事件响应前沿案例研究3

在本期《事件响应前沿案例》中，我们记录了一起针对欧洲产品制造和分销公司的勒索软件攻击事件。这起勒索软件攻击事件之所以引人注目，有几个原因：包括它是在辅助初始访问的情况下进行的，威胁缓解是实时进行的，即在攻击发生时进行。

在本报告中，我将介绍团队如何迅速应对持续威胁，导航受损系统并规避攻击者。我还将剖析勒索软件的杀伤链，从初始访问到权限提升和横向移动，以及我们如何保护环境。与所有《前沿案例》报告一样，这个故事凸显了强大安全措施和快速事件响应的必要性，我将在最后详细说明。

考古学 vs 肾上腺素

前言

我们的团队经常帮助公司处理勒索软件事件，提供支持包括调查攻击者的初始访问向量和任何使用的持久性机制。我们通常会跟进攻击者活动的热图，以尽可能从受损或恢复的环境中获取详细信息来解开杀伤链。偶尔，如果需要，我们还会与威胁行为者进行谈判。

但大多数勒索软件攻击的共同点是，当它被调查时，基本上已经是一个冷案。攻击已经展开，犯罪分子已经加密了环境并窃取了公司数据，而且在许多情况下，组织已经受到负面宣传并遭受了一些财务损失。受害者将不得不恢复运营并加强安全，但还要处理利益相关者、客户和监管机构的通知、潜在的法律后果，以及是否支付赎金的问题。

但如果组织能够避免处理勒索软件攻击后果的灾难，包括防止运营停机呢？在本期《事件响应前沿案例》中，我详细描述了一次经历，我帮助客户做到了这一点——剖析了试图窃取数据的勒索软件操作者的杀伤链技术细节，甚至在进行分析时在网络中实时“遇到”了攻击者。

除此之外，我还强调了使受害者特别脆弱的原因，并分享了我们从努力中得出的关键要点，包括企业未来可以做什么来保护自己。

沃森，我们有个问题

受害者是欧洲最大的产品制造和分销公司之一，年收入数十亿美元。它将其运营安全（包括监控和EDR代理部署）外包给了第三方托管安全服务提供商（MSSP）。

我们被叫来调查以下警报，该警报同时从许多设备产生（没有人愿意醒来看到的事情）：

图1. 使用comsvc.dll转储LSASS

这是一种记录在案的方法，用于转储本地安全机构子系统服务（LSASS）进程，因此可以离线操作，无需使用像mimikatz这样的工具。

它仍然是一种现成的技术，所以我询问客户为什么只提出了这个行动（而不是被阻止），以及他们的EDR解决方案是否有某些自定义设置可能导致这种情况。

就在这时，我了解到公司正在将其设备迁移到另一个EDR解决方案，在迁移完成之前，该解决方案将仅处于审计模式。所以，基本上，它可以看见但不能采取行动。

这意味着我们正在处理的设备相当异构：在检查事件时，我们需要注意两个EDR控制台，以及机器等待安装EDR时出现的通常盲点。

被遗忘的弱后门

尽管如此，我们仍然有一个逻辑上的下一个调查点。数据以及多年的经验告诉我们，公开暴露服务（如VPN和远程桌面协议（RDP））的受损凭据是勒索软件事件最常见的入口点。

因此，我们询问公司关于其VPN网关上的MFA强制执行情况，并被告知他们已经实施了这一控制。然而，我们的客户不知道的是，他们的MSSP正在通过他们自己的VPN网关访问他们的环境，而该网关没有强制执行MFA。对这个“未知”网关的日志分析显示，攻击者已经通过本地用户cisco利用了它数月，并且在LSASS警报前一周，BlackByte团伙的重要活动也在进行。

图2. VPN用户被滥用

攀登（权限）阶梯

LSASS转储警报是由用户账户生成的，毫不奇怪，这些账户是域管理员。进一步调查揭示了攻击者如何“加倍”他们的权限提升：

VPN用户cisco使用了IP地址89.22.239.213（见图2），公司确认该密码较弱。然而，由于这个本地VPN用户只有LAN访问权限，权限有限；他们可以通过网络通信，但无法访问Windows域。

