近期发现有黑客通过RDP登录,运行类似Cobalt Strike家族的勒索软件。大致的过程为:首先入侵域控服务器,然后使用Prodump和Mimikatz进行内存转储,再利用PsExec在所有加入域的系统上运行NetWalker勒索软件的有效载荷感染域内所有计算机。
通过观察,在攻击的前几分钟内攻击者就能进入域控制器,并且整个入侵大约仅花费1个小时左右。
在攻击发生前后,能看到多条RDP登录日志,可以定位198.181.163.103(这是一个“肉鸡”)就是这次入侵的来源。我们还可以定位到有黑客使用管理员帐户登录其它主机。
在整个攻击过程中,黑客使用c37.ps1作为命令和控制的工具。在初始登录后大约16分钟运行,此脚本就被删除。通过运行此脚本并抓包分析,似乎它没有发起任何网络连接,所以该脚本是否有效仍存在疑问。
从图1看此脚本被严重混淆,但看起来与Cobalt Strike非常类似。当把脚本上传到相关检测网站时,有分析者认为它可能包含Windshield或SplinterRAT,如下:
图1:经过混淆的c37.ps1脚本截图
需要说明的是,虽然攻击已经过了10天,但使用主流恶意软件进行扫描后发现,检测率还是较低,说明曝光率不是太高。
几分钟后,被攻击的计算机运行执行程序c37.exe,它将自身复制到临时目录中,然后停止运行。此二进制文件包括Neshta以及许多功能,如下所示:
图2:c37.exe的主要功能
经过仔细地分析,可以确定这个恶意软件就是隶属于Cobalt Strike家族的,以下是回连信息:
图3:回连信息
然后在一些沙盒中运行c37.ps1和c37.exe这两个程序,但都没有捕获到网络流量,这表明它们包括了沙箱规避技术。
经过分析,c37.exe二进制文件包括来自Neshta、poison、BazarBackdoor、XMRig的共享代码以及来自Cobalt Strike的大部分原生代码:
图4:分析结果示意
它们会释放脚本文件adf.bat文件,如下:
图5:adf.bat脚本内容
在AdFind运行几分钟后,一个命令窗口被打开,执行以下命令(要么被缓慢地复制粘贴,要么被手动键入):
nltest /dclist:
net group "Domain Computers" /DOMAIN
net groups "Enterprise Admins" /domain
net user Administrator
之后不久,一个名为pcr.bat文件被释放并执行:
图6:pcr.bat示意
稍后Mimikatz被删除,一分钟后procdump64.exe也被删除。然后攻击者使用Procdump命令转储lsass:
procdump64.exe -ma lsass.exe lsass.dmp
这个procdump64二进制文件似乎是用Delphi编译的,与已知的文件值摘要情报均不匹配。看来是攻击者对原生代码进行了修改,但包括了部分原始程序。
攻击者在转储凭据后进入域控制器(DC),在进入域控服务器不久后释放了ip.list.txt文件、P100119.ps1文件和PsExec程序。
攻击者用PsExec作为域管理员在所有系统上挂载一个共享,然后使用PowerShell执行勒索软件有效负载。NetWalker通过以下命令发送到所有在线加入域的系统:
C:\psexec.exe @ip-list.txt -d cmd /c “(net use q: /delete /y &; net use q: \\DomainController\DomainName /user:DomainName\administrator ThisWasThePassword &; powershell -ExecutionPolicy ByPass -NoLogo -NoProfile -windowstyle hidden -NoExit -File q:\P100119.ps1”
运行PowerShell脚本后,将显示如下勒索通知:
图7:勒索信息
NetWalker的使用者要求在指定的期限内交纳高达数万美元的赎金。
