0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

虹科技术 | 终端入侵防御 | 在重大攻击中发现新的Babuk勒索软件

虹科网络可视化技术 2022-12-14 18:06 次阅读

11月期间,Morphisec在调查一个客户的防范事件时发现了Babuk勒索软件的一个全新变种。Babuk在2021年初首次被发现,当时它开始针对企业进行双重勒索攻击,以窃取和加密数据。这一年晚些时候,一个威胁者在一个讲俄语的黑客论坛上泄露了Babuk的完整源代码。

现在,威胁者将Babuk泄露的源代码与开源规避软件和侧面加载技术结合起来,创造了一个以前未曾见过的变体。在同一个月,趋势科技发布了有关类似勒索软件的细节,错误地将其归于WannaRen,并以目标公司的名字命名该勒索软件。这一次,攻击者使用了一种新的Babuk病毒株,针对一家拥有超过1万台工作站和服务器设备的数十亿美元的制造公司。

攻击者在发动攻击前有两周的网络访问权,进行了充分的侦察。他们破坏了该公司的域控制器,并利用它通过GPO向该组织内的所有设备分发勒索软件。在这个时候,由于正在进行的调查,我们不会公布整个攻击链的细节。相反,我们将深入研究勒索软件本身。

技 术 分 析

部署

在开始在域中大规模感染之前,攻击者在域控制器中部署了以下恶意软件文件:

·.bat一个BAT脚本,负责检查安全解决方案的存在,并开始执行一个微软安装程序(.msi)

·.msi我们在下面更详细地讨论这个安装程序

攻击者使用域控制器的NETLOGON文件夹--存放组策略登录脚本文件的共享文件夹。这确保了.bat文件在整个域中执行。

执行

msi安装程序包含四个文件:

· SapphireIMSClient.exe,这个可执行文件是NTSD.exe--一个用于Windows的符号调试器工具。它是一个合法的工具,但容易受到DLL侧面加载的影响:

·dbgeng.dll是主要的恶意软件组件,它冒充NTSD.exe使用的合法DLL,并利用DLL侧面加载漏洞。

·两个加密的文件sc.ocs和config.ocs

.bat文件将:

· 在注册表中设置一个UAC旁路

·检查安全解决方案并通过添加新的防火墙规则阻止与它们的通信

·执行安装程序,负责将文件解压到C:\Users\Public\SapphireIMSClient\文件夹中。

之后,.bat会执行以下命令行:

C:\Users\Public\SapphireIMSClient\SapphireIMSClient.exe

C:\Users\Public\SapphireIMSClient\sc.ocs

C:\Users\Public\SapphireIMSClient\config.ocs

将开源工具注入合法的DLL中

如前所述,NTDS.exe(SapphireIMSClient.exe)是一个合法的可执行文件,它加载了一个名为dbgeng.dll的已知核心DLL,而没有验证其路径。攻击者在同一目录下投放了同名的恶意DLL。这导致了合法的微软签名进程的执行。攻击者之前也在使用有漏洞的Word Office应用程序。我们目前的假设是,他们的目标是微软签名的应用程序,因为这大大降低了机器学习的可疑分类阈值。(没有厂商想杀死微软的进程)。

dbgeng.dll中的恶意代码有两个职责:

1、将.OCS文件读入内存

A) sc.ocs 一个加密的shellcod--最终有效载荷的实际反射性装载器

B) config.OCS 一个加密的二进制文件--最终的有效载荷

2、执行下一个阶段

第一个任务是在一个新的线程中完成的,如以下片段所示:

该恶意软件从微软应用程序执行期间交付的命令行参数中读取.OCS文件路径,并对内容进行解密。

虽然这种逻辑在网上广为流传,但DLL中的代码与开源项目:pe-loader

(https://github.com/polycone/pe-loader/blob/master/loader/src/system/system.cpp)中的代码有高度的相似性。

