KEGTAP 和 SINGLEMALT 与一系列勒索软件追踪器

整个2020年，勒索软件活动变得越来越多,依赖于一个由不同但共同启用的操作组成的生态系统，以便在进行敲诈勒索之前获得对感兴趣目标的访问权限。Mandiant威胁情报部门已经追踪了数个加载程序和后门活动，这些活动导致勒索软件的妥协后部署，有时是在最初遭到入侵后的24小时内。有效，快速地检测这些活动是缓解这种威胁的关键。

之前由Mandiant报告给情报订阅者的，能够进行这些攻击的恶意软件家族包括KEGTAP / BEERBOT，SINGLEMALT / STILLBOT和WINEKEY / CORKBOT。尽管这些恶意软件系列与相同的命令和控制基础结构（C2）通信并且接近功能对等，但它们之间的代码重叠却很少。其他安全研究人员以BazarLoader和BazarBackdoor或Team9的名称跟踪了这些恶意软件家族。

开展这些运动的运营商已经积极地将目标对准了医院，退休社区和医疗中心，即使在全球健康危机中也是如此，这表明他们显然无视人类的生命。

电子邮件活动TTP

使用一系列不断变化的交付策略，技术和程序（TTP），已将分发KEGTAP，SINGLEMALT和WINEKEY的活动发送给各个行业和地区的组织中的个人。尽管在这些广告系列中经常看到变化，但在最近的活动中，以下内容保持一致：

• 电子邮件包含指向参与者控制的Google文档文档（通常是PDF文件）的嵌入式链接。
• 本文档包含指向托管恶意软件有效负载的URL的嵌入式链接。
• 电子邮件伪装成通用的公司通信，包括有关文档和电话的后续行动，或精心制作的与投诉，终止，奖金，合同，工作时间表，调查或有关营业时间的查询有关的电子邮件。
• 一些电子邮件通讯在主题行和/或电子邮件正文中包含收件人的姓名或雇主名称。

尽管具有这种统一性，但相关的TTP还是定期更改-在广告系列之间以及同一天出现的多个垃圾邮件运行中都发生了变化。这些运动随时间变化的显着方式包括：

• 早期的广告系列是通过Sendgrid交付的，并且包含指向Sendgrid URL的嵌入式链接，这些链接会将用户重定向到攻击者创建的Google文档。相反，最近的战役是通过攻击者控制或受到破坏的电子邮件基础结构交付的，尽管它们也使用了与Constant Contact服务关联的链接，但它们通常包含指向由攻击者创建的Google文档的嵌入式链接。
• 这些内嵌链接加载的文档经过精心设计，看起来与电子邮件广告系列的主题相关，并包含其他链接以及指导用户单击它们的说明。单击后，这些链接将下载文件名伪装为文档文件的恶意软件二进制文件。在较早的活动中，这些恶意软件的二进制文件都托管在受到破坏的基础架构上，但是，攻击者已转向将其恶意软件托管在合法的Web服务上，包括Google Drive，Basecamp，Slack，Trello，Yougile和JetBrains。
• 在最近的活动中，恶意软件有效载荷已托管在与这些合法服务中的一项或多项相关的大量URL上。如果有效载荷被拆除，参与者有时会更新其Google文档以包含新的有效链接。
• 一些广告系列还结合了自定义功能，包括带有内部引用收件人组织的电子邮件（图1）和嵌入到Google Docs文档中的组织徽标（图2）。

图1：电子邮件包含针对组织名称的内部引用

图2：包含目标组织徽标的Google Docs PDF文档

将最终的有效载荷隐藏在多个链接后面是一种绕过某些电子邮件过滤技术的简单而有效的方法。各种技术都可以跟踪电子邮件中的链接，以尝试识别恶意软件或恶意域。但是，遵循的链接数量可能会有所不同。另外，在PDF文档中嵌入链接进一步使自动检测和链接跟随变得困难。

