按语:2023年12月30日,安天发布长篇分析报告,包括事件的技术分析、过程还原、损失评估等内容,总结威胁发展趋势和防御侧的共性缺陷,对防范RaaS+定向勒索攻击提出了针对性建议。原报告2万5千字,部分读者反馈文献过长不便于阅读,建议我们选择重点章节单独重发。今日我们将报告关键章节第4章第6、7节,即杀伤链与技战术图谱分析内容以独立篇目重新发送,对相关内容感兴趣的读者可点击阅读原报告。
攻击的杀伤链与技战术图谱分析
LockBit勒索软件组织代表了网空威胁的一种典型形式,具备较为完备攻击支持体系、模块化攻击装备和规模化运营团队。在这些资源的支持下,他们得以能够为高度复杂的攻击活动提供支撑。仅仅关注漏洞、恶意代码等单一环节的分析无法全面理解这类攻击组织的整体过程,也难以为防御提供有效的指导。为了有效抵御超高能力网空威胁行为体的攻击威胁,安全人员需要采用系统化、框架化的威胁分析模型,以深入、全面地分析这些威胁行为,理解攻击者的手法,从而实现更加有效的防御。
安天以网空威胁框架ATT&CK为参考,对此次事件的各阶段行为进行标准化描述和分类,协助分析攻击者的意图和行为,为相关防御工作的开展提供借鉴和参考。通过复盘分析发现,此攻击是基于Citrix的CVE-2023-4966漏洞,对Citrix NetScaler ADC和NetScaler Gateway相关设备实现初始访问,后续再组合利用多种工具实现多种恶意行为,包括窃取凭证、横向移动、访问数据资源、窃取数据和加密数据的复杂杀伤链过程。
本次事件对应ATT&CK各个阶段及具体行为如下表所示:
ATT&CK阶段 | 具体行为 | 注释 |
初始访问 | 利用面向公众的应用程序 | 通过CVE-2023-4966漏洞入侵Citrix NetScaler ADC和NetScaler Gateway设备 |
执行 | 利用命令和脚本解释器 | 通过PowerShell执行恶意脚本文件123.ps1 |
利用计划任务/工作 | 通过计划任务执行特定恶意程序 | |
利用系统服务 | 使用PsExec来执行命令或有效负载 | |
利用Windows管理规范(WMI) | 使用wmiexec.exe执行特定命令 | |
持久化 | 利用自动启动执行引导或登录 | 通过将AnyDeskMSI.exe添加自启动服务以实现持久化 |
提权 | 利用漏洞提权 | 通过CVE-2023-4966漏洞提升权限 |
防御规避 | 执行范围保护 | 输入正确的参数会解密主要组件 |
削弱防御机制 | 使用Process hacker工具来禁用和卸载与安全软件有关的进程和服务 | |
删除信标 | 清除系统事件日志文件,勒索软件自删除 | |
修改身份验证过程 | 通过CVE-2023-4966漏洞绕过MFA以实现后续恶意行为 | |
混淆文件或信息 | 混淆代码用以下载黑客工具;向特定C2地址发送混淆加密过的数据 | |
凭证访问 | 从存储密码的位置获取凭证 | 使用veeam-get-creds.ps1脚本获取Veeam凭证并解密;使用Mimikatz窃取凭证 |
修改身份验证过程 | 通过CVE-2023-4966漏洞绕过MFA,劫持Citrix NetScaler ADC和NetScaler Gateway设备上的合法用户会话,实现凭证访问 | |
操作系统凭证转储 | 通过ProcDump工具转储进程内存,结合Mimikatz实现凭证获取 | |
窃取Web会话cookie | 窃取Web应用会话cookie,在NetScaler设备内建立经过身份验证的会话 | |
发现 | 发现域信任 | 利用ADRecon从域环境中提取信息 |
扫描网络服务 | 利用NetScan扫描与网络相关的服务项 | |