如前所述,执行过程分为两个例程。第一个,由上图表示,位于DLL加载例程中,负责读取.OCS文件并解密sc.OCS文件(即shellcode)。第二个例程是DebugCreate导出的函数。它以一个长的 "Sleep "开始,等待读取任务结束,然后再继续。

在DebugCreate中,恶意软件将保护权限调整为RWX,解密有效载荷,并将执行转移到解密的shellcode。

反射式加载器shellcode

该shellcode作为一个反射性加载器。该代码是由Stephen Fewer(https://github.com/stephenfewer)首次发布的,但我们注意到了修改。原始技术有几十种实现和修改,但深入挖掘后发现,攻击者使用的shellcode与以下GitHub项目之间有很高的相关性:malisal/loaders/pe.c (https://github.com/malisal/loaders/blob/master/pe/pe.c)

攻击者编辑了一些函数,如Windows API散列函数,但整体结构和代码流是相同的。看起来攻击者从这个开源项目中获得了 "灵感"。

最后付费:修改后的Babuk勒索软件

最后的有效载荷是由去年泄露的源代码编译的Babuk勒索软件。

Hildaboo/BabukRansomwareSourceCode (https://github.com/Hildaboo/BabukRansomwareSourceCode)

有了以下要停止的进程列表:

"sql.exe""dbeng50.exe"

"oracle.exe""sqbcoreservice.exe"

"ocssd.exe""excel.exe"

"dbsnmp.exe""infopath.exe"

"synctime.exe""msaccess.exe"

"agntsvc.exe""mspub.exe"

"isqlplussvc.exe""onenote.exe"

"xfssvccon.exe""outlook.exe"

"mydesktopservice.exe""powerpnt.exe"

"ocautoupds.exe""steam.exe"

"encsvc.exe""thebat.exe"

"firefox.exe""thunderbird.exe"

"tbirdconfig.exe""visio.exe"

"mydesktopqos.exe""winword.exe"

"ocomm.exe""wordpad.exe"

"dbeng50.exe""notepad.exe"

相似性

·代码结构:整体执行流程和代码结构与Babuk勒索软件所呈现的结构相关。

·相同的加密算法:任何勒索软件最具有特征的功能之一是加密方法。我们验证了我们案例中的有效载荷与Babuk源代码中的有效载荷相匹配。

·配置:原始和变种的配置和使用是重叠的。

下面的截图显示了某些代码块在源码和反编译中的匹配情况。

注意:编译器在某些情况下会发挥它的魔力,这可能导致不同的代码定位和代码减少。

修改

我们注意到影子拷贝的删除程序与源代码中的不同。

Babuk勒索软件

泄露的Babuk源代码显示,通过创建新的cmd.exe进程删除的影子副本将执行vssadmin.exe工具:

修改后的Babuk勒索软件:最终使用的有效载荷

恶意软件通过使用执行WMI查询的COM对象来遍历可用的影子副本。下面的代码片段显示了恶意软件如何执行WMI查询以获得每个影子副本的ID,然后使用COM,按ID删除每个影子副本。

值得注意的是,BlackMatter和Conti勒索软件等恶意软件也表现出类似的行为。

为什么防御Babuk勒索软件是如此困难

现代NGAV、EPP和EDR/XDR对运行时的可见性有限。它们通常被限制在使用钩子和/或Windows的事件跟踪(ETW)。假设钩子和ETW没有被篡改,它们只是应用程序生命周期内执行活动的沧海一粟。这意味着如果一个应用程序被成功加载,大多数时候安全监控解决方案将对应用程序的执行保持盲目,直到对系统的重大影响可见。

