Skip to main content

透過 MDR ( 託管式偵測及回應服務)檢視Ryuk勒索病毒-專攻擊大企業勒索超過60萬美元

趨勢科技的偵測及回應託管式服務(managed detection and response,MDR)及事件回應團隊調查了兩起似乎是獨立事件的Ryuk勒索病毒攻擊。

勒索病毒  (勒索軟體/綁架病毒)儘管數量明顯地​​減少了,但仍持續使用多樣化的新技術持續造成威脅。一個明顯的例子是Ryuk勒索病毒(偵測為 Ransom_RYUK.THHBAAI),它在2018年12月造成美國幾家主流報紙運作中斷而惡名遠播。早先在2018年8月的Checkpoint分析指出,Ryuk專門被用在針對性攻擊,主要目標是受害者的重要資產。在12月攻擊事件前的幾個月,Ryuk攻擊了數間大企業來勒索價值超過60萬美元的比特幣

趨勢科技的託管式偵測及回應(MDR)及事件回應團隊調查了兩起似乎是獨立事件的Ryuk攻擊。第一起經由以MikroTik路由器作為C&C伺服器的TrickBot營運商散播Ryuk,第二起則是攻擊者入侵管理員帳號來在網路內部散播Ryuk。加上2018年的事件,這些新攻擊可以看出惡意軟體背後黑手在擴大其範圍的強烈意圖。

案例1:利用被入侵的MikroTik路由器在組織內散播Ryuk和Trickbot

在第一起案例中,使用TrickBot的攻擊者透過Eternal Blue漏洞及收穫的帳密來進行橫向移動和散播Ryuk。

MikroTik路由器是最好的選擇,因為駭客很容易就能夠取得針對這些型號的漏洞攻擊碼,可以輕易地入侵未修補的Mikrotik路由器並將其轉變成C&C伺服器。還可以用它來融入組織網路。被發現的MikroTik路由器版本也顯示出攻擊者可能使用了RCE(遠端執行程式碼)漏洞CVE-2018-1156CVE-2018-14847。後者跟2018年8月一起挖礦劫持攻擊活動所用的漏洞一樣。

感染鏈的開始是夾帶TrickBot下載器的惡意垃圾郵件,下載後會用兩種方法在網路內散播:第一種是用EternalBlue漏洞攻擊來透過SMB散播;第二種是利用收穫的帳密。Trickbot接著會與外部的被入侵Mikrotik路由器建立連線,這路由器成為受感染電腦收發指令的C&C伺服器。

TrickBot可用來進行橫向移動並儘可能地感染更多電腦。接著會在隨機判定的時間部署Ryuk。

https://documents.trendmicro.com/images/TEx/articles/RyukRansomware-01-1.jpg

Trickbot如何在網路內橫向移動?

當TrickBot感染電腦時,它自帶了一組用來進行偵察、收穫帳密和橫向移動的模組程式庫。我們在之前的文章「Trickbot的眾多把戲」和「TrickBot展示新把戲:密碼收穫模組」裡有詳細的討論。

https://documents.trendmicro.com/images/TEx/articles/Ryuk-2.png

下表顯示TrickBot各模組所進行的任務:

任務 模組
從受感染使用者系統收集資訊 systeminfo – 電腦規格(作業系統、架構、處理器) networkdll – 收集電腦資訊(使用者名稱、網域名稱等)
感染更多的內部電腦 wormdll – SMB漏洞攻擊碼(MS17-010) sharedll – 將自己複製到管理共用C$或ADMIN$內 tabdll
竊取帳密並攔截與某些銀行網站的連線 injectdllimportdllmailsearcherpwgrab
反向shell用的PowerShell Empire模組 NewBCtestnDll64

最值得注意的模組是wormdll32和NewBCtestnDll64。wormdll32是利用Eternal Blue漏洞進行橫向移動的模組。NewBCtestnDll64則是會生成下載Empire PowerShell的PowerShell腳本,用來建立反向shell作為受感染電腦的後門。它會執行並下載Empire PowerShell,如下圖所示:

https://documents.trendmicro.com/images/TEx/articles/Ryuk-3.png

Empire PowerShell讓駭客可以更靈活地進行攻擊,它提供一系列的模組用來進行提權、橫向移動、建立持續性和偵察等。

TrickBot模組設定檔還顯示了受感染電腦會建立通訊的被入侵MikroTik路由器IP地址(MDR感知器所發現)。

https://documents.trendmicro.com/images/TEx/articles/Ryuk-4.png

案例2:用來部署Ryuk的組織安全漏洞

第二起案例是攻擊者透過取得管理員權限在網路內部署Ryuk。在此情況下,取得管理者權限的攻擊者可以進行以下操作:

  • 停用安全軟體。
  • 將惡意程式傳送到系統內。
  • 載入Ryuk勒索病毒來加密多台伺服器。

此案例中的攻擊者已經入侵成功並且能夠在內部網路進行移動。軟體派送工具所用的服務帳號(擁有網域內所有工作站和伺服器的管理員權限)也成了其目標。在我們處理的這起事件中,駭客使用Powershell來橫向移動到目標,如下圖所示:

https://documents.trendmicro.com/images/TEx/articles/Ryuk-4-5.png

下面截圖顯示駭客傳送kill.bat的程式碼。在此案例中,派送kill.bat的帳號是與Microsoft Systems Center Operations Manager關聯的服務帳號 – 具備網路內所有主機的較高權限。

https://documents.trendmicro.com/images/TEx/articles/Ryuk-5.png

一旦植入kill.bat並執行,它會用數種方法來停用安全軟體(如下圖),之後就會將Ryuk勒索病毒複製進去。

https://documents.trendmicro.com/images/TEx/articles/Ryuk-6-1.png

除了執行內建的Windows工具taskkill來終止安全軟體外,它還會用其他方法來停止這些服務。在我們處理的事件中,駭客還利用了內建的Windows工具net stop,為了保險,還用內建的Windows方法sc config來停用服務。

https://documents.trendmicro.com/images/TEx/articles/Ryuk-7.png

執行後,svchost.exe將Ryuk植入系統,加密伺服器和工作站。但攻擊者沒有加密所有的網域控制器,組織的五個網域控制器中只有三個被加密。

另一點值得注意的是,攻擊者用命令列的方法透過UNC路徑和psexec複製檔案。

託管式偵測及回應(MDR)如何協助對抗Ryuk?

我們在本文中討論了兩起不同的Ryuk案例,以及每起案例如何為管理員和資安人員帶來不同的挑戰。

第一起案例就跟大多數垃圾郵件攻擊一樣,困難點不僅是需要識別出惡意內容,還在於組織每天所需要處理的資料量。在海量資料中尋找異常值可能相當困難,特別是對於沒有專業知識跟經驗來正確識別警訊的人員來說。需要技巧和資源來判斷海量警報內哪些只是灰色警報,而哪些是真正惡意的。此外,IT和資安人員可能沒有接受過關聯不同元素的訓練或是缺乏經驗,無法準確判斷所處理威脅的性質。

而在第二起案例中,可以看出組織在面對有權限存取關鍵網路的攻擊者時,很難以去進行偵測或在短時間內加以解決。迅速反應是相當重要的,因為有證據顯示這可能是更大型針對性攻擊活動的一部分。

在這兩起案例中,趨勢科技的MDR和IR團隊都能快速識別受入侵電腦及攻擊鏈。MDR從各種來源(如端點、網路和伺服器)收集資料以確定攻擊的來源、分佈和傳播,進而能夠對組織正在處理的事件有更清晰的全貌。如在第一起案例中,團隊使用Shodan(一種物聯網設備的搜尋引擎)來確認與眾多電腦建立通訊的外部IP地址實際上是MikroTik路由器。通訊連線一開始看起來很正常或微不足道,未經訓練的人員很容易就忽略掉。

除了精通內部和外部威脅情報資源外,MDR團隊還擁有趨勢科技先進安全解決方案的經驗。其中之一是趨勢科技的Deep Discovery解決方案,能夠識別被入侵系統來阻止攻擊者的內部連線。另一個是趨勢科技的Deep Discovery Inspector,它能夠偵測組織內部威脅的橫向移動。如第二起的Ryuk案例,可以發現來自未加密網域控制器到MSP伺服器的橫向移動。

趨勢科技解決方案

能夠偵測Eternal Blue(SMB漏洞攻擊)的規則列表如下:

Deep Discovery Inspector規則名稱:

  • Rule 2435 – MS17-010 – Metasploit – SMB (Request)
  • Rule 2435 – MS17-010 – Remote Code Execution – SMB (Request)    
  • Rule 2528 – MS17-010 – Remote Code Execution – SMB (Request) – Variant 2

Deep Security IPS規則名稱:

  • Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)

下列是TrickBot和Ryuk的偵測規則或名稱:

  • Rule 2413 – TRICKBOT – HTTP (Request)
  • Rule 1628 – DYREZA – HTTP (Request) – Variant 2
  • Possible_TrickBot-Cfg
  • TSPY_TRICKBOT.SMB
  • TrojanSpy.Win32.TRICKBOT.AE
  • Ransom_RYUK.THHBAAI

要注意的是,上面所提到的Deep Discovery Inspector規則是遭受入侵的強力指標。但還有其他資訊性規則及偵測來支持這些高可信度規則。為了文章簡潔,我們只有提中/高可信度規則。

@原文出處:Examining Ryuk Ransomware Through the Lens of Managed Detection and Response 作者:Buddy Tancio,Ryan Maglaque,Cenen Enalbes和Jay Yaneza