Get best of the week

如何降低与勒索软件相关的风险

如今,当远程工作变得司空见惯,并且信息安全专家(尤其是医疗保健和其他关键行业)的负担从未如此之高时,管理密码应用程序的黑客组织的活动并没有减弱。

数月之内,众多黑客组织渗透到各种网络中并积累了“实力”,它们在4月上半月激活了数十个勒索软件应用程序的副本。医疗设施,医疗保健计费公司,制造商,运输公司,政府机构和培训软件开发人员遭受了攻击。这表明,尽管发生了全球危机,但此类黑客组织却忽略了关键服务的功能。但是,其他地区的公司也受到了攻击,因此组织需要特别注意妥协的迹象。

在密码学家工作的两周内,受到勒索攻击的次数略有增加。但是,在Microsoft专家进行的研究以及DART团队(Microsoft检测和响应团队)对另一事件进行的调查结果之后,事实证明,很多提供攻击可能性的妥协案甚至更早发生了。攻击者使用典型的使用人为控制的勒索软件应用程序进行攻击的技术,在过去几个月中入侵了目标网络,并等待机会在最适当的时候通过部署恶意软件将其获利。

这些攻击中的许多攻击始于对可从Internet访问的易受攻击的设备的研究。在某些情况下,借助蛮力,RDP服务器受到了威胁。攻击过程中使用了各种各样的工具,但是所有工具都使用了使用人为控制的勒索软件应用程序进行攻击的相同技术:窃取凭据和“偏见”,之后,攻击者便按需部署了工具。由于勒索软件应用程序的引入是在攻击的最后阶段进行的,因此防御者应着重于发现入侵者窃取会计信息的痕迹以及“横向迁移”的迹象。

在本文中,我们将讨论使用勒索软件应用程序对此类活动进行分析的结果。

内容:


我们添加了许多技术细节,包括检测攻击的指南和有关信息安全措施优先级的建议。

可从Internet访问的脆弱且不受监视的系统,使人为攻击变得容易


尽管在最近的攻击中部署了新的勒索工具,但许多攻击都使用了先前活动留下的基础设施。他们还使用了以人为驱动的勒索软件进行其他攻击时众所周知的技术。

与通常以更快的速度通过电子邮件传递的恶意软件攻击不同,在最初渗透后的一个小时内,四月份的攻击类似于2019年使用Doppelpaymer进行的攻击。然后,攻击者提前获得了对目标网络的访问权限。然后他们等待了几个月,选择了合适的时间来部署勒索软件应用程序。

在最近的攻击中,使用了可从Internet访问的具有以下缺点的系统来渗透目标网络:

  • Remote Desktop Protocol (RDP) (MFA).
  • , (, Windows Server 2003 Windows Server 2008). .
  • -, IIS, , .
  • Citrix Application Delivery Controller (ADC) CVE-2019-19781.
  • Pulse Secure VPN CVE-2019-11510.

为防止此类攻击,将安全修补程序应用于可从Internet访问的系统至关重要。另请注意:尽管Microsoft专家尚未注意到这一点,但累积的信息表明,攻击者最终可以利用这些漏洞:CVE-2019-0604CVE-2020-0688CVE-2020-10189

就像在许多渗透案例中一样,网络犯罪分子偷走了凭证,使用诸如Mimikatz和Cobalt Strike之类的流行工具使用“横向偏见”,并从事网络侦察和数据提取。恶意软件操作员获得了具有管理员特权的帐户访问权限,在这种情况下,他们准备进行更具破坏性的操作。在攻击者安装了软件的网络中,他们故意保留了某些端点的存在,打算在收到赎金或重新安装系统后再次开始其活动。尽管通过出售收集到的数据只有少数黑客团体可知,但几乎所有黑客团体都在攻击过程中查看并提取了数据,即使他们尚未发布或出售被盗信息也是如此。

就像在所有使用人工控制的勒索软件进行的攻击中一样,在上述情况下,攻击者的活动遍布网络,包括电子邮件,端点,应用程序等等。由于专家甚至可能很难完全摆脱受到威胁的网络中的网络罪犯,因此修补可从Internet访问的易受攻击的系统并引入限制以降低风险非常重要。

杂色勒索公司


本章介绍了不同类型的攻击和勒索软件系列,但我们讨论的攻击遵循一种流行的模式,但略有不同。攻击通常以相同的方式以相似的方式发展。攻击结束时对特定勒索软件程序的选择几乎完全取决于攻击者的喜好。


RobbinHood勒索软件


由于在攻击的后期使用易受攻击的驱动程序来禁用安全软件,因此RobbinHood勒索软件运营商已引起关注但是,就像在许多类似的攻击中一样,它们始于对不安全资源上的RDP进行暴力破解。结果,攻击者获得了高特权凭证,主要是从具有公共或公共密码的本地管理员帐户以及具有域管理员特权的服务帐户获得的。RobbinHood运营商以及Ryuk运营商和其他不受干扰的黑客团体,都留下了新的本地和Active Directory帐户,以便在删除工具后再次访问网络。

Vatet引导程序


攻击者经常更改其基础结构,方法和工具来避免臭名昭著,这可能引起执法机构或信息安全领域研究人员的注意。通常,黑客会坚持使用自己的工具,等待信息安全公司考虑使相应的工件不活动以吸引较少的关注。 Vatet是Cobalt Strike框架的加载器,该框架于2018年11月在攻击中使用,并在最近的事件中再次浮出水面。

装载机操作员可能打算专门研究医院,医疗设施,胰岛素供应商,医疗设备制造商和其他关键组织。这些是与数十种攻击有关的一些最多产的勒索软件操作员。

在Vatet和Cobalt Strike的帮助下,黑客组织安装了各种勒索软件。他们最近部署了一个使用备用数据流(ADS)的内存中应用程序,并显示了较旧应用程序系列的回购要求的简化版本。攻击者可以使用漏洞CVE-2019-19781,具有RDP的端点bruteforce以及带有运行恶意PowerShell命令的.lnk文件的邮件来访问网络一旦被黑客入侵网络,黑客便会窃取凭据(包括从凭据管理器存储库中窃取凭据),并使用“横向偏见”,直到他们获得域管理员权限。根据观察,在部署勒索软件程序之前,运营商会从网络中提取数据。

NetWalker勒索软件


NetWalker运营商因袭击医院和医疗设施而臭名昭著,在此期间,他们发出了承诺提供有关COVID-19信息的信件。NetWalker程序以.vbs附件的形式包含在字母中,该技术引起了媒体的关注。但是,运营商还使用配置不当的基于IIS的应用程序启动Mimikatz程序并窃取凭据,从而危害了网络。然后,攻击者使用这些信息启动PsExec,结果安装了NetWalker。

PonyFinal勒索软件


该Java程序被认为是新颖的,但是使用它进行攻击的情况并不少见。运营商破坏了可从Internet访问的Web系统,并获得了特权凭证。为了确保在被攻击的网络上存在的稳定性,攻击者使用PowerShell命令启动mshta.exe系统工具,并基于流行的PowerShell框架针对攻击配置反向Shell连接。此外,黑客还使用Splashtop之类的合法工具来维护与远程桌面的连接。

迷宫勒索软件


首批以出售被盗数据为头条的勒索软件活动之一。迷宫继续专注于技术提供商和公共服务。该勒索软件用于托管服务提供商(MSP),以访问其客户的数据和网络。

迷宫通过字母传播,但是运营商在使用常见的攻击媒介(例如RDP蛮力)访问网络后也安装了该程序。攻击者渗透到网络后,会窃取凭据,执行“横向偏移”以获取对资源的访问权并提取数据,然后安装勒索软件。

在最近的一次黑客活动中,Microsoft研究人员跟踪了Maze操作员如何通过RDP暴力获取Internet可访问系统上本地管理员帐户的访问权限。在强行使用密码后,操作员可以执行“侧移”,因为其他端点上的内置管理员帐户使用了相同的密码。

黑客从域管理员的帐户中窃取了凭据,然后使用Cobalt Strike,PsExec和许多其他工具来交付各种有效负载并获得对数据的访问权限。攻击者使用任务调度程序和运行基于PowerShell的远程Shell的服务在网络上组织了无文件的存在。另外,黑客还打开了Windows远程管理,以使用被盗的域管理员帐户维护控制权。为了减弱对信息安全的控制,以准备安装勒索软件,攻击者通过组策略操纵了各种设置。

勒索软件REvil


这可能是第一批勒索软件运营商,他们利用Pulse VPN中的网络漏洞窃取凭据以获取对网络的访问权限。REvil(或Sodinokibi)以渗透MSP,获得对客户网络和文档的访问权以及出售对他们的访问权限而闻名。在当前的危机中,攻击者继续这样做,攻击了MSP和其他目标,包括政府机构。REvil攻击以使用新漏洞而著称,但其方法与许多其他黑客组织的方法相似:在渗透网络之后,使用Mimikatz和PsExec等工具来窃取凭据,“横向偏见”和侦察。

其他勒索软件系列


在本报告所述期间,还注意到使用了此类由人管理的应用程序族:

  • 天堂 它曾经通过信件直接分发,但现在已用于人为攻击。
  • RagnarLocker。由积极使用RDP和Cobalt Strike并被盗用的小组使用。
  • 美杜莎储物柜。可能是通过预先存在的Trickbot感染安装的。
  • 锁位 由使用公开提供的CrackMapExec渗透测试工具执行“横向位移”的运营商分发。

立即响应持续的攻击


我们强烈建议组织立即检查与所描述的攻击有关的警报,并优先进行调查和系统恢复。防御者应注意以下几点:

  • PowerShell, Cobalt Strike , « ».
  • , , Local Security Authority Subsystem Service (LSASS) , .
  • , USN — .

使用Microsoft Defender高级威胁防护(ATP)的公司可以参考威胁分析报告,以获取相关警报和高级检测技术的详细信息。使用Microsoft Threat Experts服务的用户还可以使用针对性的攻击通知,其中包括详细的历史记录,建议的保护措施和恢复提示。

如果您的网络已受到攻击,请立即按照以下步骤评估情况。在确定这些攻击的影响时,您不应仅依靠危害指标(IOC),因为大多数提到的勒索软件程序都使用“一次性”基础架构,其作者经常更改其工具和系统,从而确定其检测目标的功能。在可能的范围内,检测和减少接触的方法应使用基于综合行为模式的技术。您还需要尽快关闭网络犯罪分子使用的漏洞。

分析被攻击的端点和凭据


标识受攻击端点上可用的所有凭据。应该认为攻击者可以访问它们,并且与它们相关联的所有帐户都应受到破坏。请注意,攻击者不仅可以复制在交互式或RDP会话中登录的帐户的凭据,还可以复制用于服务帐户和计划任务的缓存的凭据和密码,这些都存储在LSA Secrets注册表部分中。

  • 对于Microsoft Defender ATP中内置的终结点,请使用高级方法来识别登录到受攻击点的帐户。为此,威胁分析报告中有一个搜寻查询。
  • Windows, , — 4624 2 10. 4 5.


隔离具有控制和控制迹象或已成为“横向位移”目标的关键点。使用高级搜索查询或其他直接搜索方法为相关IOC标识这些端点。使用Microsoft Defender ATP 隔离计算机,或使用其他数据源(例如NetFlow)在SIEM或其他集中式事件管理工具中进行搜索。从已知的受害端点寻找“横向移位”的迹象。

可从Internet访问的关闭漏洞


确定攻击者可以用来访问您的网络的外围系统。您可以使用公共扫描界面(例如shodan.io)来补充分析黑客可能对此类系统感兴趣:

  • 无需多因素身份验证的RDP或虚拟桌面。
  • 具有CVE-2019-19781漏洞的Citrix ADC系统。
  • 具有CVE-2019-11510漏洞的Pulse Secure VPN系统。
  • 具有漏洞CVE-2019-0604的Microsoft SharePoint Servers。
  • 具有漏洞CVE-2020-0688的Microsoft Exchange服务器。
  • 具有漏洞CVE-2020-10189的Zoho ManageEngine系统。

为了进一步减少组织的漏洞,Microsoft Defender ATP客户可以利用威胁和漏洞管理(TVM)功能来识别,确定优先级并关闭错误配置中的漏洞。TVM使IT安全专业人员和管理员可以共同摆脱已发现的弱点。

