主要发现
- Gentlemen勒索软件组织发起了一场使用高度定制化工具的攻击活动,专门设计用于绕过企业端点防护
- 攻击活动结合了合法驱动滥用、组策略操纵、自定义反AV工具、特权账户入侵和加密外泄通道
- 该组织针对多个行业和地区,重点攻击制造业、建筑业、医疗保健和保险等行业,攻击范围覆盖至少17个国家
- 攻击者展示了通过系统化入侵企业环境的高级能力,使用从通用反AV工具到针对性变体的多功能工具
- 该组织还通过特权域账户设计勒索软件部署,并创建逃避方法以持久对抗安全控制
攻击链分析
初始访问
攻击者可能通过利用面向互联网的服务或泄露的凭据建立初始立足点。早期攻击时间线中存在网络侦察工具(如Advanced IP Scanner),表明其采用计算性进入策略而非机会性利用。
发现阶段
攻击者检查Active Directory结构,重点关注域管理员、企业管理员和自定义特权组。使用批处理脚本1.bat执行大规模账户枚举,查询超过60个域内用户账户。
防御规避
攻击者最初部署All.exe与ThrottleBlood.sys结合,利用合法签名驱动程序进行内核级操作,终止安全软件进程。随后转向详细侦察端点保护机制,部署PowerRun.exe进行权限提升,并引入定制化的Allpatch2.exe工具。
横向移动和持久化
使用PsExec进行横向移动,通过修改关键注册表设置削弱安全控制:
|
|
使用AnyDesk建立持久命令控制访问,并下载安装Nmap进行内部网络扫描。
组策略操纵
观察到使用组策略管理控制台(gpmc.msc)和组策略管理编辑器(gpme.msc),可能尝试在域内部署恶意配置。执行编码的PowerShell识别关键域基础设施。
数据收集和外泄
数据暂存在C:\ProgramData\data,使用WinSCP通过加密通道外泄敏感内部文档。
影响阶段
勒索软件通过域NETLOGON共享部署,使用密码保护有效负载逃避沙箱分析。部署前通过PowerShell命令禁用Windows Defender:
|
|
勒索软件分析
文件操作
- 附加文件扩展名:
.7mtzhh
执行参数
|
|
服务终止
积极终止与备份、数据库和安全相关的关键服务:
|
|
清理操作
删除回收站内容、RDP日志文件、Windows Defender支持文件、预取文件等,并禁用系统监控功能。
防御建议
零信任架构
- 消除直接RDP互联网暴露
- 对所有管理接口实施多因素认证
- 在网络管理工具和生产系统之间实施网络分段
端点保护
- 启用防篡改保护
- 密码保护代理卸载
- 激活代理自保护功能
- 实施应用程序控制限制未经授权的远程访问工具
MITRE ATT&CK技术矩阵
| 战术 | 技术 | 描述 |
|---|---|---|
| 初始访问 | T1190 - 利用面向公众的应用程序 | 通过Nmap入侵FortiGate服务器和管理账户 |
| 发现 | T1046 - 网络服务发现 | 执行Nmap进行服务发现 |
| 防御规避 | T1562.001 - 削弱防御:禁用或修改工具 | 使用反AV工具停止安全服务 |
| 影响 | T1486 - 数据加密影响 | 通过NETLOGON共享部署勒索软件 |
威胁指标(IOC)
| SHA1 | 检测名称 | 描述 |
|---|---|---|
| c12c4d58541cc4f75ae19b65295a52c559570054 | Ransom.Win64.GENTLEMAN.THHAIBE | 勒索软件 |
| c0979ec20b87084317d1bfa50405f7149c3b5c5f | Trojan.Win64.KILLAV.THHBHBE | 初始KILLAV工具 |