基于ATT&CK框架解析勒索病毒攻击

前言

本月IB集团发布了2020-2021勒索病毒报告，报告中提到了很多流行勒索病毒家族、勒索病毒攻击传播手法，以及相关勒索病毒威胁的技术细节等，笔者通过IB集团发布的勒索病毒报告内容，基于ATT&CK攻击框架，给大家解析一些常见勒索病毒黑客组织的攻击技术与攻击流程。

一些读者可能对IB集团不熟悉，这里给大家简单介绍一下IB集团，IB集团是一家总部位于新加坡的解决方案提供商，提供威胁检测和情报，预防网络攻击和在线反欺诈解决方案，知识产权保护以及高科技犯罪调查的专业安全公司。

IB集团是国际刑警组织(Europol)的合作伙伴，并成为OSCE组织推荐网络安全解决方案提供商，Group-IB是一支拥有高素质的专业安全人员组成的团队，他们专注于恶意软件分析等领域，参与全球注领先的信息安全活动，他们的客户包含来自阿根廷，澳大利亚，巴西，加拿大，厄瓜多尔，黎巴嫩，俄罗斯联邦，英国和美国的银行，金融机构，石油和天然气公司，软件和硬件供应商，电信服务提供商以及FMCG品牌。

IB集团运营着东欧最大的计算机取证实验室，拥有一支经验丰富的调查团队，能够识别犯罪嫌疑人，并收集和分析网络犯罪现场证据，深入分析攻击事件和有效的事件响应，为企业IT基础架构提供全面的保护。

勒索病毒

勒索病毒无疑已经成为了全球最大的网络安全威胁，勒索病毒的攻击变得越来越复杂，在2019年到2020年期间，IB组的专家估计勒索病毒黑客组织的收益已经超过10亿美元，勒索病毒成为了黑客组织最赚钱的攻击武器之一。在2019年勒索病毒家族的平均赎金约为80000美元，到了2020年平均赎金为170000美元，其中Maze、DoppelPaymer和RagnarLocker这三个勒索病毒家族的平均赎金在100万美元到200万美元。

RaaS(勒索即服务)变的越来越多，这些RaaS普遍存在于地下黑客论坛之中，许多勒索病毒家族通过RaaS计划分发，同时一些顶级的网络犯罪集团通过相关的恶意软件家族帮助勒索病毒进行传播，例如:TrickBot、Qakbot和Dridex等家族，随后一些高端APT攻击黑客组织，例如Lazarus和APT27，也开始使用勒索病毒进行网络攻击。

勒索病毒的攻击手法变的越来越多，一些流行的恶意软件被用于传播勒索病毒，如下所示：

2020年最活跃的勒索病毒家族，如下所示：

其中排名前六位的勒索病毒家族，分别是：Maze、Egregor、Conti、DoppelPaymer、REvil(Sodinokibi)、Netwalker

勒索病毒攻击最常使用的10项技术，如下所示：

使用ATT&CK框架，对勒索病毒攻击的手法进行汇总，如下所示：

ATT&CK框架

ATT&CK是一个图形化攻击框架，这个框架里面的内容其实就是根据各种不同的流行恶意软件攻击技术以及黑客攻击活动总结而来的，下面我们来介绍勒索病毒黑客组织在利用勒索病毒攻击的时候，在ATT&CK框架的各个不同的阶段使用的一些常用的攻击技术和攻击流程。

01

初始访问阶段

勒索病毒攻击者通过RDP方式进行攻击，RDP服务器也不是唯一的外部远程服务目标，攻击者在初始访问阶段还会通过各种VPN设备的漏洞进行攻击，相关的漏洞信息列表，如下所示：

CVE-2018-13379 (Fortinet FortiOS)

CVE-2019-19781 (Citrix Application Delivery Controller (ADC) and Gateway)

CVE-2019-2725 (Oracle WebLogic Server)

CVE-2019-11510 (Pulse Secure Pulse Connect Secure (PCS))

CVE-2019-11539 (Pulse Secure Pulse Connect Secure (PCS))

CVE-2019-18935 (Telerik UI for ASP.NET AJAX)

CVE-2020-5902 (BIG-IP)

CVE-2020-0688 (Microsoft Exchange Server)