Post-Compromise TTPs

考虑到从这些活动获得的访问可能会提供给各种运营商以获利的可能性，后期的TTP（包括部署的勒索软件系列）可能因入侵而异。Mandiant对这些Post-Compromise TTPs具有可见性的大多数情况都归因于UNC1878，这是一个出于经济动机的参与者，它通过部署RYUK勒索软件来通过网络访问获利。

建立立足点

一旦在初始受害者主机上执行了装载程序和后门程序，演员便使用该初始后门程序下载POWERTRICK和/或Cobalt Strike BEACON有效载荷来建立立足点。值得注意的是，在观察到的事件中，相应的装载机和后门以及POWERTRICK通常已安装在少量主机上，这表明这些有效负载可能被保留用于建立立足点并执行初始网络和主机侦察。但是，经常在大量主机上发现BEACON，并在攻击生命周期的各个阶段使用它。

保持在线状态

除了每次入侵的初步阶段之外，我们已经看到这些攻击者在建立初始立足点或在网络内横向移动之后如何保持存在。除了使用常见的开发后框架（例如Cobalt Strike，Metasploit和EMPIRE）之外，我们还观察到使用了其他后门（包括ANCHOR），我们也相信这些后门在TrickBot背后的参与者的控制之下。

• 与该活动相关的加载器可以使用至少四种不同的技术来通过重新启动来保持持久性，包括创建计划任务，将自身作为快捷方式添加到启动文件夹，使用/ setnotifycmdline创建计划Microsoft BITS job以及将自身添加到以下注册表项下的Userinit值：
  • HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon。
• 在最初的妥协之后，演员们下载了POWERTRICK，Metasploit Meterpreter和Cobalt Strike BEACON有效载荷。BEACON有效载荷通常是在横向移动到受害网络中的新主机之后执行的。攻击者使用了Cobalt Strike有效载荷，旨在通过在受害环境中的关键系统上通过计划任务重新启动来保持持久性。值得注意的是，BEACON是在这些事件中最常被观察到的后门。
• 我们已经观察到参与者在执行编码的PowerShell命令，这些命令最终执行了PowerShell EMPIRE后门的实例。
• 通过使用BEACON观察演员，执行PowerLurk的Register-MaliciousWmiEvent cmdlet来注册用于杀死与安全工具和实用程序相关的进程的WMI事件，包括任务管理器，WireShark，TCPView，ProcDump，Process Explorer，Process Monitor，NetStat，PSLoggedOn，LogonSessions，处理黑客，自动运行，AutorunsSC，RegEdit和RegShot。
• 在至少一次的情况下，攻击者使用被盗凭证维护对受害者环境的访问，以访问配置为仅要求单因素身份验证的公司VPN基础结构。

升级权限

在这些事件中，最常见的提升特权的方法涉及使用有效凭据。参与者使用多种技术来访问存储在内存或磁盘中的凭据以访问特权帐户。

• 演员使用通过MimiKatz变体获得的有效凭据来升级特权。我们已经观察到Mimikatz在受害者主机的文件系统中以及通过Cobalt Strike BEACON执行的PowerShell cmdlet均被执行。
• 参与者可以通过ntds.dit Active Directory数据库的导出副本以及来自域控制器的SYSTEM和SECURITY注册表配置单元来访问凭据。
• 在多个实例中，参与者已经发起了针对Kerberos的攻击，包括使用RUBEUS，MimiKatz Kerberos模块和Invoke-Kerberoast cmdlet。

侦察

对这些事件执行主机和网络侦察的方法各不相同；但是，观察到的侦察活动中有很大一部分围绕使用活动目录枚举（使用BLOODHOUND，SHARPHOUND或ADFind等公开可用的实用工具）以及使用Cobalt Strike BEACON执行PowerShell cmdlet进行。

