Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:11906 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
【安全圈】赛门铁克确定了勒索软件(WastedLocker)针对美国组织...
本文来自公众号:安全圈   2020.06.29 18:30:12


攻击者正准备攻击数十家美国公司,其中包括八家财富500强公司

赛门铁克已识别出并警告客户,攻击者试图在其网络上部署WastedLocker勒索软件(Ransom.WastedLocker)对美国公司进行了一系列攻击。

这些攻击的最终目标是通过对受害者的大多数计算机和服务器进行加密来削弱受害者的IT基础架构,以要求获得数百万美元的赎金。

至少有31个客户组织受到了攻击,这意味着攻击的总数可能更高。

攻击者已经破坏了目标组织的网络,并且正在为进行勒索软件攻击奠定基础。

WastedLocker是一种相对较新的定向勒索软件,在NCC Group发布之前就已记录在案,而Symantec正在对受影响的网络进行扩展。WastedLocker被归因于臭名昭著的“ Evil Corp”网络犯罪组织。Evil Corp以前曾与Dridex银行木马和BitPaymer勒索软件相关联,据信这些勒索软件已经为其创建者赚取了数千万美元。两名涉嫌参与该组织的俄罗斯男子在美国对他们进行了公开起诉。

攻击始于一个名为SocGholish的基于JavaScript的恶意框架,该框架被跟踪到150多个受到威胁的网站,这些网站伪装成软件更新。攻击者一旦获得受害者网络的访问权限,便会结合使用Cobalt Strike商品恶意软件和许多远程工具来窃取凭据,升级特权并在网络上移动,以在其上部署WastedLocker勒索软件。多台计算机。

赛门铁克的“目标攻击云分析”在 许多客户网络上主动检测到了这些攻击,该攻击利用先进的机器学习来发现与目标攻击相关的活动模式。 赛门铁克的Threat Hunter团队(赛门铁克Endpoint Security完整产品的一部分)对该活动进行了审核,他们对该活动进行了验证,并很快意识到该活动与在WastedLocker攻击早期阶段看到的公开记录的活动密切相关。

这一发现使我们能够确定WastedLocker所针对的其他组织,并确定攻击者使用的其他工具,策略和过程,从而帮助我们加强针对攻击的每个阶段的保护。

图1. Symantec Endpoint Detection and Response(EDR)

迄今为止,赛门铁克已经发 现了 对31个组织的攻击,所有组织都位于美国。 绝大多数目标是大型公司,包括 许多家喻户晓的公司 除了一些大型私人公司,还有11家上市公司,其中有八家是《财富》 500强公司。 除一个目标组织外,所有目标组织均为美国所有,但一家跨国跨国公司在美国的子公司除外。

图2.按行业划分的WastedLocker目标

各个部门的组织遭到攻击。制造业是受影响最严重的部门,占五个目标组织。其次是信息技术(四个)和媒体与电信(三个)。如果攻击者没有受到干扰,成功的攻击可能会导致数百万美元的损失,停机并可能对供应链产生多米诺骨牌效应。

WastedLocker攻击如何展开

组织的最初危害是涉及SocGholish框架,该框架通过受损的合法网站以压缩文件的形式提供给受害者。赛门铁克已发现至少150个不同的合法网站,这些网站将流量引向托管SocGholish zip文件的网站。这些网站可能导致不同的恶意软件,因为这样的重定向服务可以同时被多个参与者使用。

该压缩文件包含恶意JavaScript,并会伪装成浏览器更新。然后,第二个JavaScript文件由wscript.exe执行。该JavaScript首先使用whoami,net user和net group等命令对计算机进行配置,然后使用PowerShell下载与发现相关的其他PowerShell脚本。

攻击的下一个阶段是部署“钴击”。PowerShell用于从公开报告的域中下载并执行加载程序,该域被报告为是作为WastedLocker攻击的一部分而提供了Cobalt Strike的。装载程序还与此报告的Cobalt Strike基础结构共享了一个命令和控制(C&C)域。该加载器包含一个.NET注入器,据报道,该注入器也出现在WastedLocker攻击中。据报道,该注射器以及钴击信标的装载机均来自名为Donut的开源项目,该项目旨在帮助注入和执行内存中的有效载荷。

注入的有效负载称为“钴打击信标”,可用于执行命令,注入其他进程,提升当前进程或模拟其他进程以及上传和下载文件。攻击者将PowerView中 的Get-NetComputer命令  重命名为随机名称。然后看到该命令在Active Directory数据库中搜索所有服务器对象,并带有* server *或* 2003 *或* 7 *过滤条件(返回所有Windows Server,Windows Server 2003或Windows 7实例)。然后,攻击者将此信息记录在.tmp文件中。

使用包含软件许可用户界面工具(slui.exe)的公开记录的技术来执行特权升级,该工具是Windows命令行实用程序,负责激活和更新Windows操作系统。

攻击者使用Windows Management Instrumentation命令行实用程序(wmic.exe)在远程计算机上执行命令,例如添加新用户或执行其他已下载的PowerShell脚本。Cobalt Strike还用于使用ProcDump执行凭证转储并清空日志文件。

为了部署勒索软件,攻击者使用Windows Sysinternals工具PsExec启动合法的命令行工具来管理Windows Defender(mpcmdrun.exe),以禁用对所有下载的文件和附件的扫描,删除所有已安装的定义,以及在某些情况下在这种情况下,请禁用实时监视。

攻击者有可能使用多种技术来执行此任务,因为NCC报告怀疑为此目的使用了一种称为SecTool checker的工具。

然后,使用PsExec启动PowerShell,该PowerShell使用win32_service WMI类检索服务,并使用net stop命令停止这些服务。禁用Windows Defender并在组织中停止服务后,将使用PsExec来启动WastedLocker勒索软件本身,然后再开始加密数据并删除卷影。



对企业的直接威胁

构成这种威胁的攻击者似乎技能娴熟,经验丰富,能够穿透一些受保护程度最高的公司,窃取凭据并轻松地跨网络移动。因此,WastedLocker是一件非常危险的勒索软件。成功的攻击可能会使受害者的网络瘫痪,从而严重破坏其操作并进行昂贵的清理操作。

文章来源:symantec-enterprise-blogs

猜你喜欢
【安全圈】涉案资金4.8亿余元!一笔无法还清的网贷牵出“第四方支付”跨境黑灰产业链
【安全圈】LG电子遭Maze勒索软件攻击,40GBPython源代码泄漏【文末附修复建议】
【安全圈】【渗透测试记录】如何入侵星巴克访问近1亿客户记录
【安全圈】突发丨海康、华为等20家中企被美列入「中国军方拥有或控制」清单
【安全圈】模拟基站信号,拦截手机验证短信,不用被害人配合即可刷空银行卡!
【安全圈】周鸿祎:曾经很喜欢黑客这个词,但他如今只愿意培养白帽子
【安全圈】Adobe回应终止Flash:继续支持大陆地区发行维护
【安全圈】因Telegram同意共同反恐,俄解除了对其长达两年的禁令!
【安全圈】美国电信网络疑似遭遇DDoS攻击,几乎全国网络瘫痪
【安全圈】再传SMBGhost的SMBleed漏洞,Win10恐成威胁重灾区
【安全圈】央视曝光大量App偷窥用户隐私
你点的每个赞,我都认真当成了喜欢