疑進(jìn)程命令行,實(shí)時(shí)監(jiān)控任何與備份服務(wù)器相關(guān)的操作.

2.8 勒索軟件組織的主要攻擊方法

本節(jié)使用ATT&CK矩陣總結(jié)了勒索軟件組織的主要攻擊戰(zhàn)術(shù)和技術(shù),具體如表5所示.

表5 勒索軟件組織主要攻擊技戰(zhàn)術(shù)

針對(duì)勒索軟件攻擊,應(yīng)從事前、事中、事后3個(gè)環(huán)節(jié)構(gòu)建全流程的防護(hù)體系：一是事前預(yù)防,包括提升網(wǎng)絡(luò)安全防護(hù)意識(shí)、加強(qiáng)重要數(shù)據(jù)備份、及時(shí)進(jìn)行系統(tǒng)加固、更新補(bǔ)丁等;二是事中持續(xù)監(jiān)測,對(duì)內(nèi)網(wǎng)進(jìn)行持續(xù)監(jiān)測,第一時(shí)間發(fā)現(xiàn)失陷主機(jī),全面摸排遭攻擊情況,防止損失面擴(kuò)大;三是事后溯源和加固,及時(shí)對(duì)攻擊事件開展溯源、定位入侵通道和源頭,做好封堵工作和系統(tǒng)升級(jí)工作,防止此類攻擊事件再次發(fā)生.

3 案例研究

2022年4月,Conti勒索軟件組織攻陷哥斯達(dá)黎加20余個(gè)政府機(jī)構(gòu),導(dǎo)致該國宣布進(jìn)入國家網(wǎng)絡(luò)安全緊急狀態(tài),是全球首個(gè)因勒索軟件攻擊導(dǎo)致的國家緊急狀態(tài).本節(jié)使用ATT&CK模型刻畫Conti組織對(duì)哥斯達(dá)黎加政府的攻擊全過程.

1) 初始訪問.

2022年4月初,Conti組織通過前期的信息搜集,在釣魚攻擊的基礎(chǔ)上獲得了哥斯達(dá)黎加財(cái)政部的VPN,以達(dá)到初始訪問的目的.

2) 執(zhí)行.

在通過VPN獲取訪問入口后,Conti組織通過加載惡意載荷和釣魚攻擊的方式,在哥斯達(dá)黎加的內(nèi)網(wǎng)安裝部署Cobalt Strike工具.通過命令腳本解釋器(T1059)和用戶執(zhí)行(T1204)等方式執(zhí)行Cobalt Strike工具,為自己建立進(jìn)入內(nèi)網(wǎng)的后門.

3) 持久化.

Conti組織通過Nltest域信任枚舉的方式在內(nèi)網(wǎng)進(jìn)行網(wǎng)絡(luò)偵察,獲取了局域網(wǎng)管理員和企業(yè)管理員的基本信息.隨后使用Cobalt Strike工具建立的后門和Atera遠(yuǎn)程管理工具進(jìn)行內(nèi)網(wǎng)的連接,保證自己訪問權(quán)限不丟失.

4) 權(quán)限提升.

Conti組織通過創(chuàng)建或修改系統(tǒng)進(jìn)程(T1543)獲取受害者的系統(tǒng)權(quán)限,利用Cobalt Strike工具生成的惡意軟件替換合法的可執(zhí)行文件獲取受害者的系統(tǒng)權(quán)限,通過PsExec命令建立本地管理員訪問權(quán)限.

5) 防御繞過.

Conti組織優(yōu)先選擇那些具有管理員權(quán)限,且用戶活動(dòng)較少的主機(jī),使用Atera遠(yuǎn)程管理工具上傳惡意腳本.通過控制并獲取上述主機(jī)的權(quán)限,關(guān)閉本地的安全防護(hù)軟件以達(dá)到防御繞過的目的.

6) 憑證訪問.

Conti組織使用操作系統(tǒng)憑據(jù)轉(zhuǎn)儲(chǔ)(T1003)技術(shù),利用Mimikatz密碼破解工具,獲取本機(jī)用戶的明文賬號(hào)密碼和各類密碼的NTDS哈希值.伴隨使用暴力破解(T1110)技術(shù),解密NTDS哈希值,獲取本地管理、域和企業(yè)管理員密碼.