步骤1 – 获取Windows域访问权限

对稍后发生的认证事件的调查显示，攻击者加倍努力寻找一个将授予访问Windows域权限的用户账户。他们通过密码喷洒攻击获得了这一点（图3）。

图3. 从VPN暴力破解用户账户

我们通过查看Censys中的TLS证书（图4）能够证明这些不同的恶意活动与同一攻击者相关联，该证书显示RDP配置了TLS，从而表明主机和IP之间的正向匹配。

图4. 带有主机名的TLS证书

在获得有效用户名后，攻击者随后成功暴力破解了密码。该账户属于另一家公司的合作伙伴，需要临时访问目标组织的资源。组织创建了一个域账户，并期望他们更改默认密码，但这从未发生，创建了一个存在多年的漏洞。

步骤2 – 获取域管理员权限

LSASS转储警报并不是EDR控制台中唯一的警报。多个警报被遗漏，我梳理了数天的数据以找到与此事件相关的警报。不幸的是，这些警报没有被第三方MSSP足够快地处理（可能是分析师在EDR迁移完成前必须监控两个独立仪表板的结果），这使得攻击者可以自由漫游。

最终权限提升如何发生的关键问题由我在新EDR控制台中找到的一个警报回答：

图5. 显示权限提升的Kerberoast攻击

在获得域用户[被图5中的红框遮蔽]后，我们可以看到恶意行为者针对弱域管理员凭据。该警报展示了一个典型的Kerberoast攻击。

如果MSSP捕捉到关键指标，它本应被捕获——尤其是因为它并不那么 subtle。

第一个指标是带有服务主体名称（SPN）通配符的LDAP查询。EDR对此生成了一个警报（见上图5中的“搜索过滤器”），但他们没有捕捉到。

如果他们利用了Windows事件日志（特别是域控制器上的一些EventID 4769事件），第二个指标本应可用。但唉，审计策略没有设置来收集它们。

如果他们实施了蜜罐账户，第三个指标也本应可用，这将生成高保真警报。但再次，MSSP不幸没有这样做。

所有这些都说明，攻击者在发起这种高风险高回报的攻击时没有三思，因为他们正确假设了适当的防御没有实施。

在警报发出后不久，我们看到了攻击者使用一些具有明文密码的Kerberoastable域管理员账户的证据，表明Kerberoast攻击已经成功（见图6）。不言而喻，如果公司实施了强密码，攻击就不会达到其目标。

因此，随着这一点的实现，权限提升完成。

值得一提的是，攻击者从无名小卒提升到域管理员只用了三个密码。他们猜中了VPN用户，然后是域用户，最后通过kerberoast猜中了域管理员，而没有在环境中使用任何恶意软件；攻击者从他们自己的机器上舒适地执行了所有这些操作。他们使用非托管资产来做这件事的事实提醒我们，安全工具投资必须辅以适当的账户安全卫生，尤其是特权账户。

横向移动以获取更多

我们的调查显示，与大多数威胁行为者一样，这些攻击者并没有止步于获得域管理员权限；他们想更深入以访问更多账户并识别更多目标（图6和图7）。

在这种情况下，攻击者选择了几台主机，他们可以在那里安顿下来。他们通过安装python和准备他们需要的工具（包括Impacket Suite）来设立据点。

图6. 攻击者验证域控制器是否易受CVE-2021-42278/CVE-2021-42287攻击

图7. 带有lsassy模块的crackmapexec

具体来说，我们看到攻击者探测了域控制器是否易受CVE-2021-42278/CVE-2021-42287漏洞影响（图6）。我们还看到威胁行为者在机器上远程执行了crackmapexec的lsassy模块，以危害多个特权访问账户（图7）——这一行动首先触发了LSASS转储警报（图1）。

