揭秘Gentlemen勒索软件:战术、技术与程序全解析
对Gentlemen勒索软件组织的分析显示,该组织采用先进的适应性战术、技术和程序,针对全球关键行业进行攻击。
关键发现
- Gentlemen勒索组织发起了一场涉及高级定制工具的活动,专门设计用于绕过企业终端防护
- 活动结合了合法驱动滥用、组策略操纵、自定义反杀毒工具、特权账户入侵和加密外泄通道
- 该组织针对多个行业和地区,重点攻击制造业、建筑业、医疗保健和保险业,波及至少17个国家
- 通过特权域账户设计勒索软件部署,并创建规避方法以对抗安全控制
攻击链分析
初始访问与发现
攻击者可能通过暴露的FortiGate服务器入侵网络,使用Advanced IP Scanner进行网络侦察,并通过批处理脚本批量枚举域账户。
防御规避
- 初期使用All.exe与ThrottleBlood.sys驱动进行内核级进程终止
- 后期根据环境定制Allpatch2.exe工具针对性终止安全进程
- 滥用PowerRun.exe进行权限提升操作
横向移动与持久化
- 使用PsExec进行横向移动
- 修改注册表弱化认证控制(如禁用NTLM流量限制)
- 通过AnyDesk建立持久化远程访问通道
- 利用Nmap进行内部网络扫描
组策略操纵
攻击者使用组策略管理控制台尝试部署恶意配置,并通过PowerShell定位主域控制器准备高影响操作。
数据收集与外泄
- 在C:\ProgramData\data目录进行数据整理
- 通过WebDAV连接内部资源
- 使用WinSCP通过加密通道外泄敏感文档
勒索软件部署
- 通过域NETLOGON共享全域部署密码保护的勒索软件
- 先禁用Windows Defender实时监控
- 终止备份、数据库和安全相关服务(包括Veeam、SQL、SAP等100+进程)
- 删除回收站、RDP日志、预取文件等取证痕迹
- 最终通过批处理脚本自清理攻击痕迹
防御建议
- 零信任架构:消除互联网RDP暴露,强制多因素认证,实施网络分段
- 终端防护强化:启用防篡改保护,监控服务停止命令,限制临时目录执行
- 主动威胁狩猎:使用提供的IOC和狩猎查询检测相关活动
关联指标(IOC)
| SHA1 | 检测名称 | 描述 |
|---|---|---|
| c12c4d58541cc4f75ae19b65295a52c559570054 | Ransom.Win64.GENTLEMAN.THHAIBE | 勒索软件 |
| c0979ec20b87084317d1bfa50405f7149c3b5c5f | Trojan.Win64.KILLAV.THHBHBE | 初始反杀毒工具 |
Trend Vision One™平台可检测和阻止本文描述的危害指标,并提供定制化狩猎查询和威胁情报。