盤點近幾年勒索病毒使用過的工具和漏洞
- 2019 年 11 月 29 日
- 筆記
早前,我們從贖金角度探討了下勒索病毒的發展演變,詳細參考從贖金角度看勒索病毒演變。加密數字貨幣和Tor網絡對勒索病毒的基礎性支撐不再贅述,今天,我們回歸技術,從另外一個角度,看勒索病毒為何會如此猖獗。為了很好的回答這個問題,我們同樣不急於切入主題。首先,深信服安全團隊基於大量真實的客戶案例及大量的威脅情報信息,來盤點近幾年勒索病毒使用過的工具和漏洞。
工具
本質上來講,工具是無害的,取決於使用的人,就像一把菜刀,可以用來切菜,也可以用來砍人,不過話又說回來,在特定場景和環境,我們又不得不對這些工具進行限制,同樣以菜刀為例,菜刀在國內地鐵環境下,即密集人流環境下,多數情況下是不允許被攜帶的,原因相信大家都懂的。
其實,對網絡安全、攻防對抗來講,工具也是承擔類似的角色,黑產團隊可以用這些工具,安全團隊也可以用這些工具,至於利弊來講,是取決於使用者的最終目的的。以開源工具Process Hacker為例,安全團隊可以用這個工具進行應急響應、惡意進程分析、病毒查殺;而黑產團隊可以用這個工具對安全軟件進行卸載,對系統或應用級保護機制進行破壞。
對從事勒索病毒活動的攻擊者來講,同樣存在上述現象,攻擊者可以使用大量的工具進行攻擊活動。深信服安全團隊處理過大量的勒索病毒案例,從攻擊現場,捕獲了大量的工具,這些工具都是攻擊者所使用的。當然,這些工具本身也可以被用於正常用途。
ProcessHacker
Process Hacker是一款針對高級用戶的安全分析工具,它可以幫助研究人員檢測和解決軟件或進程在特定操作系統環境下遇到的問題。除此之外,它還可以檢測惡意進程,並告知我們這些惡意進程想要實現的功能。Process Hacker是一個開源項目,Process Hacker跟ProcessExplorer十分相似,但是Process Hacker提供了更多的功能以及選項。而且由於它是完全開源的,所以我們還可以根據自己的需要來自定義其他功能。就是這樣一款工具,安全人員和黑客,均可以拿來使用,至於是用來應急響應和查殺病毒,還是用來破壞系統或應用,就取決於使用者。我們在大量的勒索病毒攻擊中,發現很多中勒索病毒的主機,黑客都會上傳一份ProcessHacker,在執行勒索病毒前,先把本地保護機制破壞掉,防止加密過程被中斷。
PCHunter
PCHunter是一款功能強大的Windows系統信息查看軟件,同時也是一款強大的手工殺毒軟件,用它不但可以查看各類系統信息,也可以揪出電腦中的潛伏的病毒木馬。不過,深信服安全團隊發現,在勒索病毒攻擊活動中,黑客也有可能使用這個工具,原因仍然是想在執行勒索病毒前,先把本地保護機制破壞掉,防止加密過程被中斷。有意思的是,這個工具是國人開發的,也就是工具本身是中文版的,外國人懂的概率比較低(難不成攻擊前得先學中文?)。這裡也是提醒大家,黑產團隊並不局限一個地區的,像勒索病毒這塊「巨大的蛋糕」,國內黑產或華人黑產社區,很難想像不會參與其中。當然,境外人士對國內的勒索攻擊行為相信是佔大頭的,畢竟他們可以肆無忌憚的攻擊政府、醫療等等敏感或公益行業。
Mimikatz
神器Mimikatz是法國人Genti Kiwi編寫的一款windows平台下的工具,它開發了很多功能,最令人熟知的功能是直接從lsass.exe進程里獲取Windows處於激活狀態賬號的明文密碼。也正是因為此功能,常常被黑客所使用,用於提取被入侵主機更多的賬號密碼,在勒索攻擊中非常常見。
上圖顯示了某次勒索攻擊活動中Mimikatz獲取密碼的過程。
PsExec
PsExec 是一個輕型的 telnet 替代工具,它使你無需手動安裝客戶端軟件即可執行其他系統上的進程,並且可以獲得與控制台應用程序相當的完全交互性。這是一款微軟官方網站可以下載的工具,有數字簽名,屬於「根正苗紅」類型的,很少有殺毒軟件會將這個軟件當作病毒的,因為本身它也有正常的用途的。不過,或許正是因為此(殺軟不敢「動它」),黑客在勒索攻擊中,也時常會使用這個工具,進行遠程病毒執行和內網擴散。
