Ryuk 勒索软件团伙使用 Zerologon 漏洞获得管理员特权,重置计算机密码进行攻击

Andrew 2020-10-20
专栏 - 事件 发布于 2020-10-20 11:19:33 阅读 110 评论 0

研究人员说,该小组能够在短短五个小时内从最初的网络钓鱼转变为完全的全域加密。

Ryuk威胁参与者再次发动攻击,从发送网络钓鱼电子邮件到仅在五个小时内就在受害者的网络上完成加密。

研究人员称,种惊人的速度在一定程度上是该团伙使用Zerologon权限提升漏洞(CVE-2020-1472)的结果,距离最初的网络钓鱼不到两个小时。

据微软称,Zerologon漏洞使未经身份验证的攻击者可以通过网络访问域控制器,从而完全破坏所有Active Directory身份服务。它在八月份进行了修补,但是许多组织仍然脆弱。

根据周日发布的DFIR报告研究人员的分析,在这种特殊攻击中,攻击者使用Zerologon提高了特权后,他们使用了Cobalt Strike,AdFind,WMI和PowerShell等各种商品工具来实现其目标。

攻击开始

研究人员说,攻击始于网络钓鱼电子邮件,其中包含Bazar加载程序的版本。从那里,攻击者使用内置的Windows实用程序(例如Nltest)执行域的基本映射。然而,研究人员说,他们需要提升特权以进行任何实际破坏,因此他们利用了最近披露的Zerologon漏洞。

分析表明,获得了提升的管理员特权后,网络罪犯便能够重置主域控制器的计算机密码。

然后,他们横向移动到辅助域控制器,通过Net和PowerShell Active Directory模块执行更多的域发现。

研究人员说:“从那里开始,威胁参与者似乎在服务器上使用默认的命名管道特权升级模块。” “此时,威胁参与者使用内置的管理员帐户,使用[远程桌面协议] RDP将辅助域控制器连接到第一个域控制器。”

Cobalt Strike

研究人员说,横向移动是通过执行服务器消息块(SMB)和Windows管理规范(WMI)的Cobalt Strike信标来启动的。SMB是Windows 10中包含的网络文件共享协议,提供了向网络设备读取和写入文件的功能。同时,WMI可以在基于Windows的操作系统上管理数据和操作。

Cobalt Strike属于一组双重用途工具,通常可用于开发任务和开发后任务。根据思科最近的发现,其他流通的例子包括PowerShell Empire,Powersploit和Metasploit 。

“从内存分析中,我们还可以得出结论,演员正在使用带有Cobalt Strike试用版的信标网络配置中存在的EICAR字符串。研究人员补充说:“便携式可执行文件和DLL信标都被使用了。”

进入主域控制器后,另一个Cobalt Strike信标被丢弃并执行。

对攻击的分析表明,大约四个小时零十分钟之后,Ryuk团伙从主域控制器进行了枢转,使用RDP连接到备份服务器。

“然后,使用AdFind进行了更多的域侦查。DFIR的报告说,一旦完成……威胁者就已准备好实现其最终目标。

Five Hours Later: Ryuk

在攻击的最后阶段,Ryuk运营商首先将他们的勒索软件可执行文件部署到了备份服务器上。之后,该恶意软件被丢弃到环境中的其他服务器上,然后再放置在工作站上。

Ryuk是一种高度活跃的恶意软件,它引起了一系列近期攻击,其中包括一次引起轰动的攻击,该攻击关闭了全球医疗保健公司(Universal Health Services,简称UHS),该公司是《财富》500强企业在全国范围内的医院网络。

研究人员说:“威胁参与者通过在主域控制器上执行勒索软件来完成其目标,并在五个小时的时间内完成了攻击。”

Zerologon的使用使网络罪犯的工作变得容易得多,因为攻击不必针对可能具有更多安全控制措施的高特权用户。

实际上,该活动最困难的部分是攻击的开始-从最初的网络钓鱼电子邮件成功安装Bazar,这需要用户进行交互。研究人员指出,该用户是域用户,没有任何其他权限-但是,由于Zerologon,事实证明这不是问题。

攻击表明,组织必须准备比以往任何时候都更快地采取行动,以应对任何检测到的恶意活动。

研究人员说:“您需要准备在不到一个小时的时间内采取行动,以确保您可以有效地破坏威胁因素。”

Zerologon攻击激增

该案例研究是针对针对Zerologon峰值的开发尝试。政府官员上周警告说,高级持续威胁行为者(APT)现在正在利用该漏洞针对选举支持系统。

就在几天gon-attack-iranian-actors/159874/ 正在积极利用该漏洞(CVE-2020-1472)。APT是MERCURY(也称为MuddyWater,Static Kitten和Seedworm)。而且,思科Talos研究人员最近还警告称,针对Zerozeroon的利用尝试激增。

9月,当Github上发布了四个针对该漏洞的概念验证漏洞时,与该漏洞相关
的风险变得越来越高。这促使国土安全部部长发布了一份罕见的紧急指令,命令联邦机构在9月2日之前修补Windows Server的漏洞。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!