擁有管理員權限的帳號被用來透過PsExec安裝BitPaymer勒索病毒

趨勢科技 TrendMicro 中小企業資安, 企業資安, 勒索病毒/勒索軟體

勒索病毒可能在2018年呈現下降的趨勢,但它似乎又回來了 – 只是這次的攻擊看起

這張圖片的 alt 屬性值為空,它的檔案名稱為 Ransomeware-200x200.jpg

來更具有針對性。之前就出現了針對一家美國飲料公司的勒索病毒攻擊新聞,會將公司名稱放在勒贖通知裡,而本篇文章會探討攻擊一家美國製造商的BitPaymer勒索病毒(趨勢科技偵測為Ransom.Win32.BITPAYMER.TGACAJ)。這家公司與飲料公司一樣,也似乎成為了被針對的目標,因為受感染系統內的勒贖通知也出現了公司名稱。

根據調查結果讓我們相信攻擊者是用具備管理員權限的帳號來透過PsExec安裝BitPaymer,PsExec是可以在遠端電腦上執行程序的命令列工具。

BitPaymer如何出現在系統內

BitPaymer(跟iEncrypt勒索病毒有關)是透過PsExec在製造商的電腦上執行。根據我們的分析顯示,攻擊者在2019年2月18日晚上9點40分到晚上11點03分之間透過PsExec發送命令來複製和執行BitPaymer變種。

攻擊者至少需要一個具有管理員權限的帳號才能透過PsExec執行命令。這代表在安裝勒索病毒前就已經發生過未被偵測到的入侵事件。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/04/BitPaymer-Ransomware-Diagram-01.jpg

圖1. BitPaymer勒索病毒的攻擊時間軸

趨勢科技Smart Protection Network所提供的資料支持此假設。從1月29日到2月18日間,偵測到多起在數台電腦上執行Empire PowerShell後門程式。分析顯示這是透過遠端執行而不是在目標電腦上植入檔案。在同一時間段內也偵測到Dridex相關檔案(我們找到跟BitPaymer共用的載入器)。請注意,在美國飲料公司案例中,一些研究人員認為起出的Dridex感染事件可能跟最終的勒索病毒感染有關。

檢視所有的可用資訊,我們能夠推斷出公司在1月29日前後就已經出現資安入侵事件。

這並不是新的BitPaymer變種

如上所述,Ransom.Win32.BITPAYMER.TGACAJ會在勒贖通知內出現受害公司的名稱,並用作為加密檔案的副檔名。這顯示出該公司很可能是被針對的。在2018年底也出現過類似Ransom.Win32.BITPAYMER.TGACAJ的變種,當時它針對了數家公司,包括一家總部位於德國的製造商。該變種也會在勒贖通知內使用受害公司的名稱,並將其作為加密檔案的副檔名。

Figure 2. In the ransom note, the victim is instructed to contact the threat actor/s to know how much needs to be paid in exchange for decryption. Notably, the key used in the encryption is stored in the message itself, and not within the file. This means losing the ransom note could kill the chance of file decryption.

圖2. 勒贖通知只要求受害者聯絡攻擊者來了解需要付多少錢來換取解密。值得注意的是,加密使用的金鑰儲存在訊息內而非檔案內。這代表遺失勒贖通知可能會導致無法解密檔案。

除了對勒贖通知和反映受害公司名稱的檔案副檔名所做的更改外,Ransom.Win32.BITPAYMER.TGACAJ與2018年下半年回報的變種間沒有其他差異。

與之前BitPaymer變種的程式碼比較

我們的分析顯示這個BitPaymer勒索病毒並不是新的變種,只是在勒贖通知及使用副檔名方面進行修改。根據我們的分析,此變種的程式碼結構與之前發現的Bitpaymer變種有許多相似之處。它使用相同的程式碼來取得Windows API,並且在解封程式碼使用相同的進入點。下圖顯示了每個變種如何解析API:

Figure 3. This variant was spotted in January 2018. It appended encrypted files with .locked.