• BEACON已通过这些入侵安装在大量系统上，并已用于执行各种侦查命令，包括内置主机命令和PowerShell cmdlet。观察到的PowerShell cmdlet包括：
  • 获取GPP密码
  • 调用所有检查
  • 召唤EternalBlue
  • 调用永恒之蓝
  • 调用文件查找器
  • 调用HostRecon
  • 调用-调用
  • 调用Kerberoast
  • 调用登录提示
  • 调用mimikittenz
  • 调用共享查找器
  • 调用UserHunter
• Mandiant已经观察到演员使用POWERTRICK在初始受害者主机上执行内置系统命令，包括 ipconfig， findstr和 cmd.exe。
• 参与者利用受害者网络上的公共可用实用程序Adfind，BLOODHOUND，SHARPHOUND和KERBRUTE收集Active Directory信息和凭据。
• WMIC命令已用于执行主机侦察，包括列出已安装的软件，列出正在运行的进程以及识别操作系统和系统体系结构。
• 参与者已经使用批处理脚本对Active Directory枚举期间标识的所有服务器执行ping操作，并将结果输出到 res.txt。
• 参与者使用 *Nltest *命令列出域控制器。

横向移动

横向移动最常见的是使用有效凭证与Cobalt Strike BEACON，RDP和SMB结合使用，或使用与在受害网络中建立立足点相同的后门来完成。

• 定期利用Cobalt Strike BEACON和Metasploit Meterpreter在受害者环境中横向移动。
• 行为者通常使用受害帐户在受害环境中横向移动，这些帐户既属于普通用户，也属于具有管理特权的帐户。除了使用常见的开发后框架以外，还可以使用WMIC命令以及Windows RDP和SMB协议来实现横向移动。
• 参与者使用Windows net use 命令连接到Windows管理员共享以横向移动。

完成Mission

Mandiant直接知道涉及KEGTAP的事件，其中包括RYUK勒索软件的妥协后部署。我们还观察到在CONTI或MAZE部署之前发生了ANCHOR感染（与同一行为者相关的另一个后门）的情况。

• 在至少一种情况下，观察到一个可执行文件，该可执行文件旨在通过SFTP将文件泄漏到攻击者控制的服务器。
• 可以使用了Cobalt Strike BEACON来窃听通过网络侦察活动创建的数据以及用户文件。
• 据观察，这些行为者从受害人的主机上删除了他们的工具，以试图消除妥协的迹象。
• 参与者利用对受害者网络的访问权限来部署勒索软件有效载荷。有证据表明RYUK勒索软件很可能是通过PsExec部署的，但是与分发过程相关的其他脚本或工件则无法进行法医分析。

Hunting Strategies

如果组织确定带有活动感染的主机被认为是KEGTAP或并行恶意软件家族的实例，则建议采取以下遏制措施。请注意，由于这种入侵活动的速度，应并行执行这些操作。

• 隔离所有受影响的系统并进行法医审查。
• 查看拥有受影响设备的用户的传入电子邮件，以查找与分发活动匹配的电子邮件，并采取措施从所有邮箱中删除邮件。
• 识别网络钓鱼活动使用的URL，并使用代理或网络安全设备阻止它们。
• 重置与恶意软件执行相关的任何用户帐户的凭据。
• 对受影响的系统执行横向范围验证的企业范围内的审查。
• 从可能存在的任何单因素远程访问解决方案（VPN，VDI等）中检查身份验证日志，并尽快转向多因素身份验证（MFA）。

应该在整个企业范围内努力确定与第一阶段恶意软件的执行以及与该活动相关的所有入侵后活动有关的基于主机的工件。一些基线方法已被捕获如下。

通常，可以通过查看系统启动文件夹和HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon注册表项下的Userinit值来确定与KEGTAP加载程序相关的活动。

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\adobe.lnk

图3：与系统启动文件夹中的KEGTAP持久性关联的示例LNK文件

SINGLEMALT使用BITS来通过重新启动来保持持久性，并且通常可以通过检查异常的BITS作业来识别。SINGLEMALT使用有据可查的BITS持久性机制，该机制有意创建一个作业来下载不存在的URL，这将触发失败事件。作业设置为定期重试，从而确保恶意软件继续运行。要查看主机上的BITS作业，请运行命令bitsadmin / list。