应用程序的虚拟化运行时地址空间要比单个文件大得多。因此,在应用程序执行期间应用传统的扫描方法是一场失败的战斗。此外,这种扫描大大降低了可用性,必须尽可能地减少。

攻击者知道监控和扫描解决方案的这些弱点,并努力在应用程序的内存中保持隐蔽。这适用于这个新的Babuk变体,它实现了侧面加载,在合法的应用程序内执行,并实现了反射性加载功能以隐藏其余的执行步骤。攻击者对其初始访问和横向移动步骤实施类似的规避技术,我们将在下一篇博客中介绍。

移动目标防御技术

由于这些威胁具有高度的规避性,而且主要存在于设备内存中,任何级别的NGAV或最佳EDR都无法可靠地检测和阻止它们。Morphisec革命性的、获得专利的移动目标防御(MTD)技术是一个行业领先的解决方案,可以阻止无法检测到的攻击。它对内存攻击提供了一种超轻量级、高度有效的防御。

MTD以不可预测的方式改变运行时的内存环境,以隐藏应用程序和操作系统的目标,不让对手发现。这导致了攻击面的大幅减少,使目标无法找到。MTD在不影响可用性的情况下提出诱饵来欺骗和诱捕威胁。它阻止并暴露了依赖内存中动态执行的隐蔽性的攻击者。

通过在运行期间对设备内存进行变形,Morphisec的MTD增强了业现有的安全堆栈,以阻止和归因于无文件攻击,否则就不可能检测到。

攻击的结果

该公司使用下一代反病毒(NGAV)解决方案和Morphisec Guard来保护他们的端点。勒索软件躲过了该公司端点上的NGAV,但Morphisec的移动目标防御(MTD)技术阻止了攻击,防止了任何损害。

市场领先的EDR,如CrowdStrike和SentinelOne,在攻击发生时无法阻止新的Babuk变体。SentinelOne更新了其签名,在赎金软件被上传到一个开放资源库72小时后检测到加密的壳码参数,CrowdStrike现在也更新了其检测。

正如Babuk勒索软件的这个新变种所显示的,MTD对未知和内存中的攻击提供了无与伦比的保护。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    10

    文章

    3124

    浏览量

    59583
收藏 人收藏

    评论

    相关推荐

    国产网络安全主板防御网络攻击中的实际应用

    现代信息技术迅猛发展的背景下,网络安全问题变得越来越复杂和严峻。从企业到个人用户,各类网络攻击事件频繁发生,威胁着数据的安全和系统的稳定。近年来,我们看到各种形式的网络攻击——从
    的头像 发表于 09-18 10:47 221次阅读

    IDS、IPS与网安防御

    入侵检测系统(IDS)和入侵防御系统(IPS)是网络安全防御的重要工具。 入侵检测系统通过持续分析网络流量和系统日志等信息,当
    的头像 发表于 09-18 10:42 309次阅读

    美国医疗巨头Ascension遭勒索软件攻击,涉及140家医院

    据报道,美国非营利性医疗机构 Ascension 于5月8日遭受黑客组织 Black Basta 的勒索软件攻击,导致其旗下140家医院和40家养老院的系统服务受到影响。
    的头像 发表于 05-14 11:37 496次阅读

    波音遭遇勒索软件攻击,拒付2亿美元赎金

    网络罪犯通过LockBit勒索软件平台于2023年10月展开攻击,并在11月初成功窃取了43GB的波音机密文件,后将其上传至LockBit网站。
    的头像 发表于 05-10 10:41 473次阅读

    应对勒索病毒,群晖数据保护黄金架构,多维度保护企业安全

    上海2024年4月22日 /美通社/ -- 恶性的攻击和意外事件总是防不胜防,提前部署灾备方案可以遭遇意外时尽可能减少企业损失。那么面对无处不在的勒索病毒和潜在风险,为什么依然有很多企业还会遭遇
    的头像 发表于 04-22 13:57 416次阅读
    应对<b class='flag-5'>勒索</b>病毒,群晖数据保护黄金架构,多维度保护企业安全

    沙丘世界,如何抵抗勒索病毒的入侵

    当《沙丘》遇上“勒索病毒”怎么办?沙丘星球企业打响安全第一枪!
    的头像 发表于 04-10 14:29 434次阅读
    沙丘世界,如何抵抗<b class='flag-5'>勒索</b>病毒的<b class='flag-5'>入侵</b>?

