一、事件背景
2021年5月,綠盟科技CERT監測到REvil/Sodinokibi勒索家族的多起活動,REvil為Ransomware Evil(又稱Sodinokibi)的縮寫,是一個私人勒索軟件即服務(RaaS)組織。于2019年4月首次被發現,在一年內就已被用于一些知名網絡攻擊,2019年8月的PerCSoft攻擊,2020年1月的Travelex勒索軟件攻擊,及2020年1月的Gedia Automotive攻擊等事件。近期,該組織入侵了蘋果公司的供應商,并竊取了蘋果公司即將推出的產品機密原理圖。
多數網絡安全專家認為,REvil是以前一個臭名昭著但已解散的黑客團伙GandCrab的分支。該推測源于REvil在GandCrab停止運營后立刻開始活動,且二者使用的勒索軟件存在大量共享代碼。
二、組織分析
Sodinokibi運營商通常雇用黑客攻擊者進行初始入侵。他們的攻擊往往從熟悉的技術開始,如帶有魚叉式釣魚鏈接或附件的惡意郵件、使用有效賬戶的RDP訪問、已被入侵的web網站和漏洞利用等。并且還會使用一些對目標具有針對性的技術。
Sodinokibi家族采用勒索軟件即服務的模式,意味著分發的攻擊者將向運營商支付最新版本的使用費,并由勒索組織為他們運營基礎設施。在Sodinokibi的配置中有兩個字段,將跟蹤客戶端和部署勒索軟件期間的特定客戶端活動。
三、攻擊手法分析
Sodinokibi病毒本身并不具備自動傳播功能,主要依靠攻擊者手動傳播,但會通過掃描局域網共享資源,嘗試加密共享文件。勒索病毒團伙對特定目標進行長期滲透,獲取內網權限并控制關鍵生產設施(例如域控主機),然后通過特定方式(例如域策略、PsExec遠程連接執行等)在內網中傳播加密病毒主體程序。在入侵過程中,攻擊者使用了很多類似APT組織的手段,如利用CobaltStrike等遠控木馬長期駐留、收集敏感文件、白加黑實現勒索病毒免殺等。
某案例中,攻擊者通過powershell命令禁用Windows Defender的實時保護:
通過共享拷貝與wmic命令,將勒索病毒樣本拷貝到目標主機并執行:
或者通過域控下發組策略的方式,將勒索病毒樣本拷貝到終端并執行。勒索病毒本體具有有效數字簽名,并采用了白加黑的方式,躲避殺毒軟件查殺。
攻擊者還會使用powershell或MSBUILD命令執行文件加載CobaltStrike 遠控木馬以實現長期權限維持。
病毒本身并不具備系統駐留功能,不會讀寫被加密終端的任何啟動項。但在一些案例中發現,部分攻擊者通過批處理的方式新建定時計劃任務來不斷啟動加密程序,以便達到感染新文件、新存儲介質的目的。
REvil家族在滲透的過程中除了投放勒索病毒,還會收集上傳被攻擊系統的文件。某案例中,勒索信提到“我們還從您的服務器下載了大量敏感數據,如果您不付款,我們將會把您的文件上傳到我們的公共博客”。
在本地開啟網絡共享,并通過psexec工具,利用通用口令,批量將users.ps1拷貝到目標主機。
使用psexec命令,批量執行拷貝到目標主機的users.ps1文件。
攻擊者會通過powershell腳本搜集系統敏感文件并上傳。腳本作用:收集目標主機120天內創建的指定后綴文件,并上傳到目標主機共享目錄。
通過注冊表信息,確認攻擊者安裝了TntDrive客戶端,并將云存儲對象掛載到本地磁盤U(攻擊者上傳文件的共享目錄)。
四、CobaltStrike分析
原始powershell代碼使用powershell base64編碼:
解碼后內容如下:
進行二次解碼,獲取到powershell真實代碼,功能為將腳本中的數據進行異或,加載到內存中執行。此腳本為Cobaltstrike powershell形式的payload。
將加載到內存中的內容恢復成二進制文件,可以獲取到CS beacon的回連地址。通過回連地址發現,此shellcode是CS的SMB beacon,主要用于內網滲透。
五、勒索樣本分析
5.1 釋放本體
樣本入口如下:
會釋放出一個exe和一個dll到臨時目錄,并啟動進程MsMpEng.exe
釋放的MsMpEng.exe文件本身無惡意功能,主要用于給Mpsvc.dll提供運行環境,病毒的所有行為都在該dll文件中。接口為Mpsvc.dll的導出函數ServiceCrtMain:
導出函數ServiceCrtMain任務是:
PE如下:
還原PE標記,使用PE文件解析器可正常解析,但導入表被加密,后來發現病毒手動調用要使用的API(動態解密)。
該PE文件為病毒本體,到此病毒本體釋放完成。
病毒本體概覽:
5.2 病毒配置表
該勒索病毒有張配置表,該配置表單主要記錄了病毒加密行為以及勒索文本如下:
文件目錄排除:
“fld”:[“$windows.~bt”,”intel”,”google”,”windows”,”torbrowser”,”$windows.~ws”,”applicationdata”,”mozilla”,”windows.old”,”perflogs”,”appdata”,”msocache”,”boot”,
“systemvolumeinformation”,”programfiles”,”programfiles(x86)”,”$recycle.bin”,”programdata”],
文件排除:
“fls”:[“thumbs.db”,”bootsect.bak”,”desktop.ini”,”ntldr”,”ntuser.dat”,”autorun.inf”,”iconcache.db”,”boot.ini”,”bootfont.bin”,”ntuser.ini”,”ntuser.dat.log”],
文件擴展名排除:
“ext”:[“exe”,”mod”,”shs”,”cpl”,”idx”,”diagcfg”,”ico”,”nomedia”,”sys”,”cmd”,”key”,”msp”,”msstyles”,”bin”,”rom”,”bat”,”cur”,”diagcab”,”ldf”,”dll”,”scr”,”hta”,”rtp”,”hlp”,”theme”,”msi”,”com”,”prf”,”spl”,”wpx”,”deskthemepack”,”diagpkg”,”mpa”,”icns”,”ps1″,”drv”,”ics”,”nls”,”adv”,”msu”,”cab”,”lnk”,”ocx”,”ani”,”themepack”,”icl”,”msc”,”386″,”lock”]},
文件目錄移除:
“wfld”:[“backup”],
停用服務清單:
“prc”:[“mydesktopqos”,”thebat”,”synctime”,”onenote”,”mspub”,”dbsnmp”,”isqlplussvc”,”tbirdconfig”,”oracle”,”xfssvccon”,”wordpad”,”agntsvc”,”sqbcoreservice”,”ocautoupds”,”firefox”,”msaccess”,”thunderbird”,”excel”,”outlook”,”encsvc”,”visio”,”powerpnt”,”ocomm”,”steam”,”mydesktopservice”,”ocssd”,”sql”,”winword”,”dbeng50″,”infopath”]
殺死服務清單:
“svc”:[“veeam”,”sql”,”svc$”,”backup”,”sophos”,”vss”,”memtas”,”mepocs”]
勒索文本:
[+] Whats Happen? [+]
Your files are encrypted, and currently unavailable. You can check it: all files on your system has extension u89416xh.
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
[+] What guarantees? [+]
………………………………..
并且病毒會判斷所感染計算機使用的語言,如下:
使用函數GetUserDefaultUILanguage,GetSystemDefaultUILanguage返回的ID和列表框中的ID不同,那么為感染目標,通過此處來看修改非目標計算機語言可排除感染該病毒。病毒會創建互斥體確保唯一運行,病毒會多次檢查自己的句柄權限是否為管理員權限,如果權限不夠將會重新以管理員權限重新啟動自己,并且激活相關權限。
5.3 主體功能
5.3.1 本地加密
病毒實際的行為是在Sub_F4476F_Start函數中,如下:
病毒首先清空回收站,關閉清單中的相關服務,殺死清單中進程,然后在激活相關權限的情況下,開始加密功能。主要使用FindFirstFile 和FindNextFile來查找所有文件,使用salsa20+AES的算法進行文件加密。
在加密的過程如果發現文件為目標感染文件,但被進程占用,病毒會調用terminateProcesss結束相關進程,再進行加密。
加密函數如下:
網絡磁盤加密
病毒也會同時對網絡磁盤中的文件進行加密,如下:
5.3.2 嘗試加密局域網共享文件
在加密的過程中病毒有枚舉局域網計算機的行為,主要是查找局域網共享,嘗試加密共享文件。
5.4 顯示桌面勒索背景
在加密功能完成以后會通過設置注冊表設置桌面背景為勒索圖片。
六、勒索軟件防范建議
- 加強企業員工安全意識培訓,不輕易打開陌生郵件或運行來歷不明的程序;
- 盡量排除危險端口對外開放,利用IPS、防火墻等設備對危險端口進行防護(445、139、3389等);
- 開啟Windows系統防火墻,通過ACL等方式,對RDP及SMB服務訪問進行加固;
- 通過Windows組策略配置賬戶鎖定策略,對短時間內連續登陸失敗的賬戶進行鎖定;
- 加強主機賬戶口令復雜度及修改周期管理,并盡量排除出現通用或規律口令的情況;
- 修改系統管理員默認用戶名,排除使用admin、administrator、test等常見用戶名;
- 安裝具備自保護的防病毒軟件,防止被黑客退出或結束進程,并及時更新病毒庫;
- 及時更新操作系統及其他應用的高危漏洞安全補;
- 定時對重要業務數據進行備份,防止數據破壞或丟失。
七、產品防護
針對此類事件,綠盟科技網絡入侵防護/檢測系統(IPS/IDS)、綜合威脅探針(UTS)與下一代防火墻 (NF)已發布規則升級包。請相關用戶升級至最新版本規則,以形成安全產品防護能力。產品規則版本號如下:
產品 |
升級包版本 |
升級包下載鏈接 |
IPS/IDS規則包 |
5.6.9.25418 5.6.10.25418 5.6.11.25418 |
http://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.9 http://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.10 http://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.11 |
UTS規則包 |
5.6.10.25418 |
http://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.0 |
NF規則包 |
6.0.1.850 6.0.2.850 |
http://update.nsfocus.com/update/listNewNfDetail/v/rule6.0.1 http://update.nsfocus.com/update/listNewNfDetail/v/rule6.0.2 |
八、IOCs
835f242dde220cc76ee5544119562268
7d1807850275485397ce2bb218eff159
8cc83221870dd07144e63df594c391d9
主機特征:
%TEMP%\MsMpEng.exe
%TEMP%\Mpsvc.dl