FIN6組織的針對性勒索軟件攻擊事件分析
時間 : 2019年05月09日 來源: 安天CERT
1、概述
自2019年1月起,安天CERT監測發現多起目標為大型企業或組織的針對性LockerGoga勒索軟件攻擊事件。攻擊者通過入侵暴露在外網的服務器進而突破內網服務器,在內網服務器上加載Cobalt Strike/Powershell Empire等網空攻擊裝備,同時在內網分發勒索軟件LockerGoga。在勒索軟件LockerGoga出現之前,Ryuk勒索軟件早已針對大型企業執行了多次定制攻擊,安全廠商Crowdstrike將Ryuk勒索活動歸因于“GRIM SPIDER”組織[1]。2019年4月,FireEye將LockerGoga與Ryuk勒索活動的運營者,歸因于針對金融行業并通過網絡攻擊獲利的FIN6組織[2]。FIN6組織早期的活動主要針對POS系統,目的是竊取支付卡數據,但近期逐步轉變為針對大型企業或組織的勒索活動。
安天CERT針對LockerGoga與Ryuk勒索軟件進行了多個維度上的關聯分析,揭示了LockerGoga與Ryuk勒索軟件之間的關聯性與同源性,確定了兩個勒索軟件的運營者為同一組織。此外,通過相關威脅情報分析,FIN6組織針對POS系統攻擊活動相關IP與LockerGoga勒索活動部分重合,攻擊活動中使用的stager為同一類型,據此確定LockerGoga與Ryuk勒索活動的運營者為FIN6組織。安天CERT通過對FIN6組織針對性勒索活動的關聯分析,揭示了FIN6組織針對大型企業或組織的勒索行動的攻擊鏈路。
2、FIN6組織近期的針對性勒索活動
2.1 針對法國亞創集團(Altran)的勒索事件
法國亞創集團成立于1982年,是一家提供創新和工程咨詢服務的全球性公司,業務遍布全球30多個國家,涉及汽車、通信、生命科學、航空航天、國防、能源、金融和鐵路等行業。
2019年1月24日,攻擊者利用LockerGoga勒索軟件對亞創集團進行了勒索攻擊。2019年1月28日,亞創集團發布聲明,稱技術專家正在對此次勒索事件進行取證跟進。由于此次勒索事件,亞創集團暫停了全球多項業務[3]。
圖2- 1亞創針對勒索事件發布的聲明
此次勒索事件涉及到的樣本標簽如下。
表2- 1 LockerGoga樣本信息
病毒名稱
|
Trojan[Ransom]/Win32.Crypren
|
原始文件名
|
svch0st.Random.exe
|
MD5
|
52340664fe59e030790c48b66924b5bd
|
處理器架構
|
Intel
386 or later processors and compatible processors
|
文件大小
|
1.20
MB (1,267,728 字節)
|
文件格式
|
BinExecute/Microsoft.EXE[:X86]
|
時間戳
|
2019-01-23
22:42:50
|
數字簽名
|
MIKL
LIMITED
|
加殼類型
|
無
|
編譯語言
|
Microsoft
Visual C++
|
VT首次上傳時間
|
2019-01-24
09:41:18
|
VT檢測結果
|
56 /
72
|
LockerGoga作者要求受害公司通過郵箱聯系,支付比特幣來解密文件。聯系郵箱為[email protected]和[email protected],被加密文件后綴為.lock。
圖2- 2亞創集團勒索事件中的勒索信
2.2 針對挪威海德魯公司(Norsk Hydro)的勒索事件
挪威海德魯公司創建于1905年,主要經營石油、能源、輕金屬(鋁、鎂)、石化產品、水電及設備、工業用化學品等,是世界最大的綜合性鋁業集團之一。
海德魯公司于2019年3月19日舉行新聞發布會,稱3月18日午夜,公司遭到勒索軟件攻擊,致使主機死機,導致生產業務中斷。參會的NorCERT(挪威的國家應急響應中心)代表稱此次攻擊事件是由一個名為LockerGoga的勒索軟件發起的,可能涉及到對海德魯公司的Active Directory系統的攻擊。
該事件所涉及到的樣本標簽如下。
表2- 2 LockerGoga樣本信息
病毒名稱
|
Trojan[Ransom]/Win32.Crypren
|
原始文件名
|
zzbdrimp2939.exe
|
MD5
|
7e3f8b6b7ac0565bfcbf0a1e3e6fcfbc
|
處理器架構
|
Intel
386 or later processors and compatible processors
|
文件大小
|
1.2 MB
(1249144 字節)
|
文件格式
|
BinExecute/Microsoft.EXE[:X86]
|
時間戳
|
2019-03-09
17:50:30
|
數字簽名
|
ALISA LTD
|
加殼類型
|
無
|
編譯語言
|
Microsoft
Visual C++
|
VT首次上傳時間
|
2019-03-12
19:49:00
|
VT檢測結果
|
45 /