NetworkShare
網絡共享掃描工具,用於發現網絡共享資源的,至於用來做什麼,看你的目的了。當然,我們確實在不少的勒索病毒攻擊中,發現了這個工具。
DUBrute
DUBrute是一款強大的遠程桌面(3389)密碼破解軟件,你可以用本附件的掃描功能來自動掃描活躍IP地址,掃描完成後設置好用戶名與需要猜解的密碼就可以開始全自動工作了。
NLBrute
一款爆破工具,跟DUBrute比較類似,不同黑產團隊可能使用不同的爆破工具,或者基於某種考慮,會輪換使用相同類型的不同工具。
WebBrowserPassView
WebBrowserPassView是一款功能強大的網頁密碼查看工具。該款工具會自動找出你在瀏覽器裏面保存過的的帳號和對應的密碼並顯示出來,只要啟動它,經過幾秒鐘之後,就會看到畫面上出現你的瀏覽器所記憶的網址、帳號及密碼了!目前一共支持了IE1~IE9、Firefox、Chrome及Opera等四種主流瀏覽器。
Nasp
一款服務安裝軟件。
KPortScan
一款端口掃描工具。
PortScan & Stuff
一款端口掃描工具。
Lazykatz
Mimikatz作為一款神器,已廣為人知,殺毒軟件已將此軟件視為「病毒」和「黑客工具」。為了逃避檢測和加強繞過,Lazykatz是Mimikatz的升級版本。
PowerTool
PowerTool 一款免費強大的進程管理器,支持進程強制結束,可以Unlock佔用文件的進程,查看文件/文件夾被佔用的情況,內核模塊和驅動的查看和管理,進程模塊的內存的dump等功能。最新版還支持上傳文件在線掃描病毒。支持離線的啟動項和服務的檢測和刪除,新增註冊表和服務的強刪功能,可在PE系統下清除感染MBR的病毒(如鬼影等)。
Masscan
Masscan是為了儘可能快地掃描整個互聯網而創建的,根據其作者robert graham,這可以在不到6分鐘內完成,每秒大約1000萬個數據包。
AnyDesk
AnyDesk是一款免費遠程連接/遠程桌面控制軟件,在一些勒索病毒攻擊活動中,我們發現還是有些黑客為了方便,會預留一個遠程軟件,方便其登錄控制。
DefenderControl
Defender Control是一款實用的Windows Defender控制工具,這款工具的主要作用就是可以對Windows Defender進行開啟和關閉操作。
Rdp_Connector
RDP連接工具,勒索病毒攻擊活動中,RDP弱密碼作為一個很嚴重的問題,經常會被利用。
Netpass
Network Password Recovery(系統管理員密碼查看器)是一款功能強大的系統管理員密碼密碼找回軟件,如果忘記了電腦系統管理員密碼時,通過這款軟件既可以幫助你輕鬆找回,讓你能夠繼續使用電腦。有趣的是,如果你是管理員,找回密碼是一種正常行為,但如果你是勒索病毒的攻擊者,「找回密碼」肯定動機就不單純了,而我們在大量案例中,也確實發現了這個工具的使用痕迹。
Gmer
Gmer是一款來自波蘭的多功能安全監控分析應用軟件。它能查看隱藏的進程服務,驅動, 還能檢查Rootkit,啟動項,並且具有內置命令行和註冊表編輯器 ,Gmer具有強大監控功能。Gmer還具備自己系統安全模式,清理頑固木馬病毒很得心應手!同樣的,我們也在勒索病毒攻擊中,發現了這個工具的使用痕迹。也就是說,工具只要好用,易上手,基本上就會有很多人去用。
漏洞
漏洞在勒索病毒攻擊中,同樣扮演了一個重要角色。由於操作系統和應用軟件的數量、版本眾多,這些系統、軟件和程序,或多或少都存在各種各樣的漏洞,也正是由於這些漏洞的存在,使攻擊行為變得更加快速和高效。以下漏洞,是深信服安全團隊跟蹤和發現的,在近幾年被勒索病毒攻擊所使用的漏洞。
