Dever勒索病毒實例分析一則

時下,勒索病毒猖獗,一不小心,稍微疏忽就會中上勒索病毒。那麼如何預防勒索病毒,並且中毒後如何處理呢?之前寫過很多文章,但是光是策略性質的建議和處理方法,太過於死板,欠生動不好學習。本文蟲蟲給大家分享一個實際的勒索病毒中標後的操作和分析,通過實踐來學習,希望對能拋磚迎玉能對我們有所幫助。

背景

該案例源於一個實際的時間,源於社交網絡上一個網友的家庭實驗設備中了勒索病毒,並求助的帖子。看到帖子後安全工程師通過聯繫了網友,並幫助對其進行定位分析和處理。

Dever勒索病毒實例分析一則

根據分析,攻擊發生在上午2:23,文件開始被加密。攻擊者大概用了14分鐘,在目標主機中,安裝了很很多工具。比如Mimikatz和Lazagne,並啟動了Dever Ransomware,其中包括SMB掃描,持久性機制和橫向擴散等功能。以下部分我們將討論該起勒索事件中涉及環境的網絡架構,實時事件響應,一些有意義挖掘,攻擊時間分析,Dever勒索軟件信息,總結和IOCs等。

網絡架構

涉事環境包括為大約15臺主機的內部網絡。其網絡環境為一個平面網絡,內部使用的24位子網,openvpn使用單獨一個24位子網。分析首先做的事情就是對該網絡的功能和作用進行了解。下圖是防火牆/網關設備的屏幕截圖,圖上顯示對外公開映射轉發的端口。

Dever勒索病毒實例分析一則

首先,網絡映射了三個遠程桌面的端口(3389),對應三臺內網Windows主機。映射端口還包括ssh連接(22)、VNC連接(5900)等。這樣我們大概瞭解了該環境中進行數據交互和遠程管理時候使用的工具等。在深入的調查後,發現系統上還安裝了多個遠程管理工具,有TeamViewer,ChromeRDP和VNC。這樣暴露的對外端點和攻擊路徑比較複雜,分析更加棘手費勁。

接著,又分析網絡日誌部分。首先是從控制器中查找連接日誌,但很快了解到,除非在其他異地上傳存儲了syslog記錄,否則獲取日誌的唯一方法是在網關上。可以通過SSH進入網關,但是它的日誌每8小時滾動一次,並且沒有保留歷史副本。所以當時的日誌已經丟了,但是節點日誌還有:

分析中,用到下面一些日誌:

NAS ——FreeNas(共享已加密) SSH從公網訪問

MGMT工作站——Win10 RDP可從從公網訪問

Utility Workstation(注入點)——Win10 RDP可從從公網訪問

一個客戶工作站——Win 10 RDP從公網訪問

Utility Server(加密)——Win 2016 Core 不直接對公網開放

實時事件響應

當事件發生時候,一個現象是到Plex服務器無法正常工作時,出現了一些錯誤。許多電影都丟失了,由於最近對Plex配置做過修改,沒有太在意,以為是由於更改導致的。事後才發現Utility Server被勒索軟件破壞。服務器顯示OS文件,事件日誌,應用程序,電影,遊戲等文件,都被用Dever進行了加密。

Dever勒索病毒實例分析一則

奇怪的是,只對某些文件進行了加密,但這是一個很好的起點。現在知道了Dever勒索軟件,又有初步目標。Dever通常會將info.txt和info.hta中標主機的桌面上,但是在該主機中沒有找到這些文件。

具體原因不得而知,但是可以肯定該主機受到了攻擊,並發現它要麼從遠程桌面或者ssh的人進入內網的人攻擊,還可能是該主機上有人打開了惡意文件導致的。打開網絡上的其他工作站,並在其上放下了一個代理,以尋找破壞的跡象。在發生這種情況的同時,繼續瀏覽日誌以嘗試瞭解其來源。在完成代理程序安裝的整個過程中,發現整個環境中的主機的密碼都是相同的,這可能是導致問題的原因之一。隨後對所有所有設備更改了密碼。

應用工作站在桌面上有名為info.txt和info.hta的文件。文件截圖如下:


Dever勒索病毒實例分析一則

文件中信息顯示攻擊者用了AOL電子郵件地址。找到這些信息後,假設是該計算機已受到攻擊,並且從該計算機上運行了Dever勒索軟件,但是其他多臺計算機是如何受到攻擊的?