2020年开始越来越多地使用恶意软件来获取要访问的目标网络的初始信息，同时大量的僵尸网络运营商与勒索病毒黑客组织合作，将恶意软件投递到目标网络，使用网络钓鱼等方式，在邮件中附带各种恶意Office文档，这些Office文档里面都包含恶意的宏代码，用于安装各种恶意软件，常见的一些使用钓鱼邮件进行传播安装的恶意软件家族，如下所示：

Emotet、TrickBot、Qakbot、Dridex、IcedID、Zloader、SDBBot、Buer、Bazar等。

02

执行阶段

前期初始阶段通过钓鱼邮件进行攻击之后，需要受害者执行相关的交互操作，执行恶意软件的附件，然后通过一些系统组件接口来执行附件中携带的恶意代码，例如：PowerShell、CMD、VBScript、JScript等系统组件，例如Dridex家族，使用PowerShell命令加载Payload执行，如下所示：

同时攻击者还会使用一些已知的攻击框架(包含Cobalt Strike和PowerShell Empire)等进行内网渗透攻击，横向移动等，一些勒索病毒最后还会使用这些系统组件来执行删除磁盘卷影副本等操作。

03

持久化阶段

利用系统注册表自启动项仍然是勒索病毒攻击使用的最常见的持久化手段，例如Bazar Loader就是通过将路径写入系统加载器来实现自启动操作，相应的注册表项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon，勒索病毒还会使用一些其他相关的注册表自启动项可以实现持久化操作，就不一一列举了。

APT27黑客组织在进行勒索病毒攻击的时候还曾使用DLL劫持的方式来实现持久化操作，如下所示：

同时创建计划任务也是常用的一种常见的持久化操作方法，Qakbot就曾使用过这种攻击方法，如下所示：

04

提升权限阶段

攻击者要想获得受害者主机的管理员特权，而又不通知受害者，必须要绕过系统UAC防护，一般勒索病毒会通过使用一些系统漏洞的攻击手法来实现，例如Prolock勒索病毒会利用CVE-2019-0859这个Windows提权漏洞，获得管理员权限，Sodinokbi(REvil)勒索病毒会使用CVE-2018-8453系统漏洞来进行提权操作。

05

防御绕过阶段

攻击者为了逃避安全产品的检查，会使用一些系统工具来加载恶意软件，例如使用BITS来下载恶意软件，如下所示：

除了BITS，有些攻击者会使用msbuild.exe、regsvr32.exe等来执行恶意操作，还会使用各种混淆加密技术对恶意软件进行二次封装，以躲避杀毒软件的静态查杀，一些攻击者在攻陷系统之后，会使用一些专业软件去关闭系统的安全软件。

06

凭证访问阶段

攻击者在攻击的过程中会使用一些黑客工具来获取系统的凭证信息，例如Mimikatz等工具，还会使用一些暴力破解工具，在内网环境中扫描，获取更多的系统的访问凭证信息，例如NLBrute和Hydra都是攻击者非常喜欢使用的系统暴破工具。

07

发现阶段

攻击者在进行内网渗透的时候，为了发现更多的服务器，通常会收集相关的Active Directory信息，一般使用AdFind工具进行信息扫描，通常使用的扫描脚本，如下所示：

Active Directory侦察的另一个常用工具是BloodHound（SharpHound），它可以使攻击者收集和分析有关用户、组和域信任的信息。

08

横向移动阶段

攻陷系统之后，往往需要进行横向移动操作，永恒之蓝(Eternal Blue)是最常见的漏洞用于横向移动，此前在全球范围内大爆发的WannaCry等勒索病毒就是利用了永恒之蓝在内网中进行横向传播，同时在一些勒索病毒的攻击中，还会使用一些其它的系统漏洞进行横向移动，例如一些勒索病毒会利用Zerologon(CVE-2020-1472)漏洞建立易受攻击的Netlogon会话并获得域管理员特权，从而实现横向移动。

在一些布署了PsExec执行工具的企业环境中，攻击者有时还会使用PsExec等工具来进行横向移动感染更多的服务器机器，例如Netwalker勒索病毒会使用如下脚本，进行横向移动，如下所示：