67
|
此次勒索事件中,使用了與亞創勒索事件中不同的聯系郵箱[email protected]、[email protected]。
圖2- 3 海德魯公司勒索事件中的勒索信
2.3 針對英國警察聯合會(Police Federation)的勒索事件
英國警察聯合會于2019年3月21日在Twitter上發表聲明,稱其薩里總部的計算機在3月9日遭受到勒索軟件的攻擊,幾個數據庫和電子郵件系統被加密,備份數據也被刪除,導致其服務中斷[4]。
圖2- 4 英國警察聯合會的聲明
根據英國國家網絡安全中心發布的預警信息,可以得知此次攻擊事件中的勒索軟件為LockerGoga。
2.4 針對美國化學公司瀚森(Hexion)和邁圖(Momentive)的勒索事件
邁圖高新材料集團是全球第二大的有機硅產品及其關聯產品的生產商,瀚森化工是一家特種樹脂和先進材料的全球領先企業,這兩家企業于2010年9月14日宣布合并。
這兩家化學公司2019年3月12日遭到LockerGoga勒索軟件攻擊,邁圖稱其公司的Windows計算機出現了藍屏并且文件被加密,受勒索軟件攻擊的計算機上的數據可能已經丟失。瀚森員工拒絕提供更多關于攻擊的信息[5]。
3、FIN6組織勒索行動關聯分析
3.1 FIN6組織勒索行動關聯分析
FIN6組織于2016年首次被FireEye曝光,當時該組織主要針對POS系統,使用Grabnew后門和Framework POS惡意軟件竊取了超過1萬張支付卡詳細數據。但是,自2018年8月起,受高額贖金的經濟利益驅使,FIN6組織逐漸將其目標轉向大型企業和組織,進行針對性的勒索活動。
歸屬于FIN6組織的LockerGoga與Ryuk勒索軟件存在諸多相似之處,其中比較顯著的特點就是針對大型企業或組織執行定制化的勒索活動。Ryuk勒索軟件最早出現在2017年12月,早期攻擊活動中使用暴露的BTC地址與受害者溝通,后期改為電子郵件的方式進行溝通。LockerGoga勒索軟件最早出現在2019年1月,采用電子郵件的方式與受害者進行溝通。Ryuk勒索活動初期需要借助銀行木馬TrickBot和Emotet才能夠傳播,但隨著Ryuk勒索軟件的不斷更新,攻擊者無需借助其他裝備也能夠在企業內部署Ryuk勒索軟件,而LockerGoga也借鑒了Ryuk勒索軟件的部分策略、技術和程序。
表3- 1 LockerGoga和Ryuk勒索活動的相似之處
操作
|
Ryuk
|
LockerGoga
|
目標為大型企業,目的是勒索并獲取高額贖金
|
是
|
是
|
運行powershell腳本,連接IP下載payload
|
是
|
是
|
下載反向shell并運行
|
是
|
是
|
使用windows命令行工具以及外部上傳工具進行網絡偵查
|
是
|
是
|
使用RDP進行橫向移動
|
是
|
是
|
使用psexec向局域網分發勒索軟件
|
是
|
是
|
使用批處理腳本kill.bat結束服務/進程,刪除備份
|
是
|
是
|
LockerGoga和Ryuk勒索活動的詳細對比內容如下:
1. 二者使用同名批處理文件kill.bat結束進程、停止反病毒引擎服務以及刪除備份。
圖3-1 LockerGoga和Ryuk的kill.bat對比
2. 根據所捕獲的IP來看,二者在攻擊過程中都使用了Cobalt Strike/Powershell Empire/meterpreter。
3. 二者勒索信有多處相似之處。
(1). LockerGoga勒索信中的聯系郵箱多為***@protonmail.com和***@oz.pl,Ryuk在勒索信中的聯系郵箱為***protonmail.com和***@tutanota.com。
(2). 勒索信部分內容對比。
圖中黃色部分為相似之處。
圖3- 2 LockerGoga和Ryuk勒索信部分對比
這里值得注意的一點是,盡管FIN6組織將目標轉向定制化的勒索活動,但并沒有放棄針對POS系統的攻擊。在2019年2月27日MORPHISEC LABS發布的《針對POS系統的全球攻擊》報告中[6],涉及近期FIN6組織針對POS系統的攻擊事件,而針對POS系統攻擊活動中的相關IP與FIN6組織入侵工業產業并部署LockerGoga活動中的IP存在部分重合。
表3- 2 針對POS系統攻擊活動相關IP與LockerGoga重合部分
狀態
|
報告中提到的C2
|
是否與LockerGoga相關IP重合
|
IP信息最后一次修改時間
|
有效
|
http://89.105.194.*:443/Xaq2
|
是
|
2017-08-15
|
http://46.166.173.*:443/Qq9a
|
是
|
2015-04-21
|
|
失活
|
http://185.202.174.*:443
|
是
|
2018-11-27
|
http://185.202.174.*:443/c9Fz
|
是
|
2018-11-27
|
|
http://93.115.26.*:443
|
是
|
2018-03-28
|
經過驗證,這些IP的whios信息在近一年沒有更改,因此,可以判定IP的所有者沒有更改。同時報告中所展示的poweshell stager與LockerGoga事件中攻擊者所使用的stager為同一類型,詳見圖3-3。報告中也提到了這些特征屬于FIN6組織(WMI/PowerShell、FrameworkPOS、橫向移動和權限提升)。
圖3-3針對POS與勒索軟件的關聯分析
綜上所述,攻擊者運營LockerGoga的動機(向大型企業勒索比特幣獲利)、戰術(防御規避、賬戶發現、橫向移動)、技術(powershell腳本下載payload、使用psexec分發勒索軟件并運行、使用kill.bat進行防御規避)、以及過程(詳見圖3-4)都與Ryuk十分相似,因此安天CERT可以確定LockerGoga和Ryuk的運營者為同一組織,并將其歸因于APT組織FIN6。
3.2 FIN6組織攻擊流程/鏈路
隨著FIN6組織勒索活動策略和技術的提升,目前已經無需借助其他裝備進行勒索軟件的傳播。近期的活動中,攻擊者利用暴露在互聯網中的服務器作為攻擊入口,利用外網服務器遠程登錄到內網服務器,借助開源滲透工具實現內網橫移,向內網主機分發勒索軟件,并使用有效簽名規避反病毒監測和多進程技術規避沙箱檢測。
圖3- 4 FIN6組織攻擊流程/鏈路
攻擊者在遠程登錄到內網服務器后,會安裝Cobalt Strike、Powershell Empire以及Meterpreter來輔助攻擊。攻擊者利用提前存儲在pastebin.com上的powershell命令,下載payload_1。Powershell所執行的命令經過壓縮和base64編碼,解密后如下圖所示。該命令由Invoke-SMBWmi.ps1(https://gist.github.com/rvrsh3ll/7c2ece5f8d097fbe4c7a)修改而來,功能為利用powershell執行payload。payload_1又繼續下載payload_2,由于payload_2大小為0字節,因此并未追蹤到最終結果。
圖3- 5 解密后的powershell命令
攻擊者會使用Adfind查詢并收集活動目錄(Active Directory)中存儲的網絡對象相關信息(包括用戶名、主機名、子網以及組等)
攻擊者利用從活動目錄中收集到的信息和一些已經掌握的口令信息,生成針對特定主機的批處理文件xa?.bat(xab.bat、xac.bat等)。批處理文件中命令如下。
該命令將svchost.exe(勒索軟件)拷貝到目標主機的共享文件夾c:\windows\temp\start,再利用psexec.exe連接目標主機,使用參數-r 指定psexec創建的服務名為mstdc(系統服務),然后運行勒索軟件程序,加密目標主機文件。
注:
psexec通過指定的賬戶口令連接到遠程主機,創建并啟動psexesvc服務,psexesvc服務會創建新的命名管道,psexec連接至psexesvc創建的管道,將賬號、口令以及要執行的命令發送至管道,psexesvc從管道接收這些信息,創建新的會話,執行命令[7]。
在部署勒索軟件之前,攻擊者會先在目標主機上執行kill.bat(MD5: 595a37f59f4fe020876d4e1329e167d6),結束文檔編輯器、數據庫、郵箱客戶端以及游戲客戶端等常見進程,停止備份相關服務,停止反病毒引擎相關服務。kill.bat如下。
4、FIN6組織針對性勒索活動的過程
FIN6組織攻陷內網之后,會在內網中部署勒索軟件,本小節以LockerGoga為例,闡述勒索軟件的運行過程。LockerGoga勒索軟件會根據不同的參數執行指定的操作。
表4- 1 LockerGoga根據不同的參數執行不同的操作
無參數
|
將自身移動到臨時文件夾,重命名為originalname{4個隨機數字}.exe,以參數-m啟動移動后的文件,在桌面上寫勒索信。
|
-m
|
以主進程的方式啟動,創建互斥量<MX-originalname>,創建命名共享內存<SM-originalname>,遍歷文件,收集文件列表信息,注銷會話,修改管理員和普通用戶口令,以參數-s創建多個自身子進程。
|
-s
|
以子進程的方式啟動,從共享內存讀取要加密的文件路徑,加密文件。
|
-i
|
進程間通信。
|
-l
|
在根目錄下創建日志文件,該日志文件記錄
|
4.1 提升自身權限,修改管理員口令,禁用網絡適配器
LockerGoga以不同參數運行后都會進行提權操作。在使用參數-m啟動后,會創建進程logoff.exe來進行會話注銷,使用net.exe修改管理員賬戶口令以及其他用戶口令,新口令為“HuHuHUHoHo283283@dJD”。在加密完成后枚舉WiFi和以太網適配器,并試圖禁用適配器來阻斷主機與外網的連接。
圖4-1 修改管理員賬戶口令
4.2 使用AES算法加密文件,刪除系統日志