我们还看到了尝试转储NTDS.dit的证据（见图8）。但他们遇到了死胡同。因此，他们使用RDP以及其他常见工具（如Impacket Suite，深受渗透测试者欢迎）执行了横向移动。

图8. 常见攻击工具的使用

威胁行为者接下来做了什么：工具

你可能已经注意到威胁行为者使用了常见的现成攻击工具。事实上，他们从temp.sh下载了其中一些（见图9）并公开存储以便轻松访问。

图9. 攻击者工具

一个特别针对CVE-2023-27532的工具（见图10）。这将使攻击者能够获取存储在虚拟机或VEEAM配置数据库中的加密凭据。

图10. 利用易受攻击的VEEAM服务器的有效载荷

另一个用于清理系统日志等的现成工具也被激活（见图11）。

图11. 日志清理器

最后，我看到的最有趣的工具是帮助威胁行为者准备数据以进行窃取的工具（见图12）。通过使用BlackByteSQLManager，攻击者可以了解数据的大小和潜在价值。这将使他们能够优先考虑哪些数据应该通过关键字查找提取，以便然后确定哪些可以最好地用于赎金请求。

图12. 协助数据窃取的工具

威胁行为者如何选择他们的数据的洞察

到目前为止，我一直在解释威胁行为者如何了解他们的受害者。我们在他们的操作中途打断他们的事实使我们能够访问该工具。这反过来揭示了他们的作案手法以及他们的名字。

可以安全地假设我们正在处理BlackByte勒索软件团伙（见图12顶部的名称）。此外，通过一点努力，我能够确定该工具的实际密码是什么。

该工具是一个.Net程序集，似乎已使用SmartAssembly进行混淆（见图13）。

图13. 使用SmartAssembly混淆的Net程序集

我使用Simple Assembly Explorer成功去混淆了有效载荷，并找到了认证方法，从而找到了密码（见图14）。

图14. 找到密码

在发现密码后，我想测试该工具。我设置了一个虚拟数据库，这将允许我使用它（见图15）。这样，我可以列出所有本地SQL服务器数据库（DBs）并按大小排序表以识别更具破坏性的数据。起初，我以为它会扫描并列出网络中的所有DBs，但localhost是硬编码的，没有网络功能，所以很明显该工具需要在每个数据服务器上运行。我发现该工具还使威胁行为者能够通过有趣的关键字（如信用卡和密码）过滤数据，然后将其导出到csv。

图15. Kudelski Security实验室中的数据准备工具

数据窃取

我观察到威胁行为者在一些（幸运的是）非敏感数据的服务器上使用BlackByteSQLManager工具。如你所料，导出功能如下：sqlcmd实用程序针对本地SQL Server实例，而“Windows认证”使操作非交互式，并消除了进一步用户凭据的需要（得益于域管理员权限）。数据然后被写入CSV文件（见图16）。

图16. 将SQL服务器数据库转储到csv

然后我们观察到攻击者手动检查一些表，这些表的文件名可能表明它们包含敏感信息，例如“银行账户”和“人力资源数据”。结果发现，这些表没有包含太多信息（见图17）。

图17. 检查可能多汁的数据

我们做出的另一个重要观察是攻击者使用了一个未知的explorer.exe工具，该工具似乎与存储平台mega.co.nz交互。虽然我们无法拿到样本来证明其数据窃取功能，但可以安全地假设这确实是用于将csv文件推送到mega存储平台的工具（见图18）。在此处阅读微软关于此特定方面的分析。

图18. 窃取到mega域

他们仍然在这里…

在我们调查的这一点上，我们已经确定了入口向量、受损账户和横向移动方法。但关键的是，我们还确认敏感数据尚未被窃取。

到目前为止展示的所有工具和技能强烈指向一个加密迫在眉睫的勒索软件操作，因此我们必须迅速采取行动，试图在攻击者得手之前切断他们。为了果断和全面地做到这一点，我们需要找到他们所有的持久性机制。

