近期發現有黑客通過RDP登錄,運行類似Cobalt Strike家族的勒索軟件。大致的過程為:首先入侵域控服務器,然後使用Prodump和Mimikatz進行內存轉儲,再利用PsExec在所有加入域的系統上運行NetWalker勒索軟件的有效載荷感染域內所有計算機。
通過觀察,在攻擊的前幾分鐘內攻擊者就能進入域控制器,並且整個入侵大約僅花費1個小時左右。
在攻擊發生前後,能看到多條RDP登錄日誌,可以定位198.181.163.103(這是一個“肉雞”)就是這次入侵的來源。我們還可以定位到有黑客使用管理員帳戶登錄其它主機。
在整個攻擊過程中,黑客使用c37.ps1作為命令和控制的工具。在初始登錄後大約16分鐘運行,此腳本就被刪除。通過運行此腳本並抓包分析,似乎它沒有發起任何網絡連接,所以該腳本是否有效仍存在疑問。
從圖1看此腳本被嚴重混淆,但看起來與Cobalt Strike非常類似。當把腳本上傳到相關檢測網站時,有分析者認為它可能包含Windshield或SplinterRAT,如下:
需要說明的是,雖然攻擊已經過了10天,但使用主流惡意軟件進行掃描後發現,檢測率還是較低,說明曝光率不是太高。
幾分鐘後,被攻擊的計算機運行執行程序c37.exe,它將自身複製到臨時目錄中,然後停止運行。此二進制文件包括Neshta以及許多功能,如下所示:
經過仔細地分析,可以確定這個惡意軟件就是隸屬於Cobalt Strike家族的,以下是回連信息:
然後在一些沙盒中運行c37.ps1和c37.exe這兩個程序,但都沒有捕獲到網絡流量,這表明它們包括了沙箱規避技術。
經過分析,c37.exe二進制文件包括來自Neshta、poison、BazarBackdoor、XMRig的共享代碼以及來自Cobalt Strike的大部分原生代碼:
它們會釋放腳本文件adf.bat文件,如下:
在AdFind運行幾分鐘後,一個命令窗口被打開,執行以下命令(要麼被緩慢地複製粘貼,要麼被手動鍵入):
nltest /dclist:
net group "Domain Computers" /DOMAIN
net groups "Enterprise Admins" /domain
net user Administrator
之後不久,一個名為pcr.bat文件被釋放並執行:
稍後Mimikatz被刪除,一分鐘後procdump64.exe也被刪除。然後攻擊者使用Procdump命令轉儲lsass:
procdump64.exe -ma lsass.exe lsass.dmp
這個procdump64二進制文件似乎是用Delphi編譯的,與已知的文件值摘要情報均不匹配。看來是攻擊者對原生代碼進行了修改,但包括了部分原始程序。
攻擊者在轉儲憑據後進入域控制器(DC),在進入域控服務器不久後釋放了ip.list.txt文件、P100119.ps1文件和PsExec程序。
攻擊者用PsExec作為域管理員在所有系統上掛載一個共享,然後使用PowerShell執行勒索軟件有效負載。NetWalker通過以下命令發送到所有在線加入域的系統:
C:\psexec.exe @ip-list.txt -d cmd /c “(net use q: /delete /y &; net use q: \\DomainController\DomainName /user:DomainName\administrator ThisWasThePassword &; powershell -ExecutionPolicy ByPass -NoLogo -NoProfile -windowstyle hidden -NoExit -File q:\P100119.ps1”
運行PowerShell腳本後,將顯示如下勒索通知:
NetWalker的使用者要求在指定的期限內交納高達數萬美元的贖金。