LockerGoga以參數-m啟動后,會遍歷文件,收集文件列表信息,然后以參數-i SM-originalname -s 創建自身子進程,使用子進程進行加密。其中SM-originalname為共享內存命名,本例中為SM- tgytutrc,樣本通過創建共享內存的方式,從父進程向子進程傳遞要加密的文件路徑。
圖4- 2 創建共享內存
圖4-3 獲取文件列表
以參數-i SM-originalname –s啟動的進程會判斷互斥量MX-originalname是否存在,若不存在則程序退出。子進程會從共享內存中讀取base64編碼的文件路徑,解碼后執行加密操作。樣本使用AES算法加密文件,利用隨機數生成AES密鑰和初始化向量(IV),使用硬編碼在樣本中的RSA公鑰加密AES密鑰相關信息。樣本中雖硬編碼了文件類型,但實際加密過程中并未只加密硬編碼在樣本中的文件類型。使用RSA公鑰加密數據的結構如下。
表4- 2 RSA公鑰加密數據的結構
圖4- 4 RSA公鑰
加密后的數據會附加在加密文件結尾,結構如下。
圖4- 5 被加密文件尾部結構
LockerGoga會使用wevtutil.exe清除windows事件日志,語句如下。
4.3 規避檢測
4.3.1 使用有效簽名
LockerGoga的樣本使用了有效的數字簽名來規避反病毒引擎檢測,涉及到的數字簽名如表4-2所示。在這些簽名未被撤回之前,LockerGoga在VT上的檢出率極低。
表4- 3LockerGoga使用的數字簽名
MIKL LIMITED
|
Issuer
|
COMODO RSA Code Signing CA
|
Serial
number
|
3D 25
80 E8 95 26 F7 85 2B 57 06 54 EF D9 A8 BF
|
|
ALISA LTD
|
Issuer
|
Sectigo
RSA Code Signing CA
|
Serial
number
|
5D A1
73 EB 1A C7 63 40 AC 05 8E 1F F4 BF 5E 1B
|
|
KITTY'S LTD
|
Issuer
|
Sectigo
RSA Code Signing CA
|
Serial
number
|
37 8D 55
43 04 8E 58 3A 06 A0 81 9F 25 BD 9E 85
|
圖4- 6 數字簽名有效時VT檢出率
4.3.2 使用多進程加密文件
一些基于沙箱的檢測系統對系統中進行寫入操作的文件數量設置了一定的閾值,會監視進行寫入操作的文件的數量并會將這些文件的擴展名進行關聯。若LockerGoga使用同一進程進行文件加密操作,則極大可能會超過上述的閾值,并且其寫入的文件擴展名都為“.lock”,很容易被該類沙箱視為異常操作。因此,LockerGoga使用多進程加密文件可能繞過該類檢測技術[8]。
單個進程對大量文件進行加密時,會產生大量的I/O請求,可能會被基于過量I/O操作的檢測系統檢測到。LockerGoga使用多個進程進行加密操作,并且每個進程只加密少量的文件,控制了單個進程發出I/O請求的數量,便可以繞過該類檢測技術[8]。
5、總結
從FIN6組織近期的攻擊活動來看,其不僅在實施針對POS系統的攻擊活動,同時也在運營勒索軟件攻擊活動。因此目前還不能簡單給出FIN6組織的目標已經從POS系統逐漸轉移到勒索活動這樣的結論。不論是Ryuk勒索活動,還是LockerGoga勒索活動,FIN6組織都能夠準確的定位目標,對目標網絡中的關鍵信息系統實施定制化的勒索攻擊,致使受害者蒙受巨大的經濟和聲譽損失。因此,大型企業或組織應該高度警惕和重視利用勒索軟件實施的針對性勒索攻擊。表5-1是安天內部威脅情報平臺給出的FIN6組織畫像。
表5-1 FIN6組織畫像
FIN6組織畫像
|
|
組織名稱
|
FIN6組織
|
組織別名
|
GRIM
SPIDER
|
攻擊手法
|
該組織主要利用被盜憑證進一步入侵,依賴powershell、Metasploit組件等多種武器工具進行內部偵察、橫向移動并建立持久性
|
攻擊武器/裝備
|
BladePOS、HARDTACK、SHIPBREAD、TRINITY(FrameworkPOS)、Cobalt
Strike、Metasploit框架組件、LockerGoga、Ryuk、Plink、PsExec、RemCom、GRABNEW 、AbaddonPOS、More_Eggs(Terra),開源工具包括Adfind、7-Zip
|
目標國家
|
全球活躍,主要針對美國、日本、印度、歐洲等
|
目標行業
|
POS系統終端,電子商務系統,具體包括金融、保險、醫療、酒店、零售行業等
|
涉及平臺
|
Windows
|
涉及漏洞
|
CVE-2013-3660、CVE-2011-2005、CVE-2010-4398
|
攻陷資源
|
N/A
|
具體意圖
|
經濟獲利
|
附錄一:IoCs
SHA256
|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|
聯系郵箱
|
|
IP
|
103.73.65.*
176.126.85.*