這是桌面上文件的截圖。可以看到Process Hacker 2應用被刪除了,已被勒索軟件加密。

Dever勒索病毒實例分析一則

該計算機上連接了一個外部硬盤驅動器。此外部驅動器上的所有內容均已加密,截圖如下:

Dever勒索病毒實例分析一則

還有另一個名為main的共享,它映射到FreeNAS服務器。好的,現在可以假設NAS是加密的,因為Dever最有可能加密所有連接的共享和操作系統。

現在的問題是,Utility Server是如何受到攻擊?後面時間線部分介紹。

通過在計算機上下載並運行了Loki,但是沒有找到任何東西。捕獲了RAM用於處理,還捕獲了Redline軟件包。

Prefetch

我們知道,如果Prefetch中出現了某些內容,它就會運行。在使用Redline來抓取可Prefetch內容:下圖為Prefetch目錄的截圖。

Dever勒索病毒實例分析一則

可以看到,mimikatz可能被丟棄並運行了多次。還能看到exes名稱為dllhost和svchost,不知道它們是什麼,但是根據時間戳分析可以肯定它們都是惡意的。右鍵單擊"開始"按鈕在該計算機上不起作用了,因此除了勒索軟件外,肯定還有其他惡意軟件。似乎已刪除並運行了一個名為ps.exe的exe。純粹猜測,應該是psexec.exe重命名為ps.exe了。注意到另一個可執行文件是lazagne.exe。這是什麼呢?通過搜索,發現是GitHub上一個密碼竊項目的二進制文件。LaZagne項目(github:/AlessandroZ/LaZagne),是一個開源應用程序,可以獲取大量的密碼,本存儲在本地計算機上。Lazange支持從Windows,Linux和Mac竊取密碼。它還可以從所有瀏覽器(例如FireFox,Chrome,Opera,Chromium等)中竊取密碼。還可以從Skype,Postgressql,Git,Outlook,Keepass,FilzeZilla,OpenVPN,OpenSSH,VNC,PuttyCM,無線網絡,自動登錄等。

幸好,該機器沒有用來登錄網站,也沒有太多的應用程序,所以沒有什麼密碼被盜取。

一個啟示,你是否經常在瀏覽器中保存密碼?如果是這樣,大家一定要小心哦。

Prefetch中的一些二進制文件可以綁定到勒索軟件,例如taskkill.exe,netscan.exe,wadmin.exe,bcdedit,vssadmin.exe,wmic.exe,ipconfig.exe,nslookup.exe和attrib。 exe和processhacker.exe

可以使用taskkill和processhacker殺死進程,以便勒索軟件可以加密所有東西。

刪除了netscan並用於掃描,某些內容appears似乎ipconfig和nslookup是此工作的一部分

wbadmin用於刪除備份目錄:

wbadmin delete catalog -quiet

wbadmin刪除目錄-安靜bcdedit可用於防止系統引導到恢復模式:

bcdedit /set {default} bootstatuspolicy ignoreallfailures

bcdedit /set {default} recoveryenabled no

vssadmin可用於刪除卷影副本

vssadmin delete shadows /all /quiet

WMIC還可以用於刪除卷影副本

wmic shadowcopy delete

Prefetch中還有其他無法識別的他項目。

時間線

7:19 mimikatz被投放,並運行

Dever勒索病毒實例分析一則

7:20 Lazagne運行,但日誌被刪除了

Dever勒索病毒實例分析一則

7:22 netscan.exe被刪除並運行

Dever勒索病毒實例分析一則

7:23 成功認證為Utility Server的管理員

Dever勒索病毒實例分析一則

7:23 netscan.exe運行後,立即通過SMB連接到Utility Server。這有可能是傳播方式

Dever勒索病毒實例分析一則

7:23 Utility Workstation嘗試連接到Guest Workstation,但是由於它使用Utility Workstation名稱為域而失敗。通知登錄類型3 =網絡身份驗證、

Dever勒索病毒實例分析一則

7:23 Utility Workstation使用Guest Workstation名稱作為域成功連接到Guest Workstation。

Dever勒索病毒實例分析一則

7:23 未連接到Utility Workstation(注入點)。

Dever勒索病毒實例分析一則

7:23 Utility Workstation以管理員身份連接到Utility Server,試圖連接到被拒絕的E驅動器。

Dever勒索病毒實例分析一則

7:23 Utility Workstation嘗試連接到Guest Server上的print $共享,但訪問被拒絕。該工作站未顯示任何勒索軟件跡象。

Dever勒索病毒實例分析一則

7:30 Utility Workstation上清除了所有日誌。

Dever勒索病毒實例分析一則

7:31 Process Hacker 2已安裝在Utility Workstation上

Dever勒索病毒實例分析一則

7:33 遠程桌面會話從Utility Workstation斷開。該用戶名是執行Dever Ransomware的用戶名。源IP地址是5.45.71.178,該IP不沒有在任何公開的脅報告或列表發現。

