.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
完整分析cuba勒索軟件(上)
Veeamp過了一段時間,研究人員發現一個惡意進程在相鄰主機上啟動;研究人員稱之為“SRV_Service”:
惡意進程啟動
Veeam.exe是一個用C#編寫的定制數據轉儲程序,它利用Veeam備份和恢復服務中的安全漏洞連接到VeeamBackup SQL數據庫並獲取帳戶憑據。
Veeamp分析Veeamp利用以下Veeam漏洞:CVE-2022-26500、CVE-2022-206501、CVE--2022-26504。前兩個允許未經身份驗證的用戶遠程執行任意代碼,第三個允許域用戶執行相同的代碼。三個中的任何一個被利用後,惡意軟件會在控制面板中輸出以下內容:
使用者名稱;
加密的密碼;
解密的密碼;
Veeam憑據表中的用戶描述:組成員資格、權限等;
該惡意軟件並非cuba組織獨有,Conti和yanlowang種也會出現這些內容。
研究人員在SRV_Service上看到的活動與他們在SRV_STORAGE上使用Bughatch觀察到的類似:
SRV_Service上的Bughatch活動
與SRV_STORAGE的情況一樣,惡意軟件將三個文件放入臨時文件夾,然後以相同的順序執行這些文件,連接到相同的地址。
Avast Anti-Rootkit驅動程序在Bughatch成功建立了與C2的連接後,該組織使用了一種日益流行的技術:Bring Your Own Vulnerable Driver (BYOVD)。
利用易受攻擊的驅動程序
攻擊者在系統中安裝易受攻擊的驅動程序,然後將其用於各種目的,例如終止進程或通過權限升級到內核級別來逃避防禦。
攻擊者被易受攻擊的驅動程序所吸引,因為它們都在內核模式下運行,具有高級別的系統訪問權限。此外,擁有數字簽名的合法驅動程序不會在安全系統中引發任何危險信號,從而幫助攻擊者在更長時間內不被發現。
在攻擊過程中,惡意軟件在臨時文件夾中創建了三個文件:
aswarpot.sys:Avast的合法反rootkit驅動程序,有兩個漏洞:CVE-2022-26522和CVE-2022-206523,允許權限有限的用戶在內核級別運行代碼。
KK.exe:被稱為Burntcigar的惡意軟件。目前發現的文件是一個新的變體,它使用有漏洞的驅動程序來終止進程。
av.bat批處理腳本:一個幫助內核服務運行Avast驅動程序並執行Burntgigar的stager。
對BAT文件和样本數據的分析表明,av.BAT使用sc.exe實用程序創建一個名為“aswSP_ArPot2”的服務,在С\windows\temp\目錄中指定驅動程序的路徑,並將服務類型指定為內核服務。然後,BAT文件在同一sc.exe實用程序的幫助下啟動服務,並運行KK.exe,它連接到易受攻擊的驅動程序。
.bat文件的內容
Burntcigar在查看Burntcigar時,研究人員注意到的第一件事是PDB文件的路徑,其中包含一個名為“Musor”(俄語中“垃圾”的意思)的文件夾,這更表明cuba組織的成員可能會說俄語。
KK.exe PDB文件的路徑
找到的樣本是Burntcigar的新版本,在事件發生時安全系統無法檢測到。攻擊者顯然更新了惡意軟件,因為在之前的攻擊之後,許多供應商能夠很容易地檢測到舊版本運行的邏輯。
在下面示例的截屏中,關於要終止的進程的所有數據都是加密的,而舊版本公開顯示了攻擊者想要停止的所有進程的名稱。
Burntcigar新舊版本的比較
惡意軟件搜索與流行AV或EDR產品有關的進程名,並將其進程ID添加到堆棧中,以便稍後終止。
Burntgigar使用DeviceIoContol函數訪問易受攻擊的Avast驅動程序,將包含安全問題的代碼的位置指定為執行選項。該段代碼包含ZwTerminateProcess函數,攻擊者使用該函數終止進程。
Burntcigar的分析
之後,研究人員在Exchange服務器和SRV_STORAGE主機上發現了利用Avast anti-rootkit驅動程序的類似活動。在這兩種情況下,攻擊者都使用BAT文件安裝不安全的驅動程序,然後啟動Burntgigar。
相鄰主機上的BurntChigar活動
SRV_MAIL host (Exchange server)去年12月20日,客戶批准了研究人員將Exchange服務器添加到監控範圍的請求。主機一定是作為客戶網絡的入口點使用的,因為服務器缺少關鍵更新,而且它很容易受到初始訪問的影響。特別是,SRV_MAIL的ProxyLogon、ProxyShell和Zerologon漏洞仍未被修復。這就是為什麼研究人員認為攻擊者通過Exchange服務器滲透到客戶網絡的原因。
分析數據開始傳入
在SRV_MAIL上,SqlDbAdmin用戶顯示的活動與研究人員在以前的主機上觀察到的活動相同。
SqlDbAdmin的惡意活動
研究人員發現攻擊者使用合法的gotoassistui.exe工具在受感染的主機之間傳輸惡意文件。
GoToAssist是技術支持團隊經常使用的RDP支持實用程序,但在系統之間移動文件時,該應用程序經常被濫用以繞過任何安全防禦或響應團隊。
通過gotoassistui.exe發送惡意文件
研究人員還發現新的Bughatch樣本正在執行中。這些使用了略有不同的文件名、回調函數和C2服務器,因為研究人員的系統當時成功地阻止了舊版本的惡意軟件。
Bughatch活動
SqlDbAdminSqlDbAdmin是一個可疑的DLL addp.DLL,研究人員在一個受攻擊的主機上手動找到了它。
可疑動態庫
研究人員發現它使用WIN API函數NetUserAdd來創建用戶。名稱和密碼在DLL中進行了硬編碼。
addp.dll分析
當研究人員進一步研究該庫時,研究人員發現它使用RegCreateKey函數通過修改註冊表設置為新創建的用戶啟用RDP會話。然後,庫將用戶添加到Special Account註冊表樹中,以將其隱藏在系統登錄屏幕之外,這是一種有趣且少見的持久化技術。在大多數情況下,攻擊者在腳本的幫助下添加新用戶,而安全產品很少會遺漏這些腳本。
addp.dll分析
Cobalt Strike研究人員發現Exchange服務器上運行了一個可疑的DLL ion.DLL,該DLL是rundll32進程的一部分,具有異常的執行選項。起初,研究人員認為這種活動與之前在Bughatch中看到的類似。然而,進一步的分析表明,該庫實際上是一個Cobalt Strike。
執行可疑的ion.dll文件
當研究人員查看ion.dll代碼時,引起研究人員注意的是執行設置和使用Cobalt Strike配置的函數。該庫使用VirtualAlloc函數來分配進程內存,以便稍後執行Cobalt Strike Beacon負載。
對ion.dll的分析
所有的配置數據都是加密的,但研究人員確實找到了用於解密的函數。為了找到Cobalt Strike C2服務器,研究人員檢查了加載了ion.dll的rundll32內存轉儲,並使用與受害者主機相同的設置運行。
rundll32內存轉儲
找出C2的名稱有助於研究人員在監測數據中定位與該服務器的通信歷史。惡意軟件連接到C2後,它將兩個可疑文件下載到受感染服務器上的Windows文件夾中,然後執行這些文件。不幸的是,研究人員無法獲得這兩個文件進行分析,因為攻擊者未能在上一步禁用安全功能,這些文件被從受感染的主機上刪除。不過,研究人員確實相信,他們正在處理的是勒索軟件本身。
與攻擊者的C2服務器通信
客戶立即隔離了受影響的主機,並將事件轉發給卡巴斯基事件響應團隊,以便進一步調查和搜索可能的工件。這是研究人員最後一次在客戶系統中看到攻擊者的活動。由於客戶遵循了研究人員的建議和指示,並及時對事件做出了響應,主機避免了加密。