Ryuk勒索病毒则使用了另外一种横向移动的攻击手法，通过远程访问协议直接复制勒索病毒到远程服务器，如下所示：

同时RDP也是一种常用的横向移动的攻击方法，攻击者会使用脚本开启系统服务器的RDP访问权限，然后进行横向移动操作，如下所示：

09

收集阶段

在执行渗透之后，攻击者会使用常用的一些归档程序，例如WinRAR或7-Zip对数据进行压缩处理，例如：Maze勒索病毒黑客组织会将数据分割成多个不部分。

同时在收集数据的时候，一些勒索病毒会有目地的去收集受害者的重要数据，例如：Clop勒索病毒黑客组织会专门收集企业中的一些高层管理人员使用的工作站数据等。

还有一些勒索病毒黑客组织会收集企业共享网络驱动器上存储的敏感数据。

10

控制与命令阶段

在C2通讯阶段，攻击者一般使用一些加密算法，对通信流量进行加密处理，例如：IcedID和Zloader两款恶意软件家族，会使用TLS/SSL对C2通讯数据进行加密处理，攻击者最受欢迎的加密算法是RC4和简单的XOR算法。

数据编码也会使C2通信流量难以检测，例如：Emotet、Hancitor和Buer使用BASE64编码，Valak使用ASCII编码，还有一些勒索病毒使用压缩算法，例如Hancitor使用了LZNT-1压缩算法。

C2流量隐写术也是攻击者常用的一种攻击手法，例如：IcedID会从黑客服务器上下载一个.png文件，其中PNG图片中包含有恶意Payload代码。

攻击者还会使用一些商用的合法工具访问远程受感染的网络，例如：Sodinokibi和Netwalker这两款勒索病毒黑客组织会使用AnyDesk和TeamViewer等远程工具，直接与远程受害者服务器进行交互。

11

数据渗漏阶段

勒索病毒黑客组织在攻击成功，获取企业的重要的数据之后，一般会通过建立暗网网站发布获取到的企业重要数据，例如：DoppelPaymer勒索病毒黑客组织在某暗网网站公布的企业数据，如下所示：

一些勒索病毒黑客组织，还会对获取的企业重要数据进行非法拍卖，例如：Sodinokibi(REvil)勒索病毒黑客组织在某网站上拍卖的企业数据，如下所示：

同时一些勒索病毒黑客组织，不会直接公布企业的数据，往往会通过展示渗透攻击成功之后的一些证据来证明企业的数据被他们盗取了，来逼迫受害者交赎金，勒索病毒黑客组织一般会通过窃取大块数据的形式绕过检测，例如：Maze勒索病毒黑客组织，会创建多个归档文件，其中包含要窃取的数据，如下所示：

最后勒索病毒黑客组织还会使用云存储的方式，这种云存储的方式也是勒索病毒黑客组织常使用的一种方式，他们会将获取到的企业数据存储到类似于MEGA或DropMeFiles等的云服务器上。

12

影响阶段

勒索病毒攻击者攻击的目标主要就是为了加密企业数据，因为很多勒索病毒是通过RaaS模式进行分发的，并且由于每个勒索病毒拥有多个不同的会员，因此相应的TTPS会发生变化，一些勒索病毒是公开的，例如：Sodinokibi(REvil)、Netwalker和DarkSide等，还有一些勒索病毒没有公开，例如：Ryuk、DoppelPaymer和Egregor等，大多数勒索病毒还会内置相应的命令，禁用或删除系统恢复功能，例如：Netwalker勒索病毒会使用WMI删除磁盘卷影副本，同时勒索病毒开发者通常使用强大的加密算法，在没有密钥的情况下基本是无法解密文件，一些常用的勒索病毒使用的加密算法，如下所示：

勒索病毒使用上面的加密算法，没有密钥使受害者无法解密，如果需要解密数据，就必须交赎金，同时勒索病毒黑客组织还会通过公开盗取的企业重要数据的方式，来逼迫受害者交赎金。

总结

2021年勒索病毒黑客组织的攻击活动早已经开始了，而且似乎比2020年更多了，通过监控已经发现有多款勒索病毒的最新变种样本，还出现了很多的新型勒索病毒家族，自从上次Avaddon勒索病毒的解密工具被公布之后，Avaddon勒索病毒运营商也已经在某地下黑客论坛上公布了他们V2.0最新版本，如下所示：

可以预见，2021年勒索病毒的攻击会更加猛烈，攻击手法会更加复杂，参与勒索病毒攻击的黑客组织会更多，全球网络安全威胁已经无处不在，黑客组织不断地在对目标发起攻击或者在寻找着下一个攻击目标。

声明：本文来自安全分析与研究，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。