永恆之藍漏洞(MS17-010)
2017年5月12日WannaCry勒索病毒在全球爆發,勒索病毒利用MS17-010永恆之藍漏洞進行傳播感染。短時間內感染全球30w+用戶,包括學校、醫療、政府等各個領域。
Confluence漏洞(CVE-2019-3396)
Confluence是一個專業的企業知識管理與協同軟件,可用於構建企業wiki。2019年4月份,深信服安全團隊捕獲到利用Confluence新型漏洞傳播勒索病毒的事件,已有政企機構受到攻擊,黑客團伙通過漏洞利用入侵服務器,上傳Downloader腳本文件,連接C&C端下載運行勒索病毒。通過樣本中提取的IP進行關聯,該攻擊事件與利用Confluence漏洞(CVE-2019-3396)傳播GandCrab勒索病毒攻擊事件有密切的關聯。
此外,深信服安全團隊,也關注到了國外廠商也發生類似的入侵事故。
參考鏈接:https://blog.alertlogic.com/active-exploitation-of-confluence-vulnerability-cve-2019-3396-dropping-gandcrab-ransomware/
JBoss反序列化漏洞(CVE-2017-12149)
JBoss反序列化漏洞(CVE-2013-4810)
JBoss默認配置漏洞(CVE-2010-0738)
由於大部分服務器都會對外提供服務,這意味着如果系統、應用漏洞沒有及時修補,攻擊者就可能乘虛而入。我們發現有不少的勒索病毒,會嘗試攻擊Weblogic、JBoss、Tomcat等Web應用,之後通過Web應用入侵Windows服務器,下載執行勒索病毒。
註:上圖顯示了某款勒索軟件所內置的JBoss默認配置漏洞利用代碼。
Tomcat任意文件上傳漏洞(CVE-2017-12615)
註:上圖顯示了某款勒索軟件所內置的Tomcat任意文件上傳漏洞利用代碼。
WebLogic任意文件上傳漏洞(CVE-2018-2894)
Satan勒索病毒已更新到V4.2版本,在最新版本中新增加了利用CVE-2018-2894(WebLogic任意文件上傳漏洞)進行傳播。
Weblogic WLS組件漏洞(CVE-2017-10271)
註:上圖顯示了某款勒索軟件所內置的Weblogic WLS組件漏洞利用代碼。
WinRar漏洞(CVE-2018-20250)
2019年2月21日,通用壓縮軟件WinRAR被爆出存在嚴重的安全漏洞,據稱有超過5 億的用戶可能受到該漏洞影響。被發現漏洞的是WinRAR安裝目錄中的一個名為「UNACEV2.dll」的動態鏈接庫文件,該文件自 2005 年發佈至今就從未有過更新過。同年3月17日,首個利用WinRAR漏洞傳播勒索病毒的ACE文件即被發現。當受害者在本地主機上通過WinRAR解壓該文件後便會觸發漏洞,漏洞利用成功後會將內置的勒索軟件寫入到用戶主機啟動項中,當用戶重啟或登錄系統都會觸發執行該勒索軟件,從而導致重要文件被加密。
Windows ALPC 特權升級漏洞(CVE-2018-8440)
Windows提權漏洞(CVE-2018-8120)
在勒索病毒攻擊活動中,也有一些勒索病毒使用了提權漏洞。譬如CVE-2018-8120的存在,在Windows 7、Windows Server 2008 R2和Windows Server 2008中允許從內核提升權限。由於系統進程令牌中存在錯誤對象,因此更改惡意軟件中的此令牌會導致惡意軟件使用系統權限。
註:上圖GandCrab5.0勒索病毒內置的執行CVE-2018-8120漏洞的代碼。
Apache Struts2遠程代碼執行漏洞(S2-045)
註:上圖顯示了某款勒索軟件所內置的Apache Struts2遠程代碼執行漏洞利用代碼。