    勒索病毒的崛起与企业网络安全的挑战

    分析企业如何通过专业的网络安全解决方案应对这些挑战。 1.勒索病毒的危害与挑战 -攻击门槛的降低:随着攻击工具的普及和技术的简化,即使是没有深厚技术
    的头像 发表于 03-16 09:41 445次阅读

    知语云智能科技无人机防御系统:应对新兴威胁的先锋力量

    随着科技的飞速发展,无人机技术各个领域的应用日益广泛,但随之而来的是无人机威胁的不断升级。为了有效应对这些新兴威胁,知语云智能科技推出了先进的无人机防御系统,为空中安全保驾护航。 无人机防御
    发表于 02-26 16:35

    知语云全景监测技术:现代安全防护的全面解决方案

    技术能够精准判断安全威胁的来源和意图,为企业和个人提供及时、准确的安全预警。 主动防御,有效应对:发现安全威胁后,知语云全景监测技术能够迅
    发表于 02-23 16:40

    施耐德电气遭勒索软件攻击,大量机密数据泄露

    Cactus是一种新颖的勒索软件,首次出现于2023年5月,其独有的加密机制可避免常规检测。此外,Cactus具备多种加密选项,包含快速模式。若攻击者选择连贯执行两种模式,受害方文件将被双重加密,附件会添加两个不同的扩展名。
    的头像 发表于 01-31 10:51 1301次阅读

    台湾半导体公司遭遇勒索软件攻击

    来源:The Record 台湾一家半导体制造商受到网络攻击,据称该攻击是由臭名昭著的LockBit勒索软件团伙发起的。 黑客在京鼎精密科技(Foxsemicon)的网站上发布了一条威
    的头像 发表于 01-18 16:15 506次阅读

    科分享】一种动态防御策略——移动目标防御(MTD)

    文章主要探讨了网络安全领域中的动态防御策略,特别是针对规避性威胁的“移动目标防御”(MTD)技术。本文分析了攻击者常用的规避技术,并探讨了如
    的头像 发表于 01-04 14:07 521次阅读
    【<b class='flag-5'>虹</b>科分享】一种动态<b class='flag-5'>防御</b>策略——移动目标<b class='flag-5'>防御</b>(MTD)

    一种动态防御策略——移动目标防御(MTD)

    网络攻击技术变得愈发难测,网络攻击者用多态性、混淆、加密和自我修改乔装他们的恶意软件,以此逃避防御性的检测,于是移动目标
    的头像 发表于 01-04 08:04 1435次阅读
    一种动态<b class='flag-5'>防御</b>策略——移动目标<b class='flag-5'>防御</b>(MTD)

    科干货】Linux越来越容易受到攻击,怎么防御

    随着网络攻击手段的不断进化,传统的安全机制(如基于签名的防病毒程序和机器学习防御)已不足以应对高级网络攻击。本文探讨了Linux服务器的安全漏洞,特别是针对企业和云服务的威胁,并提出了基于移动目标
    的头像 发表于 12-25 15:33 444次阅读
    【<b class='flag-5'>虹</b>科干货】Linux越来越容易受到<b class='flag-5'>攻击</b>,怎么<b class='flag-5'>防御</b>?

    Linux越来越容易受到攻击,怎么防御

    ?文章速览:Linux难逃高级网络攻击原因分析·Linux自身原因·软件供应链的入口·其他防御机制基于移动目标防御技术的MorphisecK
    的头像 发表于 12-23 08:04 1035次阅读
    Linux越来越容易受到<b class='flag-5'>攻击</b>,怎么<b class='flag-5'>防御</b>?