风吹吹蛋蛋疼风w 发表于 2021-4-11 05:48:56

Conti勒索软件分析

Conti勒索软件现身于去年7月,属于新兴的双重勒索软件阵营,在以勒索软件加密系统之前,会先下载未加密的机密资料,以在受害者拒绝支付赎金以换取解密密钥时,作为进一步的勒索筹码,已有部分案例显示有受害者最终是为了保护资料而选择支付赎金。
在2021年2月,趋势科技的研究人员收到了一系列与Conti勒索软件团伙攻击有关的可疑事件的警报,这些事件是由Trend Micro Vision One平台发现的。
Conti被认为是流行的Ryuk勒索软件家族的变种,越来越多的攻击者现在通过与过去传播Ryuk相同的方法传播恶意软件。例如,Trickbot/Emotet和BazarLoader现在都被用来传播Conti。
这篇文章讨论了如何使用Cobaltstrike(研究人员称之为Cobalt/Cobeacon恶意软件家族),以及研究人员如何使用Vision One平台来跟踪这种威胁。
http://i1.go2yd.com/image.php?url=0TeqY1b4BO&zhiwu55.jpg
这些攻击是通过Workbench平台的工作台面板发现的,客户组织的soc和MDR研究人员都可以访问该工作台面板。它可以用来帮助响应正在进行的事件,以及为正在进行的安全调查添加上下文。
http://i1.go2yd.com/image.php?url=0TeqY1Gph1&zhiwu55.jpg
Vision One模型命中
在这个工作台警报中,研究人员可以看到sys64.dll (Cobaltstrike信标)被命令在远程计算机上执行。父进程是winlogon.exe,通常用于处理与登录有关的任务。这使得sys64.dll的启动非常可疑。
http://i1.go2yd.com/image.php?url=0TeqY1zokm&zhiwu55.jpg
Vision One模型命中
第二个警报与第一个警报类似,但是它不运行sys64.dll,而是执行vd.exe,这也是Cobaltstrike信标文件。命令如下:
使用Search App检查事件后,研究人员看到这些系统可执行文件正在使用Cobaltstrike信标代码(vd.exe)进行进程注入,如跟踪事件“ 701 – TELEMETRY_MODIFIED_PROCESS_CREATE_REMOTETHREAD”所示。
注入Cobaltstrike信标代码的跟踪分析事件
http://i1.go2yd.com/image.php?url=0TeqY1a8oD&zhiwu55.jpg
Vision One模型命中
然后,攻击者尝试使用ntdsutil转储域密码哈希,将结果保存为c:\windows\temp\abc以备以后使用:
http://i1.go2yd.com/image.php?url=0TeqY1VV8h&zhiwu55.jpg
Vision One模型命中
此时,攻击者并没有立即进行任何进一步的恶意活动。几个小时后,他们开始部署Conti勒索软件的有效载荷,趋势科技的Predictive Machine Learning立即检测到了该载荷。当前检测到文件xx.dll为Ransom.Win64.CONTI.A。
http://i1.go2yd.com/image.php?url=0TeqY1JVsl&zhiwu55.jpg
Vision One模型命中
在进行CONTI勒索软件部署之后,在多个终端上检测到勒索记录。
目前尚不清楚Cobaltstrike信标的传播目标,研究人员使用Vision One的不同功能可以更深入地研究了这个问题。
使用Vision One的Observed Attack Techniques (OAT) 应用程序,研究人员注意到今年2月11日和12日,几个终端才开始向Vision One发送数据。一旦研究人员检查了更多的遥测技术,便可以确认是这种情况。
通过Vision One查看检测结果
趋势科技的智能保护网络提供的反馈显示,2月4日该组织可能探测到Cobaltstrike信标。这可能是第一次试图渗透到未取得最初成功的组织。
2月4日的反馈
除了这个潜在的攻击之外,研究人员无法确定最初攻击使用的任何特定方法。攻击者可能已经对未受保护或未被监视的终端发起了攻击。
对事件的响应
正如我们前面提到的,他们正通过对终端进行进一步的保护来缓解攻击。攻击者似乎意识到了这一点。作为回应,他们决定尽快发送敏感信息。
OAT应用程序显示了一些与“很少访问的IP地址”相关的Vision One过滤器匹配,展开详细信息,可以显示它们存储失窃数据的位置。
很少访问的IP地址警报
开源工具“Rclone”通常用于将文件同步到指定的云存储提供商。在这次事件中,攻击者使用该工具上传文件到Mega云存储。
有关Rclone的警报
其他Cobalt/Cobeacon变种在勒索软件事件发生几天后又陆续被发现,这表明攻击者仍然可以访问不受保护的终端。
http://i1.go2yd.com/image.php?url=0TeqY1VbXx&zhiwu55.jpg
与Cobaltstrike有关的警报
Cobaltstrike横向移动技术
现在,调查后的时间表如下所示:
http://i1.go2yd.com/image.php?url=0TeqY1xZva&zhiwu55.jpg
Conti / Cobaltstrike攻击的时间表
现在,研究人员将简要描述Cobaltstrike如何能够在网络上传播自我并进行Conti勒索软件传播。
凭借其从LSASS访问和转储凭据哈希的功能,它可以恢复密码并将其用于进一步的移动。
调用lsass.exe的命令
Cobalt/Cobeacon使用cmd.exe复制命令将文件发送到远程驱动器。它可以直接从注入的进程(包括winlogon.exe,wininit.exe和wusa.exe)发出,也可以使用批处理脚本作为添加层。
http://i1.go2yd.com/image.php?url=0TeqY1P8yU&zhiwu55.jpg
从注入的进程调用cmd.exe命令
http://i1.go2yd.com/image.php?url=0TeqY1chS0&zhiwu55.jpg
通过批处理文件/脚本执行
通常将这些组件下载到以下路径中:
http://i1.go2yd.com/image.php?url=0TeqY1oKOZ&zhiwu55.jpg
在远程终端上,文件创建过程将由ntoskrnl.exe启动。这种行为可以与其他Cobalt/Cobeacon行为配对,以检查违规情况,或仅用于监视通过此方法创建的文件,该方法试图将文件保存在可疑路径中。
http://i1.go2yd.com/image.php?url=0TeqY1lZYY&zhiwu55.jpg
通过ntoskrnl.exe执行
当它在远程终端上发送命令来执行自身的副本时,也是如此。
http://i1.go2yd.com/image.php?url=0TeqY1bqSp&zhiwu55.jpg
在远程终端上执行
除了使用计划任务之外,它还使用WMI命令来运行自身的DLL或EXE副本,如图2所示。
http://i1.go2yd.com/image.php?url=0TeqY1EpjT&zhiwu55.jpg
使用WMI运行其自身的副本
参考及来源:http://www.trendmicro.com/en_us/research/21/c/vision-one-tracking-conti-ransomware.html

xinting_6ym 发表于 2021-4-11 06:36:13

我就是来看帖子的,楼主英明啊!

我的苦恼冉 发表于 2021-4-11 12:01:14

路过

素色流年783 发表于 2021-4-11 23:58:40

沙发???

123456823 发表于 2021-4-19 16:33:51

不错,顶一个!
页: [1]
查看完整版本: Conti勒索软件分析