185.202.174.*
185.222.211.*
185.238.0.*
185.70.105.*
185.70.184.*
185.70.187.*
31.192.108.*
31.207.44.*
31.207.45.*
31.220.45.*
46.166.173.*
5.39.219.*
62.210.136.*
89.105.194.*
93.115.26.*
|
URL
|
https://176.126.85.*:443/7sJh
https://176.126.85.*/ca
https://176.126.85.*:443/ilX9zObq6LleAF8BBdsdHwRjapd8_1Tl4Y-9Rc6hMbPXHPgVTWTtb0xfb7BpIyC1Lia31F5gCN_btvkad7aR2JF5ySRLZmTtY
https://pastebin.com/raw/0v6RiYEY
https://pastebin.com/raw/YAm4QnE7
https://pastebin.com/raw/p5U9siCD
https://pastebin.com/raw/BKVLHWa0
https://pastebin.com/raw/HPpvY00Q
https://pastebin.com/raw/L4LQQfXE
https://pastebin.com/raw/YAm4QnE7
https://pastebin.com/raw/p5U9siCD
https://pastebin.com/raw/tDAbbY52
https://pastebin.com/raw/u9yYjTr7
https://pastebin.com/raw/wrehJuGp
https://pastebin.com/raw/tDAbbY52
https://pastebin.com/raw/wrehJuGp
https://pastebin.com/raw/Bber9jae
https://pastebin.com/raw/7Qmz6q5v
https://pastebin.com/raw/wdcq0Tda
https://pastebin.com/raw/9ditgTZh
https://pastebin.com/Mzd1HFrN
|
附錄二:參考資料
[1] Big Game Hunting with Ryuk: Another Lucrative Targeted Ransomware
https://www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/
[2] Pick-Six: Intercepting a FIN6 Intrusion, an Actor Recently Tied to Ryuk and LockerGoga Ransomware
https://www.fireeye.com/blog/threat-research/2019/04/pick-six-intercepting-a-FIN6-intrusion.html
[3] New LockerGoga Ransomware Allegedly Used in Altran Attack
https://www.bleepingcomputer.com/news/security/new-lockergoga-ransomware-allegedly-used-in-altran-attack/
[4] UK’s Police Federation hit by ransomware
https://techcrunch.com/2019/03/21/police-federation-ransomware/
[5] Ransomware Forces Two Chemical Companies to Order ‘Hundreds of New Computers’
https://motherboard.vice.com/en_us/article/8xyj7g/ransomware-forces-two-chemical-companies-to-order-hundreds-of-new-computers
[6] NEW GLOBAL ATTACK ON POINT OF SALE SYSTEMS
https://blog.morphisec.com/new-global-attack-on-point-of-sale-systems
[7] 老牌工具 PsExec 一個瑣碎的細節
https://paper.seebug.org/503/
[8] LockerGoga Ransomware Family Used in Targeted Attacks
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/lockergoga-ransomware-family-used-in-targeted-attacks/