合作机构:阿里云 / 腾讯云 / 亚马逊云 / DreamHost / NameSilo / INWX / GODADDY / 百度统计
一、概述
工业企业网络环境主要由工业控制网络和信息网络组成。通常企业信息网络会接入互联网,因此会受到互联网环境中勒索软件的攻击。如果企业信息网与工业控制网络直接或间接连接,勒索软件可能会通过企业信息网络或摆渡方式传播到工控网络中,从而感染工业控制系统。勒索软件加密计算机磁盘中的文件,就会影响到工业企业中信息系统和工业控制系统的正常运行,最终造成企业企业经济层面和信誉上的损失。所以工业企业应当重视对勒索软件的防护。
近年来,针对工业控制系统的勒索软件增长迅速,其中以Sodinokibi、Ryuk和Maze为首的勒索软件家族最为猖獗。近日,安天CERT发现一起入侵工业控制系统并最终投放勒索软件的攻击事件,此次事件影响了欧洲一些国家的工业企业,其工业控制环境的服务器被加密,导致工控业务系统临时关闭。经过分析,该起攻击事件归属于一个新的勒索软件家族Cring(也被称为Crypt3r,Vjiszy1lo,Ghost,Phantom等)。该勒索软件最早出现于2020年末,使用AES256+RSA8192算法加密受害者的数据,要求支付2个比特币作为赎金才能恢复数据。攻击者利用CVE-2018-13379漏洞进行攻击,一旦获取系统中的访问权限后,会下载Mimikatz和Cobalt Strike进行横向移动和远程控制,最终下载Cring勒索软件并执行。工业控制系统是国家基础设施的重要组成部分,也是工业基础设施的核心,被广泛用于炼油、化工、电力、电网、水厂、交通、水利等领域,其可用性和实时性要求高,系统生命周期长,一旦受到勒索软件的影响,不仅会导致大面积停产,也会产生更广泛的负面社会效应。
二、Cring勒索软件对应的ATT&CK的映射图谱
该勒索软件技术特点分布图:
图 2?1技术特点对应ATT&CK的映射
具体ATT&CK技术行为描述表:
表 2?1 ATT&CK技术行为描述表
三、样本分析
1. 样本标签
表3?1二进制可执行文件
2.攻击流程
攻击者利用FortiGate VPN服务器中的CVE-2018-13379漏洞获取访问工控网络的权限,如未打补丁的FortiGate VPN设备会受到目录遍历攻击,攻击者可以利用该遍历攻击访问FortiGateSSL VPN设备上的系统文件。未经身份验证的攻击者可以通过互联网连接到该设备,从而远程访问文件“sslvpn_websession”,该文件中包含用于访问VPN的用户名和密码(均以明文形式存储)。在攻击者拿到访问VPN的用户名和密码并获取工控网络的第一个系统权限后,会下载Mimikatz工具并使用该工具窃取以前登录的Windows用户的账户凭据 。通过此种方法可以获取到域控管理员的凭据,然后通过该凭据将Cobalt Strike框架的PowerShell脚本分发到其他系统中。PowerShell脚本解密有效载荷为Cobalt Strike Beacon后门,该后门为攻击者提供了对受感染系统的远程控制能力。在获得对受感染系统的控制后,攻击者使用cmd脚本将Cring勒索软件下载到系统中,并使用PowerShell启动加密整个系统。
图 3?1攻击流程
3. 样本分析
该样本首先会使用名为“kill.bat”的批处理脚本执行一系列系统命令,其中包括暂停BMR Boot和NetBackup BMR服务,配置SQLTELEMETRY和SQLWriter等服务为禁用状态,结束mspub.exe、mydesktopqos.exe和mydesktopservice.exe进程,删除特定扩展名的备份文件,并且如果文件和文件夹的名称以“Backup”或“backup”开头,则还会删除位于驱动器根文件夹中的文件和文件夹,该脚本在执行后会删除自身。
图 3?2 kill.bat文件
表3?2结束相关进程和服务
样本检测带参数执行,如未带参数执行,则执行完kill.bat后退出。如带参数“cc”执行,则开始全盘遍历文件并加密,最后释放勒索信并使用批处理脚本删除自身。
图 3?3样本带参数执行
加密以下扩展名文件:
.vhdx、.ndf、.wk、.xlsx、.txt、.doc、.xls、.mdb、.mdf、.sql、.bak、.ora.pdf、.ppt、.dbf、.zip、.rar 、.aspx、.php 、.jsp、.bkf、.csv。全盘遍历目录获取文件。
图 3?4全盘遍历
使用AES算法加密受害者系统上的文件。
图 3?5 AES算法加密文件
使用RSA公钥加密AES私钥。
图 3?6加密文件
RSA公钥大小为8192位,具体公钥值如下。
图 3?7 RSA公钥
被加密的文件会在原文件名后追加后缀".cring"。
图 3?8追加后缀名
创建名为“deReadMe!!!.txt”的勒索信,大致内容为需要支付2个比特币才能解密文件,攻击者在勒索信中还提供了邮箱作为联系的唯一手段。
图 3?9创建勒索信
勒索后使用名为“killme.bat”批处理文件删除自身。
图 3?10删除自身
四、IoCs
MD5c5d712f82d5d37bb284acd4468ab3533(Cring可执行程序)
317098d8e21fa4e52c1162fb24ba10ae(Cring可执行程序)
44d5c28b36807c69104969f5fed6f63f(downloader脚本)
TOP