发现网络共享 | 利用NetScan发现网络共享路径 | |
发现远程系统 | 利用NetScan发现网络环境中其他远程系统 | |
发现系统信息 | 获取系统内存信息和有效的NetScaler AAA会话cookie;不会感染系统语言设置与定义的排除列表相匹配的计算机;枚举系统信息,包括主机名、主机配置、域信息、本地驱动器配置、远程共享和安装的外部存储设备 | |
发现系统地理位置 | 不会感染系统区域设置与定义的排除列表相匹配的计算机 | |
发现系统所有者/用户 | 通过tniwinagent.exe发现网络环境中的其他用户 | |
横向移动 | 远程服务会话劫持 | 通过CVE-2023-4966漏洞劫持合法用户会话 |
利用远程服务 | 通过获取到的访问凭证,结合利用PsExec实现横向移动 | |
收集 | 远程服务会话劫持 | 通过CVE-2023-4966漏洞劫持合法用户会话 |
利用远程服务 | 通过获取到的访问凭证,结合利用PsExec实现横向移动 | |
命令与控制 | 使用应用层协议 | 使用FTP协议从受害系统向外传输数据 |
使用协议隧道 | 使用PuTTY Link执⾏SSH操作 | |
利用远程访问软件 | 使用Action1、Atera、Fixme it、Screenconnect、AnyDesk、Splashtop、Zoho assist和ConnectWise等工具进行远程控制 | |
数据渗出 | 自动渗出数据 | 使用StealBit自定义渗透⼯具从目标网络自动窃取数据 |
影响 | 损毁数据 | 删除日志文件并清空回收站 |
造成恶劣影响的数据加密 | 对目标系统上的数据进行加密,以中断系统和网络的可用性 | |
篡改可见内容 | 将主机系统的壁纸和图标分别更改为LockBit 3.0壁纸和图标 | |
禁用系统恢复 | 删除磁盘上的卷影副本 | |
禁用服务 | 终止特定进程和服务 |
图1‑1 LockBit勒索攻击战术行为图谱
攻击过程小结、损失评价与可视化过程复盘
上述分析表明,这是一起基于LockBit勒索攻击组织所提供的RaaS基础设施的针对知名企业的定向勒索攻击事件。攻击者以ADC网络边界设备为初始突防点,把握了相关设备在出现漏洞后未及时响应带来的机会窗口,在相关漏洞利用代码出现后,在第一时间发掘利用,以此实现凭证窃取。之后利用凭证完成进一步的横向移动和向场景中按需投放的落地能力。攻击组织运用了大量开源和商用工具作为实现不同功能的攻击组件,并通过突破域控等关键主机,实现进一步的凭证权限窃取,实现准确和有效投放,窃取了所攻陷主机的相关数据,实现了勒索软件部署。
图2‑1 LockBit攻击组织入侵波音公司过程复盘
仅从LockBit所公布的数据来看,主要是相关配置、运营、IT、安全相关的数据,似不包含关于相关技术、工艺、生产、商务等相关的文档、数据。我们猜测存在两种可能:
1. 攻击者突破了波音在线服务体系的管理运营,并未进入到实际科研、生产、财务等位置。
2. 攻击者仅公布了其中的相对低的价值数据,而将高价值数据继续作为和波音未来谈判的筹码,待价而沽。
安天CERT相对倾向原因为第一种,但如损失分析一节中所述,依然可能多方面有更为严重的风险后果。
根据上述总结分析,安天态势感知平台可视化组件生成了攻击行动复现演示动画。由于安天未参与涉事公司的应急响应及取证,且涉事公司披露情况不全面,因此对本次LockBit攻击组织勒索波音公司事件的可视化复盘并不一定完全与攻击者实际攻击过程匹配,复盘中的网络拓扑、攻击过程及攻击手段存在猜想和推测。
“LockBit组织”针对波音的勒索攻击事件可视化复现视频
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...