MITRE ATT&CK框架是一个综合矩阵,用于显示网络攻击的生命周期。该框架分为14种高级战术(Tactics),每种战术都包含多种技术(Techniques)。当存在多种不同的技术方法时,高级技术也进一步分为子技术。例如,初始访问(战术)可以通过网络钓鱼(技术)获得,而特定类型的网络钓鱼是通过鱼叉式网络钓鱼附件(子技术)获得的。将多个威胁行为者或恶意软件家族映射到ATT&CK框架可以突出威胁行为者活动的趋势,并帮助防御者集中精力进行检测。
Insikt Group通过回顾最近备受关注的攻击和最常见的勒索软件家族来评估当前的勒索软件形势,以确定勒索软件威胁行为者使用的技术。用于确定ATT&CK技术的勒索软件系列包括REvil/Sodinokibi、LockBit 2.0、RansomEXX、Ryuk、Prometheus、BlackMatter、DarkSide和ProLock。
T1562.001破坏防御:禁用或修改工具
破坏防御:禁用或修改工具侧重于威胁行为者用来掩盖恶意行为检测的技术,包括修改主机操作系统上的安全设置、禁用或终止安全工具、更改日志设置和修改注册表项。该技术包含在防御规避(TA0005)战术中。
勒索软件通常会禁用或修改工具,使防御者更难检测恶意行为或减轻攻击的影响。REvil、RansomEXX和Ryuk勒索软件组织在野外曾使用该T1562.001技术。
REvil在广为人知的Kaseya事件中使用PowerShell来更改受害者系统的安全设置,包括禁用Windows Defender的实时保护功能。
RansomEXX在内存中执行,并且不会将工件放到磁盘上,这使得单独使用文件工件更难检测。RansomEXX使用wevtutil禁用了安全事件日志。攻击者还使用wevtutil清除了多个事件日志,包括设置、系统、应用程序和安全。
由REvil创建的Windows勒索软件Sodinokibi执行删除卷影副本和禁用启动修复的命令。Ryuk、Avaddon和FONIX勒索软件之前使用了相同的技术。
T1562.004破坏防御:禁用或修改系统防火墙
勒索软件运营商的共同目标是将勒索软件传播到网络上每个可访问的系统。大多数企业在其网络上配置系统,以限制端点之间允许的交互,这迫使威胁行为者将技术集成到勒索软件和侦察工具中,以禁用或修改这些防御。这些限制通常存在于防火墙规则中,属于防御规避(TA0005)战术的禁用或修改系统防火墙(T1562.004)技术。此技术在发现(TA0007)战术的远程系统发现(T1018)技术和横向移动(TA0008)战术的远程服务:远程桌面协议(T1021.001)技术之前使用。
用于修改Windows防火墙的常用工具是本机命令行工具netsh.exe。具有升级权限的攻击者可以使用此工具修改防火墙。以执行使系统可发现或启用远程桌面协议(RDP)等任务。这种技术通常发生在攻击的横向移动阶段,在威胁行为者部署勒索软件之前。使用这种技术的勒索软件系列包括ProLock、REvil和Prometheus。
ProLock使用名为rdp.bat的脚本来启用RDP并允许远程桌面连接。以下是脚本执行的具体步骤:
1、通过将fDenyConnections设置为0来启用远程桌面连接;
2、启动微软保护服务;
3、在Windows防火墙中设置规则以允许RDP连接;
4、修改RDP-Tcp注册表键UserAuthentication值,允许用户无需认证即可连接。
REvil在广为人知的Kaseya事件中修改了防火墙。在这种情况下,威胁行为者修改了防火墙以启用“网络发现”,从而允许在网络上发现端点。Prometheus勒索软件(Thanos勒索软件的较新版本)也使用了这种技术。
T1542预引导
预引导(Pre-OS Boot)机制允许攻击者滥用在操作系统之前加载的固件和各种启动服务。这些程序控制执行流程,并可用于在操作系统取得控制权之前建立持久性。此外,基于软件的防御(例如防病毒程序)不会在此级别运行,从而使恶意软件无法被发现。
2021年3月,REvil的新样本浮出水面,能够在Windows安全模式下加密受害者机器上的文件。在这种启动模式下,用户可以在操作系统上运行管理和诊断任务。该功能很可能是为了帮助勒索软件在加密过程中避免被安全软件检测到。通过此功能,REvil操作员可以使用命令行参数-smode,该参数将使用bootcfg和bcdedi命令,强制受害者机器在下次Windows重新启动时以连接网络的安全模式重新启动。
8月份出现的BlackMatter勒索软件样本具有几乎相同的特征,使用-safe命令行选项会导致勒索软件执行bcdedit命令,以使用网络连接的安全模式重新启动Windows。
T1105入侵工具转移
入侵工具转移(Ingress Tool Transfer)专注于将工具或实用程序传输到受害网络。许多协议可用于复制工具,包括FTP或rsync。在目标系统上建立初始立足点后,勒索软件运营商使用此技术下载后续恶意软件。该技术还包括勒索软件运营商在发现其他目标系统并在网络中横向移动后,需要返回其命令和控制来下载恶意软件。这种技术属于指挥和控制(TA0011)战术。
2021年6月,REvil附属公司使用的工具利用了Microsoft实用程序certutil,这是一种命令行工具,可用于转储或显示证书颁发机构(CA)配置信息,以及其他配置实用程序,以供下载恶意软件到受害者系统。
同样,DarkSide勒索软件使用certutil(以及PowerShell)下载并执行勒索软件。
T1484.001域策略修改:组策略修改
组策略(Group Policy)是在Microsoft Active Directory(AD)环境中使用的系统,用于提供对操作系统、应用程序和用户设置的集中管理。组策略对象(Group Policy Objects, GPO)包含这些配置。GPO存储在域控制器上,通常对所有用户都是可读的,但不是可写的。GPO的一些示例包括强制密码策略、限制使用Windows功能(如控制面板或命令提示符)、或运行登录或注销脚本。
一旦攻击者在AD环境中拥有足够级别的权限,组策略强大且集中的特性使其成为一种有吸引力的工具。它已被用于传播包括勒索软件在内的有效载荷,并通过禁用整个环境的安全软件来削弱防御能力。
一些出于经济动机的威胁组织滥用组策略来削弱防御或传播有效载荷。据报道,Egregor勒索软件的运营商使用组策略在受害者环境中禁用Windows Defender和其他安全产品。Ryuk运营商通过GPO创建计划任务来分发勒索软件有效负载。检测此技术的公开可用的Sigma规则检查是否有数据写入SYSVOL网络共享上的ScheduledTasks.xml文件,其中存储了GPO。
在2021年7月,据报道LockBit 2.0勒索软件在域控制器上运行时自动执行此过程,使用组策略禁用安全产品并通过计划任务执行加密负载。恶意软件会创建一个GPO,其中包括禁用安全产品的设置。
GPO还包括创建计划任务以执行加密有效负载。该恶意软件包含以下命令,可将此GPO推送到整个环境中。
此命令首先搜索AD环境中的所有计算机,-Searchbase参数指定要搜索的Active Directory路径。上面的命令包括%s字符串占位符,当恶意软件运行命令时,该占位符会填充本地环境详细信息。该命令的后半部分在所有已识别系统上调用组策略更新,由于-force选项,而不要求用户确认,并且没有延迟。
参考资源:
【1】Recorded Future, 5 Common Ransomware ATT&CK Techniques, December 2021
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
