剖析勒索软件剧本:分析攻击链和映射常见的TTP
2024-8-3 14:18:3 Author: www.freebuf.com(查看原文) 阅读量:2 收藏

鉴于最近一系列大规模勒索软件攻击席卷了各行各业,思科Talos想重新审视一下顶级勒索软件组织目前的现状。他们通过对14个知名勒索软件组织进行全面审查,确定了其战术、技术和程序(TTPs)的几个共同点,以及一些显著的差异和异常值。

Talos的研究表明,最多产的勒索软件参与者会优先考虑获得对目标网络的初始访问权限,其中有效账户是最常见的机制;旨在获取凭据的网络钓鱼活动通常先于这些攻击,这一趋势在所有事件响应中都得到了印证;在过去的一年中,许多组织越来越多地利用面向公众的应用程序中的已知漏洞和零日漏洞,使其成为流行的初始访问媒介。

最新勒索软件趋势概述

AlphV/Blackcat和Rhysida组织以最广泛的TTP脱颖而出,展示了显著的战术多样性。另一方面,BlackBasta、LockBit和Rhysida等组织不仅会加密数据,还会破坏受害者系统,以最大限度地发挥影响。值得注意的是,Clop勒索软件组织主要侧重于通过数据窃取而非典型的加密策略进行勒索,并且是利用零日漏洞的唯一参与者。

此次调查发现是基于对2023年至2024年间14个勒索软件组织的综合分析。这14个勒索软件组织是Talos研究人员根据攻击量、对客户的影响和非典型威胁行为筛选出来的。研究数据涵盖威胁参与者的公开泄漏站点、Cisco Talos事件响应(Talos IR)、Talos内部跟踪工作和开源报告。

在此研究期间,Talos IR积极响应了大量针对美国的勒索软件攻击。这些攻击跨越了广泛的行业(其中制造业和信息部门受灾最为严重),使用各种技术加密数据并要求赎金,其活动导致了严重的财务损失和业务中断。

1722665074_66adc8727b510c13b0daa.png!small?1722665074933

【按泄露站点受害者数量排名的勒索软件组织】

在过去的一年里,勒索软件领域发生了重大变化,出现了多个新的勒索软件组织,每个组织都有独特的目标、运营结构和受害者特征。随着Hunters International、Cactus和Akira等网络犯罪集团开拓出特定的细分市场,专注于独特的运营目标和风格选择,这种网络犯罪活动的多样化凸显了网络犯罪活动正在向“更精细化”转变。

高级武器库:勒索软件行为者使用的知名TTP

利用MITRE ATT&CK框架作为基线,研究人员确定了过去三年中主要勒索软件威胁参与者使用的主要TTP,其中涉及对每个TTP及其执行方法和相关子技术的详细检查,突出了MITRE顶级ATT&CK技术中未强调的独特TTP。

关键研究结果表明,勒索软件领域的许多最突出的组织会优先考虑建立初始访问和防御逃逸策略,并将这些阶段强调为战略重点。在过去的一年中,许多组织利用了面向公众的应用程序中的关键漏洞,使其成为一种流行的攻击媒介,这凸显了对适当的安全控制和补丁管理的迫切需求。

与《Talos年度回顾报告》所确定的趋势相呼应,此次调查数据支持以下结论:勒索软件攻击者继续将重点集中在防御逃避策略上,以增加在受害者网络中的停留时间。典型的防御规避方法包括禁用和修改安全软件(如杀毒程序、端点检测解决方案)或操作系统中的安全功能,以防止检测到勒索软件有效载荷。攻击者还经常通过打包和压缩代码来混淆恶意软件,最终在执行时在内存中解包。他们还会修改系统注册表以禁用安全警报,配置软件在启动时执行,或者阻止用户的某些恢复选项。

1722665092_66adc8843e0d9a45f569e.png!small?1722665092712

【初始访问(左)和防御逃逸(右)期间的顶级TTP】

Talos IR发现2023年和2024年间最流行的凭据访问技术是转储LSASS内存内容。勒索软件威胁参与者经常以本地安全授权子系统服务(LSASS)为目标,通过转储内存提取身份验证凭据。该技术涉及访问LSASS进程的内存,以检索存储在内存中的明文密码、散列密码和其他身份验证令牌。这种策略特别有效,因为它利用了合法系统进程的正常功能。

研究人员还发现了命令和控制(C2)活动的趋势,表明附属机构继续倾向于使用易于访问的合法技术(如AnyDesk和ScreenConnect远程监控和管理应用程序)来维持对受感染系统的影响。 滥用通常受信任的应用程序允许威胁参与者混入公司网络流量,并减少开发独特的自定义C2机制的成本。

典型的勒索软件攻击链

1722665111_66adc8975f8f4b6c0b391.png!small?1722665111896

【典型的勒索软件攻击链】 

在勒索软件攻击的第一阶段,攻击者会努力获得对目标网络的初始访问权限,使用社会工程、网络扫描和开源研究的组合来了解他们的受害者,识别可能的访问向量,并定制他们的初始访问尝试。攻击者可能会发送包含恶意附件或URL链接的电子邮件,这些邮件将在目标系统上执行恶意代码,部署攻击者的工具和恶意软件,并利用多因素身份验证(MFA)。攻击者绕过MFA的方法有很多,包括MFA本身实现不佳,或是他们已经拥有有效的帐户凭据。最值得注意的是,调查已经看到越来越多的勒索软件附属机构试图利用面向互联网的系统中的漏洞或错误配置,例如遗留或未打补丁的软件。

然后,这些威胁参与者将寻求建立长期访问权限,以确保即便其初始入侵被发现并修复,他们的操作也能成功。攻击者经常使用自动化的恶意软件持久性机制,比如在系统启动时执行AutoStart,或者修改注册表项。还可以部署远程访问软件工具和创建本地、域和/或云帐户,以建立二级凭据访问。

在建立持久访问之后,威胁参与者将尝试枚举目标环境,以了解网络结构,定位可以支持攻击的资源,并识别可能在“双重勒索”中盗取的有价值数据。他们利用各种本地实用程序和合法服务,利用薄弱的访问控制并将权限提升到管理员级别,从而顺着攻击链进一步推进。勒索软件参与者会继续这种持续循环,以升级特权并危及其他主机。 研究观察到许多网络扫描工具与本地操作系统工具和实用程序(如Certutil、Wevtutil、Net、Nltes和Netsh)一起使用,以融入典型的操作系统功能,利用受信任的应用程序和进程,并帮助实现恶意软件交付。

在将焦点转移到“双重勒索”模型时,许多攻击者会收集敏感或机密信息,并将其发送到攻击者控制的外部资源。 文件压缩和加密工具WinRAR和7-Zip已被用于隐藏文件,以进行未经授权的数据传输,而攻击者经常使用前面提到的合法RMM工具渗漏文件。自定义数据泄露工具已经被更成熟的RaaS操作开发和使用,提供自定义工具,如Exbyte(BlackByte)和StealBit(LockBit),以促进数据盗窃。 

至此,攻击者已经准备好执行勒索软件有效载荷并开始加密。他们可能采取的攻击准备步骤包括为特定目标定制代码(例如,忽略某些文件类型/位置),在环境中嵌入勒索软件,测试交付机制,并确保勒索软件与攻击者的C2服务器相关并接收来自该服务器的指令。然后攻击者将开始加密网络,并通知受害者他们已被攻破。如果攻击目标是纯粹的数据盗窃勒索,那么可以跳过此阶段。 

勒索软件攻击者利用易受攻击的应用程序(CVE)

Talos IR分析发现,勒索软件攻击者正倾向于利用面向公众的应用程序中的关键漏洞,并发现了三个可重复利用的漏洞:CVE-2020-1472、CVE-2018-13379和CVE-2023-0669。利用这些漏洞和其他关键漏洞可以提供初始访问并导致威胁参与者的特权升级。

CVE-2020-1472(“Zerologon”)

CVE-2020-1472(也被称为“Zerologon”)利用了Netlogon远程协议(MS-NRPC)中的一个漏洞,允许攻击者绕过身份验证机制,并在域控制器的Active Directory中更改计算机密码。勒索软件参与者可以利用此漏洞获得对网络的初始访问权限,而无需身份验证,迅速将权限提升到域管理员级别。这种访问使他们能够操纵安全策略,并可能禁用安全防御,促进畅通无阻的横向移动和攻击进程。 

CVE-2018-13379(Fortinet FortiOS SSL VPN漏洞) 

Fortinet的FortiOS SSL VPN中的路径遍历漏洞被识别为CVE-2018-13379,允许未经身份验证的攻击者通过特制的HTTP请求访问系统文件。勒索软件组织可以利用此漏洞获取敏感信息(例如VPN会话令牌)以进行未经授权地网络访问。在访问安全的情况下,攻击者将通过攻击链在网络内横向移动,利用进一步的漏洞或脆弱配置,部署勒索软件并渗漏数据。 

CVE-2023-0669(GoAnywhere MFT漏洞)

CVE-2023-0669首次发现于2023年1月,影响了GoAnywhere托管文件传输(MFT)软件,允许远程攻击者在无需身份验证的情况下在服务器上执行任意代码。这个关键漏洞使攻击者能够直接将勒索软件有效载荷部署到服务器上,或者使用受感染的服务器作为进一步内部侦察和横向移动的枢纽。执行任意代码的能力使攻击者能够操纵系统,创建后门和禁用安全控制。 

Talos最近还报告了针对思科自适应安全设备(ASA)的复杂攻击,这是国家行为体黑客组织针对外围网络设备的关键漏洞利用的进一步例证。思科的PSIRT和Talos威胁情报发现了前所未知的攻击者UAT4356,该攻击者使用定制工具进行复杂的间谍活动,并利用CVE-2024-20353和CVE-2024-20359两个漏洞作为该活动的一部分。

事实证明,面向公众的应用程序的安全性仍然是一个重要的领域,因为组织持续依赖可扩展的软件应用程序作为其日常业务操作的关键部分,这对组织的安全性和数据完整性产生了重大影响。利用这些漏洞可能导致严重的中断、经济损失和声誉损害。

缓解建议

  • 定期补丁管理:始终如一地为所有系统和软件应用补丁和更新,以及时解决漏洞,降低被利用的风险。
  • 严格的密码策略和MFA:实施强密码策略,要求每个帐户使用复杂且唯一的密码。此外,实施多因素身份验证(MFA)以增加额外的安全层。
  • 系统和环境加固:应用最佳实践来加固所有系统和环境,通过禁用不必要的服务和特性来最小化攻击面。
  • 网络分离和客户端网络身份验证:使用VLAN或类似技术对网络进行分段,以隔离敏感数据和系统,防止违规情况下的横向移动。除了利用1X等网络访问控制机制在授予网络访问权限之前对设备进行身份验证,确保只有经过授权的设备连接。
  • 监控和端点检测和响应:实施安全信息和事件管理(SIEM)系统,持续监控和分析安全事件,此外在所有客户端和服务器上部署EDR/XDR解决方案,以提供高级威胁检测、调查和响应功能。
  • 最小特权原则:采用最小特权方法,确保用户和系统只有执行其功能所需的最低级别访问权限,从而限制受损帐户的潜在损害。
  • 尽量减少IT暴露:通过限制面向公众的服务的数量,以及确保对任何必要的外部接口的强大保护来减少IT系统的对外暴露。

原文链接:

https://blog.talosintelligence.com/common-ransomware-actor-ttps-playbooks/


文章来源: https://www.freebuf.com/articles/paper/407741.html
如有侵权请联系:admin#unsafe.sh