Apache Struts2遠程代碼執行漏洞(S2-057)
註:上圖顯示了某款勒索軟件所內置的Apache Struts2遠程代碼執行漏洞利用代碼。
Nexus Repository Manager 3遠程代碼執行漏洞(CVE-2019-7238)
Flash遠程代碼執行漏洞(CVE-2018-4878)
Flash類型混淆漏洞(CVE-2015-7645)
Flash越界讀取漏洞(CVE-2016-4117)
Flash Player (CVE-2015-8651)
Internet Explorer內存損壞漏洞(CVE-2016-0189)
一款叫Princess(「公主」)的勒索軟件,就集成了上訴多個漏洞利用代碼。
參考鏈接:
https://malwaretips.com/threads/rig-exploit-kit-distributes-princess-ransomware.75060/
Spring Data Commons遠程代碼執行漏洞(CVE-2018-1273)
社工與爆破
除了工具和漏洞,社工與爆破,也在勒索病毒活動中扮演了十分重要的角色。
VNC爆破
2019年3月,針對遠程管理工具VNC進行大範圍掃描探測被發現,攻擊者使用弱口令字典對運行VNC服務的機器進行爆破連接。爆破成功後,該團伙會在中招企業網絡中運行多種病毒木馬,包括GandCrab5.2勒索病毒、門羅幣挖礦木馬、數字貨幣錢包劫持木馬等均被下載運行。
參考鏈接:https://www.freebuf.com/column/198957.html
RDP爆破
2018年8月,深信服安全團隊陸續接到政府、國企、醫療等多個行業用戶反饋,其業務系統在短時間內出現被勒索加密現象,造成服務器大面積癱瘓,情況危急,原因不明,對如何遏止影響進一步擴大束手無策。深信服安全團隊,通過深入追蹤分析,發現大面積癱瘓,主要是統一的RDP弱密碼造成的,勒索家族為CrySiS,目前仍然是比較活躍的勒索家族之一。黑客主要利用大量黑客工具,進行RDP爆破,利用統一密碼特性,使用相同密碼對全網業務進行集中攻擊,導致重要數據被加密。
參考鏈接:https://www.freebuf.com/articles/terminal/179004.html
Web管理後台弱口令爆破
勒索病毒GandCrab曾多次被爆出通過暴力破解Tomcat Web服務器弱密碼實現入侵。例如通過入侵通過Tomcat Manager管理後台弱口令進行爆破,爆破成功後,攻擊者會上傳一個war包,該war包中包含了一個JSP網頁木馬,這是一個擁有最高權限的WebShell。攻擊一旦得手,黑客就會以此為跳板,繼續向內網擴散。
SMB爆破
SMB是一種非常常用的網絡共享協議,基於SMB漏洞的勒索病毒入侵很多,典型的就是WannaCry勒索病毒。其實,SMB爆破也是勒索病毒入侵的一種常見方式。黑客深入內網後,常見會利用攻擊工具(SMB弱口令爆破)在局域網內橫向擴散。從調查來看,雖然機構大多都有及時修復高危漏洞的意識,但是由於管理不到位,SMB賬號爆破風險依然存在,給了黑客可乘之機。
MySQL爆破
2019年9月,深信服安全團隊發現,全國各地有多處針對MySQL數據庫的勒索病毒現象發生,其主要入侵手段是MySQL賬號密碼爆破,與以往勒索病毒攻擊相差較大的是,表現為不在操作系統層面加密任何文件,而是直接登錄MySQL數據庫,在數據庫應用裏面執行加密動作。加密行為主要有,遍曆數據庫所有的表,加密表每一條記錄的所有字段,每張表會被追加_encrypt後綴,並且對應表會創建對應的勒索信息。
參考鏈接:https://www.freebuf.com/articles/system/213975.html
釣魚郵件