我们发现的第一个持久性迹象是AnyDesk。这在一些选定的服务器上作为服务安装。在检查日志后，我们确认除了他们已经利用的VPN访问之外，攻击者还通过Anydesk进入（见图19）。

图19. Anydesk恶意使用

第二个持久性迹象是创建了本地管理员账户，这些账户通过RDP使用（见图20）。

图20. 为持久性创建本地管理员账户

当事件响应团队试图消除由AnyDesk保护的持久性时，我们遇到了一些问题：

• 确定应该清理哪个AnyDesk程序的困难。这是因为组织也将Anydesk作为其IT流程的一部分使用。
• 部分设备缺乏EDR。这显然使清理复杂化。
• 在攻击者仍然活跃时进行修复的挑战。AnyDesk日志显示攻击者在我们调查时实际上在系统中。

攻击者仍然活跃的原因是因为内部安全团队尚未阐明他们的响应策略（这将导致迅速移除威胁攻击者）。对攻击的普遍未准备状态意味着我们被迫做出次优选择。我们的选择如下：

选项1（安全方法）：触发锁定并将公司与互联网隔离，直到我们完成调查。这将切断攻击者访问并允许彻底修复——但以业务为代价。 选项2（风险更高的方法）：尝试在外科手术式地遏制攻击者的同时，公司仍然连接到互联网。

考虑到我们已经确定的战术和技术，以及我们评估攻击者并非极其先进，我们决定选项2是更可取的行动方案：我们执行了以下操作：

• 在所有网络上全面迁移和部署EDR解决方案，因为可见性关键。
• 拆除过时的VPN网关。
• 重置/禁用受损的特权账户。
• 大规模识别偏离合规的恶意AnyDesk安装（基于路径、哈希和版本）并自动移除它们。
• 基于观察到的攻击者模式设置自定义警报（例如，警报SQL管理器工具使用，警报*.mega.co.nz域）并监控恶意本地管理员账户使用。
• 阻止*.mega.co.nz并限制不需要连接到互联网的服务器的出站流量。

这个简短的列表加上密集监控使我们能够在踢出攻击者的同时保持业务运营—— disruption最小（对睡眠的影响不包括在内）。虽然不完全是零风险，但这种方法是最佳选择，因为我们确信我们拥有工具和技能来执行高效和有效的调查，这将使我们能够赶上攻击者并大规模行动。

攻击故事，聚焦于杀伤链中最相关的元素

关键要点

一旦危机避免，我们确定了几个关键要点和建议，组织可以采取这些来保护自己免受BlackByte的勒索软件攻击：

1. 在所有适用的地方强制执行MFA，尤其是VPN使用。
2. 利用威胁情报和IP声誉服务监控从VPS或某些外国国家成功连接到VPN的任何连接。
3. 确保一致和正确地部署EDR解决方案，以便——除其他外——警报可以被处理和相应升级。
4. 执行Active Directory评估以寻找特权提升路径。
5. 强制执行强密码策略，特别是对于服务账户，这是我们在分析的大多数环境中看到的弱点。
6. 考虑阻止文件存储平台和远程访问商业工具，如AnyDesk、TeamViewer和NGrok，并设置任何连接尝试的警报，尤其是从服务器。
7. 确保您了解所有第三方合作伙伴和服务提供商引入的风险，并为那些需要远程访问的人考虑以下事项：
   • 通过零信任架构提供访问，消除对VPN的需求。
   • 如果需要VPN，确保您的合作伙伴连接到您控制下的堡垒主机，然后才能与LAN网络交互。
   • 考虑阻止或限制来自内部VPN IP范围的远程协议，因为合作伙伴很少需要所有网络LAN范围访问。

这个列表显然不是 exhaustive，但实施这些建议将大大有助于帮助组织保护自己免受像我们在此案例中看到的勒索软件攻击。

好消息是，虽然网络攻击和未遂攻击将继续，但努力尽快识别威胁行为者并始终改进防御的公司可以阻止犯罪分子并防止广泛损害。

[点击此处下载完整案例研究，包括7项关键建议。]