7) 發(fā)現(xiàn).

Conti組織通過系統(tǒng)信息發(fā)現(xiàn)(T1082)等技術(shù),獲取受害主機(jī)上的用戶名、機(jī)器名稱等基本信息.以及通過文件和目錄發(fā)現(xiàn)(T1083)等獲取有價(jià)值的信息,以便實(shí)施后續(xù)的攻擊活動(dòng).

8) 橫向移動(dòng).

Conti組織利用遠(yuǎn)程服務(wù)(T1021)技術(shù),特別是SMB管理員共享,通過執(zhí)行PsExec命令進(jìn)行內(nèi)網(wǎng)的橫向傳播.通過使用前期獲取的管理員用戶憑證,盡可能在內(nèi)網(wǎng)進(jìn)行大范圍的傳播擴(kuò)散.

9) 收集.

Conti組織利用前期獲取的用戶憑證,從受控的本地機(jī)器及遠(yuǎn)程共享文件夾搜索本地系統(tǒng)中的數(shù)據(jù)(T1005)和網(wǎng)絡(luò)共享驅(qū)動(dòng)器中的數(shù)據(jù)(T1039),并編制了1份公司資產(chǎn)和數(shù)據(jù)庫的列表,盡可能收集和竊取高價(jià)值數(shù)據(jù),以加大勒索成功率.

10) 命令和控制.

Conti組織使用了命令和腳本解釋器(T1059)技術(shù),通過使用PowerShell命令加載攻擊載荷,上傳ProcesShacker、Power Tools、批處理腳本等,達(dá)到與受害者系統(tǒng)交互的目的.使用AnyDesk等遠(yuǎn)程訪問軟件(T1219)控制受害者主機(jī).使用Cobalt Strike作為反向代理,利用IcedID進(jìn)程代理連接遠(yuǎn)程桌面,通過ngrok轉(zhuǎn)發(fā)遠(yuǎn)程桌面協(xié)議的端口.

11) 數(shù)據(jù)滲漏.

在內(nèi)網(wǎng)中,Conti通過創(chuàng)建一個(gè)Rclone配置文件,利用數(shù)據(jù)轉(zhuǎn)儲(chǔ)工具將數(shù)據(jù)打包并上傳至私有的MEGA網(wǎng)盤,完成數(shù)據(jù)的竊取和傳輸.隨后通過聯(lián)系哥斯達(dá)黎加政府進(jìn)行勒索贖金,并通過自建的暗網(wǎng)博客進(jìn)行數(shù)據(jù)的售賣,對(duì)外聲稱以2000萬美金的價(jià)格出售數(shù)據(jù).

12) 影響.

通過成功攻陷哥斯達(dá)黎加財(cái)政部,Conti借此持續(xù)攻擊了哥斯達(dá)黎加其余政府部門的網(wǎng)絡(luò)系統(tǒng),導(dǎo)致哥斯達(dá)黎加政府宣布進(jìn)入國家網(wǎng)絡(luò)安全緊急狀態(tài).

4 結(jié) 語

ATT&CK模型解決了基于網(wǎng)絡(luò)大數(shù)據(jù)分析的攻擊檢測技術(shù)無法有效還原和刻畫其完整的攻擊鏈條、攻擊路徑的問題,解決了網(wǎng)絡(luò)殺傷鏈模型描述原語不一的問題,并按照攻擊者使用的技戰(zhàn)術(shù)全鏈條清晰刻畫網(wǎng)絡(luò)攻擊事件的全過程.2023年勒索軟件攻擊會(huì)愈發(fā)兇猛、產(chǎn)業(yè)化分工愈發(fā)明晰,對(duì)全球各大經(jīng)濟(jì)體造成的危害也會(huì)更大.因此應(yīng)重視勒索軟件攻擊造成的威脅,提高網(wǎng)絡(luò)安全防護(hù)意識(shí),做好數(shù)據(jù)備份,避免給勒索軟件組織以可趁之機(jī).