2019年4月,深信服安全團隊接到包括金融行業在內的多家企業反饋,其內部員工收到可疑郵件。郵件發件人顯示為「National Tax Service」(譯為「國家稅務局」),郵箱地址為[email protected],意圖偽裝成美國政府專用的郵箱地址gov.us。追蹤發現,該郵件為GandCrab5.2勒索病毒的釣魚郵件,用戶如果嘗試打開該郵件附件,就會中勒索病毒,從而造成不可估量的損失。
參考鏈接:https://www.freebuf.com/articles/system/200070.html
U盤投毒
2018年12月,GandCrab勒索病毒通過U盤和壓縮文件傳播,一度活躍在包括局域網在內的眾多終端上。該蠕蟲病毒構成的殭屍網絡,過去主要傳播遠控、竊密、挖礦等木馬病毒,而現在開始投遞GandCrab勒索病毒。
參考鏈接:https://www.secrss.com/articles/6806
在地下論壇購買RDP賬號
地下論壇一直是黑產的溫床,對有些黑客來說,並不一定要自己親自去破解用戶賬號密碼。以勒索病毒為例,很早就爆出,一個RDP賬號大概20美元,在地下論壇和市場可以直接購買,然後用于勒索病毒攻擊活動,賺取勒索成功後的巨大差價。
參考鏈接:
https://www.bankinfosecurity.com/ransomware-gangs-not-so-secret-attack-vector-rdp-exploits-a-13342
殭屍網絡
2019年7月,深信服安全團隊捕獲到一起利用Trickbot殭屍網絡下發Ryuk勒索病毒的攻擊事件。Ryuk勒索病毒最早於2018年8月被安全研究人員披露,名稱來源於死亡筆記中的死神。該勒索病毒運營團伙最早通過遠程桌面服務等方式針對大型企業進行攻擊。起初由於代碼結構與Hermes勒索病毒十分相似,研究人員將Ryuk勒索事件歸因於朝鮮的APT組織Lazarus。隨後,國外安全團隊發現了針對已經被TrickBot攻擊的受害者的Ryuk勒索活動,由此關聯出Ryuk勒索事件實為俄羅斯黑客組織GRIM SPIDER所為。在這裡是想提醒大家,現存的殭屍網絡是很龐大的,如果後期殭屍網絡大量被用于勒索攻擊,是一件非常可怕的事情。
參考鏈接:https://www.freebuf.com/articles/system/208537.html
破解軟件
由於某方面原因,有不少用戶喜歡用一些破解或者捆綁類軟件,其實天下沒有免費的午餐,破解或者捆綁軟件,給你帶來「便利」的同時,說不定就會給你預留一個大坑。2018年12月,深信服安全團隊發現一款cexplorer.exe軟件,通過被捆綁的方式而攜帶了勒索病毒。該勒索病毒與正常的應用軟件捆綁在一起運行,捆綁的勒索病毒為STOP勒索病毒的變種,加密後綴為.djvu。如果用戶到官方站點下載,切勿輕信第三方下載鏈接,就可以大大規避此類中招風險,說到底,還是員工安全意識不到位。
參考鏈接:https://www.freebuf.com/articles/terminal/192059.html
結論
通過盤點,可以看到,大量的工具、漏洞、社工與爆破被應用在勒索病毒攻擊活動中。實際上,勒索病毒是一個高度經濟化的產物,如何理解呢?就是各個黑產團隊,會想方設法以最小代價獲取最大利益,因為攻擊有一個成本問題。
以工具為例,其實黑客進行勒索病毒攻擊所使用的工具,很難說就是「黑客工具」,這裏面有很多工具也可以用於正常用途,例如Process Hacker和PC Hunter這種,就是可以用來排查病毒和強制殺死病毒進程的。但實際上,這類安全人員所使用的工具,並沒有規定黑客不能用啊,而且他們完全沒有必要去重新開發,「拿來主義」很方便。既然能用這類工具做對抗,即破壞安全軟件的環境,使勒索病毒能正常運行,所以就會被黑客所頻繁使用。再比如PsExec工具,這個是微軟官方網站的一個工具,所謂「根正苗紅」,但照樣被黑客拿去從事勒索病毒攻擊活動。
