首页 >> 网络安全 >>病毒分析 >> CSI:针对目标勒索软件攻击的证据指标–第一部分
详细内容

CSI:针对目标勒索软件攻击的证据指标–第一部分

时间:2020-06-22     【转载】   阅读

多年来,我一直在数字取证,恶意软件分析和威胁情报领域工作和教学。在上一堂课时,我们总是谈论洛克的交换原则:“两个项目接触,就会进行交换”。如果我们将其转换为数字世界:“当对手违反系统时,他们将留下证据的痕迹”。面临的挑战通常是如何及时发现证据以采取行动并发现可用于检测的来源。易失性证据来源必须尽快得到保护,而非易失性证据来源的优先级较低。波动顺序的一个例子:

1.jpg

在本系列的两篇文章中,您将看到一个示例,这是我们在过去几个月中一直关注的趋势。


在第一阶段,公司会受到某种信息窃取恶意软件(Azorult,Dridex,Trickbot)的感染,或者被网络边缘安全性较差的RDP服务器所破坏。


第二阶段发生在几周后,当使用Ryuk,Bitpaymer或攻击者可以访问的另一个勒索软件系列针对性的勒索软件攻击同一受害者时。


该团队在Bitpaymer上的文章中介绍了一个最近的例子。对手执行阶段一并不一定要与演员执行阶段二相同。Azorult或RDP在地下市场上收集了很多证书。以下是广告商的屏幕截图,显示了他们造成的Azorult受害者(13k)的数量,包括从他们那里窃取的信息:

2.jpg

图1 Azorult C2示例

阶段1:初始感染

3.jpg

图2第一阶段

尽管可能会有一些变化,但是图形概述显示了大多数此类攻击是如何开始的。无论是在用户访问感染了恶意脚本的网站还是鱼叉式钓鱼活动的情况下,通过过分妥协的手段,结果都是恶意软件感染,从而窃取凭据,将其泄露,并导致受害者拥有有效的帐户。另一种情况是从地下购买有效的帐户信息。拥有有效的帐户将可以使用该恶意软件访问远程服务或直接访问受害者的计算机。当对手采取下一步行动时,十分之九,我们观察到再次使用密码转储工具(如Mimikatz)或PowerShell相关活动进行密码转储。目标?在受害人网络内的系统上获得本地管理员,域管理员或系统权限。

数字证据初始访问阶段:

T1189妥协驱动

4.jpg

在这种情况下,受害者很可能浏览Internet并访问包含恶意脚本的网页。按照波动率的顺序,我们在哪里可以找到证据?根据恶意脚本中定义的操作类型,注入时它可能在磁盘或内存中留下痕迹。


T1192和T1193鱼叉式网络钓鱼链接/附件


在这种情况下,受害者会收到一封带有链接(T1192)或带有武器的附件(T1193)的电子邮件。通过单击链接,将打开一个网站,并按上述T1189偷渡妥协中所述执行后续操作。波动的顺序相似,但是执行链更大。自用户启动该操作以来,将在受害者的机器上提供更多的数字证据:

  1. 执行程序(电子邮件客户端)

  2. 单击链接将打开默认配置的Web浏览器

  3. 网络浏览器访问链接

  4. 脚本将执行

对于程序的执行和启动,有过程证据,预取目录,UserAssist,Shimcache,RecentApps以及许多其他源来跟踪它们的启动和执行时间。电子邮件本身可以从受害者的收件箱中检索,或者对于Webmail,临时Internet文件中可能有残余。大部分提到的证据伪像都是非易失性的,在法医声音中很容易提取。


如果是带有武器附件的鱼叉式网络钓鱼攻击,则流程大致类似于以下内容(当然会有变化):

  1. 执行程序(电子邮件客户端)

  2. 开启附件

  3. 启动Office应用程序

  4. 执行宏

  5. PowerShell / WMIC,后跟Internet流量下载文件

  6. 脚本/文件的执行

  7. 在内存中执行或写入磁盘并执行

我们已经讨论了可用于执行程序的非易失性证据。在此示例中,将有证据显示电子邮件客户端的启动/执行和打开Office应用程序以执行附件的证据。如果在保存到磁盘之前打开了附件,则在Outlook中将文件复制到“ SecureTemp”文件夹,该文件夹是Internet临时文件下的隐藏文件夹。


根据宏的有效负载,将存在与Internet相关的流量的证据。使用PowerShell或WMIC时,其启动记录在Windows Prefetch目录中,并且注册表和/或事件日志中都有跟踪。根据执行的脚本或文件的类型,可以在内存或磁盘中发现跟踪,而内存的易失性最大,而磁盘则是非易失性的。


例如,当受害者的计算机上安装了诸如Azorult之类的恶意软件时,流程将如下所示:

5.jpg

图3渗透与沟通

如图1所示,数据的泄漏主要是通过TCP端口80向C2(命令和控制)仪表板进行的,T1043和T1041都是最有可能在诸如设备之类的网络日志中留下非易失性跟踪的技术。代理/网关/防火墙。


我们经常注意到的是,例如AZORULT的感染被忽略/低估了。它们被检测到并且被阻止或被检测到并随后清除了感染,但是恶意软件的功能被低估/忽略。


如果再看一下表1,就初始网络流量和进程的运行而言,波动的顺序,即我们运行的时间范围是几秒到几分钟。感染和渗透之间的时间间隔仍在几分钟之内,足以在采取措施之前泄漏凭证。这也是我们面临的挑战的三角洲–我们的人员,流程和技术是否能够在此攻击窗口内做出响应?预测预警信号并了解恶意软件的功能可以帮助防止更大的破坏。


当最初的破坏导致通过RAT获得有效的凭据或受害者访问(随机访问特洛伊木马程序)并用于目标勒索软件攻击时,会发生什么情况?我们将在下一篇文章中讨论。


.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

猜你喜欢
更多
联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录