• 显示名称可以是“ Adobe Update”，“系统自动更新”或其他通用值。
• 通知状态可以设置为失败（状态2）。
• FileList URL值可以设置为本地主机或不存在的URL。
• 通知命令行值可能包含SINGLEMALT示例的路径和/或将其移动到新位置然后启动它的命令。
• 重试延迟值将被设置。

WINEKEY通过使用注册表RUN键重新启动来保持持久性。在企业范围内搜索异常的RUN密钥可以帮助识别受此恶意软件影响的系统。

Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Backup Mgr

Value: Path to the backdoor

图4：WINEKEY用来维持持久性的示例注册表RUN键

在与该活动相关的部分入侵中已经看到了ANCHOR后门，通常可以通过其计划任务来识别ANCHOR后门，以通过重新启动来保持持久性。尽管并非总是如此，但由ANCHOR创建的计划任务通常未命名。

• 可以根据以下模式来构造与ANCHOR持久性关联的已命名计划任务的标识：< ％APPDATA％中的随机目录> autoupdate＃<随机数>。
• 应该检查所有未命名的计划任务，尤其是那些创建日期与可疑入侵时间一致的任务。

尽管它是低保真度指示器，但有时也可以通过在C：\ Windows \ SysWOW64目录中搜索具有与以下模式匹配的文件名的二进制文件来识别ANCHOR活动：< 8个随机小写字符> .exe。在C：\ Windows \ SysWOW64目录中按文件创建时间戳进行堆叠或排序也可能有助于识别恶意文件，因为该目录应该大部分是静态的。

在这些活动之后，与勒索软件的部署相关的利用后活动通常是使用Cobalt Strike攻击框架进行的。通常可以通过查看现有注册服务和服务创建事件（事件ID 7045）来识别与Cobalt Strike相关的BEACON有效载荷，这是它最常用于保持持久性的机制的两个标记。

以下是可能有助于识别关联活动的其他策略：

• 组织可以查看Web代理日志，以便通过Google Docs文档中的引荐来源识别HXXP请求进行文件存储，项目管理，协作或通讯服务。
• 在相关的破坏后活动期间，攻击者通常将其工具和数据存放在PerfLogs目录和C $共享中。
• 攻击者在收集用于进行后期操作的数据时，通常会将ntds.dit实例留在出口，并将SYSTEM和SECURITY注册表配置单元导出到受影响的系统上。

Hardening Strategies

行为体为提高特权并在环境中横向移动而采取的动作使用了有据可查的技术，这些技术在网络和Active Directory中搜索常见的错误配置，这些错误配置会暴露凭据和系统以供滥用。组织可以采取措施来限制这些技术的影响和有效性。有关更深入的建议，请参阅我们的勒索软件保护白皮书。

• 加强服务帐户以防止暴力破解和密码猜测攻击。大多数组织至少有几个服务帐户，其密码设置为永不过期。这些密码可能很旧且不安全。尽最大努力将尽可能多的这些帐户重置为长而复杂的密码。如果可能，请迁移到MSA和gMSAS以进行自动轮换。
• 防止将特权帐户用于横向移动。使用GPO限制诸如Domain Administrators和特权服务帐户之类的特权帐户启动RDP连接和网络登录的能力。通过限制潜在客户的数量，您提供了发现机会和减慢参与者的机会。
• 尽可能阻止对服务器的Internet访问。通常，服务器（尤其是AD基础结构系统）无需业务即可访问Internet。演员通常会选择高正常运行时间的服务器来部署诸如BEACON之类的开发后工具。
• 使用Web代理或DNS过滤器阻止未分类的域和新注册的域。通常，通过网络钓鱼提供的最终有效负载通常托管在没有业务分类的受感染第三方网站上。
• 确保在Windows系统和网络基础结构上安装了重要补丁。我们已经观察到攻击者在部署勒索软件之前会利用众所周知的漏洞（例如Zerologon（CVE-2020-1472））在环境中升级特权。在其他情况下，可能与UNC1878无关，我们注意到威胁参与者在部署勒索软件之前已通过易受攻击的VPN基础结构访问了环境。