Dever勒索病毒實例分析一則

7:44 Utility Workstation連接超時。可以看到Utility Workstation通過C$共享連接到Utility Server。該日誌顯示該服務器為何受到勒索軟件攻擊。勒索軟件會自動連接擴散麼?兩臺機器的勒索軟件ID相同,這樣勒索軟件可以執行一次並擴展到多臺計算機。

Dever勒索病毒實例分析一則

16:31 Defender重新打開並隔離了Utility Workstation上的勒索軟件。

Dever勒索病毒實例分析一則

16:37 Defender隔離了更多文件和持久性密鑰。

Dever勒索病毒實例分析一則

Dever

此處,不對Dever進行過多介紹,它使用AES加密文件,並且沒有任何免費的解密程序可以解密加密的文件。Dever來自Phobos勒索軟件家族,該家族基於Dharma AKA CrySis。Dever大約在2019年11月底開始出現,但直到2019年12月底才出現出現相關報道。

通過使用給出的AOL地址聯繫了攻擊者,他們要求解密者支付5000美元。即使已經TB的數據進行了加密,對於任何勒索軟件而言,最大的耗時是重建或還原環境所花費的時間。

Dever分析

這是PeStudio的屏幕截圖,顯示了Dever中所有列入黑名單的字符串。可以很容易地看到此二進制文件可以創建進程,終止進程,執行外殼程序代碼,修改註冊表以及發現進程。

Dever勒索病毒實例分析一則

這是PeStudio的指標列表-注意35個列入黑名單的字符串,較高的VT分數,46個列入黑名單的導入和7個MITER技術。

Dever勒索病毒實例分析一則

MITER技術如下

Dever勒索病毒實例分析一則

根據VirusTotal的分析,此二進制文件的創建時間為2019-6-19,首次提交時間為2019-12-29。

Dever勒索病毒實例分析一則


通過Any.Run運行勒索軟件,但沒有得到假設的結果:

Dever勒索病毒實例分析一則

Dever勒索病毒實例分析一則

Dever勒索病毒實例分析一則

Dever勒索病毒實例分析一則

除了執行勒索軟件和持久性外,沒有看到任何網絡連接。很確定這東西通過SMB中傳播,但無法浮現。

在沙盒中運行它,然後每30秒立即看到以下內容。

Dever勒索病毒實例分析一則

可以證明Dever正在掃描SMB,然後有可訪問的情況下感染了遠程計算機/共享。實驗發現Dever會識別Any.Run中某些特徵,然後不會進行SMB掃描。

總結

最終,網友丟失了所有數據,需要通過備份重建環境。勒索軟件共計感染了三臺主機,分別是Utility Workstation(注入點),Utility Server和NAS。日誌已在MGMT工作站上有攻擊跡象,沒有成功加密的文件。

Dever使用SMB在環境中橫向擴散,感染網絡上的其他計算機。首次運行Dever之後,它會掃描24位內網查找新的SMB連接。它以每30秒掃描一次整個內網,通過445端口進行掃描,然後嘗試連接。當計算機聯機且具有相同的密碼時候,計算機很可能會被勒索軟件感染。

Mimikatz顯然是為了防止橫向擴散而丟掉面面,PSExec用於測試密碼,然後將密碼傳遞給Dever。Dever以一個帳戶身份運行,但使用另一個帳戶對另一臺計算機進行了加密。

勒索不建議償付索金進行解密文件,因為我們無法保證解密器是否可以正常工作,也有可能根本沒有解密器。就算拿到了解密器機可以解密了,很多大文件或數據庫解密後會是損壞狀態,無法保證可以用。

安全建議:

要在公網上使用遠程桌面,TeamViewer,SSH等單因素遠程管理工具。如果必須要用,建議使用VPN,並確保使用兩因素身份驗證。

除非絕對必要,否則不要通過SMB通信,關閉到SMB 445端口的開放。

不要在瀏覽器中保存密碼。

在每個主機上使用不同的密碼。

儘可能集中日誌存儲。

離線備份是對付勒索和故障的唯一法寶。

默默無聞的安全不會阻止持久的對手

監視是否關閉了諸如Defender之類的安全工具

IOCS


MISP Priv 65012 / UUID

5e471206-3fb8-43d3-adfd-4806950d210f

Dever運行的命令:

<code>wbadmin delete catalog -quiet/<code>
<code>bcdedit /set {default} bootstatuspolicy ignoreallfailures/<code>
<code>bcdedit /set {default} recoveryenabled no/<code>
<code>vssadmin delete shadows /all /quiet/<code>
<code>wmic shadowcopy delete/<code>
<code>netsh firewall set opmode mode=disable/<code>
<code>netsh advfirewall set currentprofile state off/<code> 


<code>svhost.exe scanning /24 for 445/tcp/<code>


分享到:


相關文章: