文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

勒索软件Ryuk的十五步攻击链

2024-12-03 16:57

关注

如野火般肆虐的勒索软件的下一个目标是谁?这个行当到底有多“赚钱”?勒索软件攻击手段为何能屡屡奏效,在企业网络里偷天换日,翻江倒海的呢?

[[351810]]

一次斩获3400万美元赎金

根据Advanced Intelligence的Vitali Kremez的说法,Ryuk集团近期的主要目标是科技、医疗、能源、金融服务和政府部门。

医疗保健和社会服务领域的组织在所有勒索软件受害者中所占比例略高于13%。

自“重出江湖”以来,Ryuk勒索软件火力全开,势如破竹。根据Check Point10月的一份报告指出,Ryuk团伙在2020年第三季度平均每周攻击20家公司。

Ryuk勒索软件的最新“致命战绩”包括Universal Health Services(UHS)、大联盟IT服务公司 Sopra Steria、Seyfarth Shaw律师事务所、办公家具巨头Steelcase以及布鲁克林和佛蒙特州的医院的加密网络。

Kremez透露,Ryuk收到的赎金平均金额约48比特币(接近75万美元),以此估算,自2018年以来,Ryuk团伙至少赚了1.5亿美元,在勒索软件行当中表现突出,另外一个“业绩”突出的勒索软件是REvil。根据Russia OSINT此前的报道,REvil勒索软件开发商本月初发布“财报”声称2020年已经赚取1亿美元。

在昨天的一份报告中Kremez透露说,说俄语的Ryuk团伙在谈判中表现得非常强硬,很少做出宽大处理。它们获得的最大一笔赎金为2,200比特币,以目前的加密货币市场行情估算接近3400万美元。

Ryuk的15步攻击链

正如安全牛之前《勒索软件防御最重要指标:驻留时间》所报道过的,如今勒索软件平均驻留时间只有43天,相对其他APT攻击动辄数月甚至数年来说较短,防御者想方设法去缩短驻留时间,而勒索软件的攻击者则希望能够争取更多时间来横向移动、锁定更多价值目标并清除尽可能多的痕迹。

对于防御者来说,缩短驻留时间最重要的方法就是搞清楚勒索软件攻击的TTP战术手段。

近日,分析来自事件响应参与的攻击流程后,Kremez注意到Ryuk团伙“仅”花了15个步骤就找到网络上的可用主机,窃取管理员级别的凭据并成功部署Ryuk勒索软件。

Ryuk团伙使用的软件大部分都是开源的,红队也使用这些软件来测试网络安全性:

在Ryuk攻击链的初始阶段,攻击者运行Cobalt Strike的“invoke”命令,以执行“DACheck.ps1”脚本,以检查当前用户是否是Domain Admin组的一部分。

然后,通过Mimikatz检索密码,映射网络,并在端口扫描FTP、SSH、SMB、RDP和VNC协议后识别主机。

Kremez详细介绍了Ryuk攻击的十五个完整步骤,并附上了Cobalt Strike命令(经过编辑):

  1. 通过“Invoke-DACheck”脚本检查域管理员;
  2. 通过Mimikatz“mimikatz的sekurlsa logonpasswords”收集主机密码;
  3. 还原令牌并通过Mimikatz命令输出为管理注释创建令牌;
  4. 通过“net view”查看主机的网络;
  5. 端口扫描FTP、SSH、SMB、RDPVNC协议;
  6. 列出可用主机上的访问;
  7. 从“net view”和端口扫描的主机上传带有目录脚本“adf.bat”的活动目录查找器“AdFind”工具包;
  8. 通过“WMIC”命令在主机上显示防病毒软件名称;
  9. 上传多功能密码恢复工具“LaZagne”以扫描主机;
  10. 删除密码恢复工具;
  11. 运行ADFind并保存输出;
  12. 删除AdFind工具痕迹并下载输出;
  13. 设置网络共享授予Ryuk勒索软件全部访问权限;
  14. 上载远程执行软件“PSExec”并准备好网络主机,然后卸载防病毒产品;
  15. 上传执行批处理脚本和已解析的网络主机,并在不同的受感染用户下通过PsExec运行Ryuk勒索软件。

Ryuk攻击另外一个值得关注的趋势是:从2020年4月开始,Ryuk的主要投放渠道之一Trickbot团伙就通过鱼叉式网络钓鱼活动传播Bazar Loader后门。与广为人知的Trickbot恶意软件不同,该恶意软件最初可能是为高价值目标准备的,可以部署能向操作员提供远程访问权限的Cobalt Strike信标。

 

不过,最近一段时间以来,传播Bazarloader后门的钓鱼邮件越来越普遍,常见手法是使用与攻击时间(节日、事件),或通用性主题(投诉、工资单、服务或聘用通知)相关的的诱饵。

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文   

 

 

来源:51CTO专栏内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