新惡意軟件研究人員發現VirusTotal包含cuba惡意軟件的新樣本,其文件元數據與上述事件中的文件元數據相同。其中一些樣本成功地躲過了所有網絡安全供應商的檢測。研究人員對每個樣本進行了分析。正如你從下面的屏幕截圖中看到的,這些是Burntcigar的新版本,使用加密數據進行反惡意軟件規避。研究人員已經制定了檢測這些新樣本的Yara規則。
新的惡意軟件樣本
BYOVD (Bring Your Own Vulnerable Driver)BYOVD,全稱為Bring your own vulnerable driver,即攻擊者向目標環境植入一個帶有漏洞的合法驅動程序,再通過漏洞利用獲得內核權限以殺死/致盲終端安全軟件等,這項技術最初主要被如Turla和方程式這樣的頂級APT組織所使用,而隨著攻擊成本的降低,其它攻擊組織也逐漸開始使用這項技術,以BYOVD為標籤進行檢索可以發現在更早些時候就已經有不同的攻擊組織在真實攻擊活動中使用此項技術
研究人員在調查該事件時觀察到了這種攻擊,隨著各種APT和勒索軟件組織將其添加到他們的武器庫中,這種攻擊目前越來越受歡迎。
Bring Your Own Vulnerable Driver (BYOVD)是一種攻擊類型,攻擊者使用已知包含安全漏洞的合法簽名驅動程序在系統內執行惡意操作。如果成功,攻擊者將能夠利用驅動程序代碼中的漏洞在內核級別運行任何惡意操作。
要理解為什麼這是最危險的攻擊類型之一,需要快速復習一下驅動程序是什麼。驅動程序是一種軟件,它充當操作系統和設備之間的中介。驅動程序將操作系統指令轉換為設備可以解釋和執行的命令。驅動程序的進一步用途是支持操作系統最初缺乏的應用程序或功能。從下圖中可以看到,驅動程序是介於用戶模式和內核模式之間的一層。
用戶模式和內核模式交互圖
在用戶模式下運行的應用程序控制系統的權限較少。他們所能訪問的只是一個與系統其他部分隔離和保護的虛擬內存區域。驅動程序在內核內存中運行,它可以像內核本身一樣執行任何操作。驅動程序可以訪問關鍵的安全結構並對其進行修改。這樣的修改使系統容易受到使用權限提升、禁用操作系統安全服務以及任意讀寫的攻擊。
2021年,Lazarus組織利用這一技術,通過濫用包含CVE-2021-21551漏洞的戴爾驅動程序,獲得了對內核內存的寫訪問權限,並禁用了Windows安全功能。
2021年,Dell 被爆出一個潛藏12年的驅動漏洞,CVE編號CVE-2021-21551,漏洞可能引發系統權限提升,預計超過數億Dell 台式機和筆記本電腦受到該漏洞的的影響。
CVE-2021-21551漏洞實際上是5個漏洞的集合,是Dell計算機在BIOS 更新過程中安裝和加載的驅動DBUtil 中的安全漏洞。
沒有針對合法驅動程序的萬無一失的防禦,因為任何驅動程序都可能被證明存在安全漏洞。微軟發布了一份針對此類技術的保護建議列表:
啟用管理程序保護的代碼完整性。
啟用內存完整性。
啟用驅動程序數字簽名驗證。
使用易受攻擊的驅動程序列表。
然而,研究表明,即使啟用了所有Windows保護功能,這些建議也無關緊要,而且這樣的攻擊無論如何都會發生。
為了對抗這種技術,許多安全供應商開始在他們的產品中添加一個自衛模塊,以防止惡意軟件終止進程,並阻止每一次利用易受攻擊的驅動程序的嘗試。研究人員的產品也具有這一功能,在事件中證明是有效的。
總結cuba組織使用了大量的公開和定制工具,並不斷通過最新的各種技術和方法,包括相複雜的技術和方法(如BYOVD)。預防這種複雜程度的攻擊需要能夠檢測高級威脅並保護安全功能不被禁用的複雜技術,以及有助於手動檢測惡意工件的大規模、持續更新的威脅知識庫。
本文中詳細介紹的樣本表明,對真實網絡攻擊的調查和事件響應,如管理檢測和響應(MDR),是有關惡意策略、技術和程序的最新信息的來源。特別是,在這次調查中,研究人員發現了cuba惡意軟件的新樣本和以前未被發現的樣本,以及表明至少有一些組織成員會說俄語的工件。