以漏洞為例,目標企業(被勒索病毒入侵的對象),本身的系統、版本、業務和軟件是繁多的,有多少漏洞很難講,但實際上,很多時候,黑客並不是要找「最難找」的漏洞(或者發現最新的漏洞,如0day),也不是要「找全」所有的漏洞,作為突破口,很多時候,往往找到一個「最好找」的漏洞即可,由此在目標企業內網撕開一個口子,漫遊內網,並將勒索病毒在內網大肆傳播,獲取巨大利潤。
以社工和爆破為例,目標企業並不是所有人都有很好的安全意識,而攻破一個企業,並不需要把所有人都攻擊到位,只要有個別員工存在「疏忽」行為,點擊不明郵件或下載運行不明軟件,都有可能帶來入口點的突破,從而導致後面勒索病毒在內網的橫向。而且安全和易用性往往有一定的矛盾性,安全部門強調安全性,業務部門強調易用性。業務部門作為生產部門,有很大的話語權,有時候為了更快的運轉,更「方便」底下員工,在管控上都做的不是很到位。譬如,U盤可以亂插拔,網絡可以隨意介入,甚至為了方便(防止忘記密碼),內網大量主機和服務器常常設置弱密碼,並且基本不更新。
工具種類的繁多,本質上是數字化繁榮,即社會活動前所未有的向數字化方向轉移,設想能用軟件解決的問題,誰還會手動去操作或者記錄?能用工具解決的問題,就沒必要用命令行或者大量重複的操作。也就是說,同大多數新型事務一樣,勒索病毒也從數字化繁榮中「得到了發展」,或者「越來越猖獗」。
漏洞,本質是軟件的弱點,這個也很難根治,並且隨着數字化和信息化時代的繁榮,軟件開發速度只會越來越快,種類只會越來越多,版本也是紛繁複雜,所以從長期趨勢來講,黑客可利用的漏洞,是正相關的。而所有漏洞利用和攻擊中,勒索病毒憑藉「短平快」的特點,幾乎會長期存在,並且日趨嚴重。
從社工與爆破來看,內在本質是人的弱點,這個弱點是具有普遍性、通用性的,任何一個人或者一名員工都有可能有這個弱點。雖然說漏洞衍生意義來講,是軟件的弱點,軟件衍生意義來講,也是人的弱點,不過這更多是一個行業人員的弱點,譬如軟件開發者。就勒索病毒來講,在社工與爆破方面,其實只要找到一個這樣的人並成功實施即可,所以對人的安全意識之加強,也是十分繁重的任務。
回到最開始的問題,從技術角度,勒索病毒為何會如此猖獗?答案還是很明顯的,信息化、數字化浪潮中,很多安全問題錯綜複雜,亟待解決。而企業在安全建設的投入,逐漸跟不上攻擊者的「投入」。或者通俗的講,就是得投入更多的人力、更多的基礎設施,去建設企業安全,而不是等勒索病毒出現了再採取行動。
解決方案
其實勒索病毒演變至今,已經不再是單純的個人行為,必須以集體力量對抗集體力量。
勒索病毒攻擊者已經產業化運作,防護者更不應該只是單純的只依賴某個軟件,就指望着解決所有問題,這是很困難的,防勒索,還得系統化思考,深層次多角度進行產業化對抗。
針對勒索病毒,深信服有一套完整的整體解決方案。深信服下一代安全防護體系(深信服安全雲、深信服下一代防火牆AF、深信服安全感知平台SIP、深信服終端檢測與響應平台EDR)通過聯動雲端、網絡、終端進行協同響應,建立全面的事前檢測預警、事中防禦、事後處理的整套安全防護體系。雲端持續趨勢風險監控與預警、網絡側實時流量檢測與防禦、終端事後查殺與溯源,從用戶場景出發,解決系統脆弱性和保證事件響應高效性。
系統脆弱性方面,深信服構建了強大的脆弱性發現和修復機制,降低系統脆弱性風險,主要建設能力包括:漏洞管理、滲透測試、系統和網絡監控、基線核查、日誌聚合與數據分析、補丁管理和部署、安全運營中心等。
事件響應高效性方面,深信服構建了雲網端+安全服務的一整套完整解決方案,我們擁有完整專業的勒索病毒響應流程,防火牆、安全感知、EDR、安全雲腦能在勒索病毒事件發生的全生命周期,進行檢測、攔截和封堵,結合後端強大的安全專家隊伍,能最大限度、最快的保護企業核心數據資產免受勒索病毒的侵害。
*本文作者:深信服千里目安全實驗室,轉載請註明來自FreeBuf.COM