检查并修复受恶意软件感染的设备


许多黑客通过诸如Emotet和Trickbot之类已经实施的程序渗透到网络中。这些工具家族被分类为银行木马,可以提供任何有效负载,包括永久软件书签。检查并消除所有已知的感染,并考虑它们可能是危险的人类对手的攻击媒介。在恢复受攻击的端点或更改密码之前,请确保检查所有打开的凭据,有效负载的其他类型以及“横向移位”的迹象。

信息卫生以保护网络免受人类驱动的勒索软件的侵害


随着黑客操作者发现更多的受害者,防御者应使用所有可用工具预先评估风险。继续应用所有经过验证的预防解决方案-凭据卫生,最低特权和主机防火墙-防止利用安全漏洞和冗余特权的攻击。

通过以下措施,增强网络对渗透,重新激活软件书签和“横向移位”的抵抗力:

  • 将随机生成的密码用于管理员帐户,例如使用LAPS。
  • 应用帐户锁定策略
  • . , .
  • C « ». TCP- 445 , .
  • Microsoft Defender , . .
  • Office, Office 365 Windows. Microsoft Secure Score , .
  • , .
  • , -:
    • .
    • PsExec WMI-.
    • Windows (lsass.exe).

有关在一般情况下改善对人类控制的勒索软件程序的防护以及创建更可靠的抵御网络攻击的保护的更多技巧,请参阅人为操作的勒索软件攻击:可预防的灾难

Microsoft威胁防护:针对复杂和大规模勒索软件驱动的人为驱动的应用程序提供协调保护


4月份使用勒索软件进行攻击的次数增加表明,黑客不必担心由于全球危机期间其服务中断而造成的后果。

由于攻击者精通系统管理和保护工具的配置,因此使用人工控制的勒索软件程序进行的攻击代表了一种新的威胁级别,因此他们可以找到一种抵抗力最小的方法。面对障碍,他们试图打破障碍。如果无法解决问题,他们将展示出寻找新的攻击开发方式的独到之处。因此,使用人工控制的勒索软件进行的攻击是复杂且广泛的。不会发生两次相同的攻击。

Microsoft威胁防护(MTP)提供协调一致的防御,使用人工驱动的勒索软件帮助阻止整个复杂的攻击链。 MTP结合了各种Microsoft 365安全服务的功能,以管理端点,电子邮件,帐户和应用程序的保护,预防,检测和响应。

使用内置的智能,自动化和集成工具,MTP能够阻止攻击,消除入侵者的存在并自动恢复受攻击的资源。该工具比较并合并警报和警报,以帮助倡导者根据调查和响应对事件进行优先级排序。 MTP还具有独特的跨域搜索功能,这将有助于识别攻击的增长并了解在每种情况下如何加强防御。

Microsoft威胁防护是芯片到云方法的一部分,它结合了硬件保护,操作系统和云保护。 Windows 10中硬件支持的安全功能(例如地址空间布局随机化(ASLR),控制流保护(CFG)等)提高了平台抵抗许多严重威胁的能力,包括那些利用内核驱动程序漏洞。这些安全功能无缝集成到Microsoft Defender ATP中,后者提供了从强大的硬件信任根开始的端到端保护。在具有安全内核的计算机(Secured-core PC)上,默认情况下启用这些限制。

我们将继续与客户,合作伙伴和研究社区合作,以跟踪以人为驱动的勒索软件和其他复杂工具。在困难的情况下,客户可以使用Microsoft检测和响应(DART)命令来帮助调查和恢复。

附录:MITRE ATT&CK发现的技术


使用人工管理的勒索软件程序进行的攻击使用了多种技术,攻击者在获得特权域帐户的控制权后即可使用。以下列出的是在2020年4月对医疗保健和重要组织的攻击中广泛使用的技术。

访问凭证:


长期存在:


管理与控制:


研究:


执行:

  • T1035服务执行 | 注册运行CMD-的服务(例如ComSpec)和PowerShell命令。

“横向位移”:


避免使用防护装备:

  • T1070主机上的指示灯卸下 | 使用wevutil清除事件日志,使用fsutil删除USN日志,使用cipher.exe删除驱动器上未使用的空间。
  • T1089禁用安全工具 | 使用ProcessHacker以及易受攻击的软件驱动程序停止或入侵防病毒和其他保护。

影响:

More articles:


All Articles