圖3. 在2018年1月發現的病毒。使用.locked加密檔案。

Figure 4. This variant was spotted in September 2018.It appended encrypted files with .locked.

圖4. 在2018年9月發現的病毒。使用.locked加密檔案。

This variant was spotted in February 2019. It used the name of the victim company as an extension name for the encrypted files.

圖5. 在2019年2月發現的病毒。使用受害公司名稱作為加密檔案的副檔名。

同時,下面兩張截圖顯示了解封程式碼的進入點:

Figure 6. The one on the left is the September 2018 variant while the one on the right is the February 2019 variant.

圖6. 左圖是2018年9月的病毒,右圖是2019年2月的病毒。

BitPaymer的執行後果

在端點上啟用行為監控及其他防勒索病毒技術可以將勒索病毒感染的影響降到最低。行為監控可以檢查已知惡意行為來偵測新變種。對於此案例,可以透過偵測組件功能來封鎖惡意的檔案加密或修改。行為監控技術也會封鎖Empire後門程式執行。

但是會讓勒索病毒執行的安全漏洞仍然可能存在。未偵測到的對象或組件也可能仍在IT環境內運行。在這樣的情況下,應該要採取對策(包括更新所有帳號並遵循防止濫用系統管理員工具(如PsExec)的最佳實作等)來避免將來再因同樣原因而被入侵。

託管式偵測及回應服務在這些案例中的作用

我們在本文中所探討的勒索病毒攻擊以及攻擊美國飲料公司和德國製造商的勒索病毒都可以看出攻擊者越來越傾向於採用更具針對性的作法,這需要復雜的策略才能攻擊成功。有效監督IT環境是阻止攻擊者進入的關鍵。

由於在1月29日偵測到入侵的第一個症狀,因此在2月18日可以採取措施來防止勒索病毒擴散。入侵偵測系統可以提供網路內部惡意活動的能見度,從而讓企業有機會更快地採取措施。以美國製造商的案例而言,能夠更新被入侵的帳號,並且清理受感染電腦來阻止勒索病毒散播。

採用託管式偵測及回應(Managed Detection and Response,簡稱MDR) 安全服務也能夠防止勒索病毒感染。MDR服務會在需要時提供專職的威脅分析師、事件調查員和回應專家,能夠在威脅侵害組織的IT系統前先加以發現。

趨勢科技的MDR服務提供能夠分析日誌以識別受感染電腦(如被安裝BitPaymer勒索病毒的電腦)的資安專家。我們的MDR專家還能夠識別出這樣勒索病毒事件被入侵的帳號,同時提供病毒碼更新讓企業能夠防止進一步的攻擊。

此外,我們的MDR專家還精通能提供有意義安全通知的先進安全產品。如趨勢科技的趨勢科技Deep Security,可以識別被入侵的系統並將其關閉來封鎖攻擊者的內部存取。企業還可以利用趨勢科技的Deep Discovery Inspector來捕捉完整的網路活動,讓事件調查員更容易在攻擊期間及之後找出線索。如果可以早期偵測入侵跡象,企業就有機會採取措施來防止威脅蔓延。同時,趨勢科技的Apex One提供進階的自動化威脅偵測及針對各類威脅(包括無檔案攻擊和勒索病毒)的回應能力。Apex One跨世代混合的先進技術提供高度強化的端點防護,能夠讓效能都提升到最高。

@原文出處:Account With Admin Privileges Abused to Install BitPaymer Ransomware via PsExec 作者:Gilbert Sison和Ryan Maglaque

相關文章:

《看漫畫談資安》在家遠端工作應注意的資安重點
BlackSquid 利用八種知名漏洞潛入伺服器與磁碟,並植入 XMRig 挖礦程式
躲在系統四個月沒被發現?駭客竊取資料的五個隱身術
勒索病毒MongoLock變種不加密,直接刪除檔案,再格式化備份磁碟,台灣列為重大感染區