OT网络不堪一击！Mandiant发布红队模拟勒索软件测试结果

Mandiant Red Team在一家欧洲工程组织中模拟了FIN11技术，以了解勒索软件运营者在OT（运营技术）网络中的潜在影响力。

FIN11威胁组织在各行业开展了长期的勒索软件投送活动，利用其技术以具有普通员工凭证的公司终端为据点，横向或纵深发展，获得域管理员权限，窃取关键数据，最终获得对OT服务器的访问权限。

该红队测试活动有三个目标——一是在IT环境中模拟勒索软件攻击者；二是将控制能力从IT扩展到单独的OT网络；三是通过访问机密信息来窃取和重新分发恶意软件，来模拟勒索软件的式方面影响。这些目标都成功实现了。

Mandiant研究人员7月26日在公司博客文章中写道：“OT技术的性质和保护它的挑战意味着许多OT网络存在安全漏洞，即使是不太成熟的威胁行为者也可以利用这些漏洞。” “此外，Mandiant始终强调，一些出于经济动机的攻击组织继续部署与高级持续威胁 (APT) 相同或相似的工具和技术，这类都是备受瞩目的网络物理事件中使用的工具和技术。”

大约两年前，Mandiant发布了详细信息，描述了金融犯罪分子如何将他们的影响力扩展到 OT。它的评估基于与已知勒索软件菌株一起部署的两个进程终止列表，以放大攻击的影响。这些列表旨在枚举和终止软件进程，其中有几个恰好与OT相关。虽然确定这些进程列表的影响的记录信息有限，但评估表明，通过停止此类进程，黑客可能会突然终止和加密关键的OT功能，从而对受害者造成更大的损害。

国家资助APT和经济动机威胁行为者之间的 TTP 重叠

“两个进程终止列表中的一个与CLOP勒索软件样本一起部署，然后我们将其归因于一个名为FIN11的网络犯罪分子，”Mandiant帖子说。“该组织利用销售点 (POS) 恶意软件、CLOP勒索软件和传统勒索手段，以获得相应的经济回报。”

Mandiant说，FIN11没有显示出具有专业 OT专业知识的迹象，也没有证据表明他们部署的进程终止列表对任何受害者OT环境产生了重大影响。“然而，参与者使用包含一些OT进程的进程终止列表引发了关于其能力范围以及它们在未来如何影响OT的进一步关注，”它补充道。

过去，像FIN11这样的出于经济动机的行为者使用的策略、技术和程序 (TTP) 与国家资助的行为者使用的策略、技术和程序 (TTP)不相上下，以支持OT目标攻击生命周期的早期阶段。这包括使用公开可用的工具、离地技术、已知的利用框架和定制的恶意软件来破坏受害者。

Mandiant对这种测试活动采用了“假定入侵”的方法，即活动从目标企业域上的标准员工帐户和设备开始。

Mandiant然后利用FIN11技术继续在不同安全区域的端点之间移动。研究人员用来实现其 IT和OT目标的一些技术包括监视Web和内部应用程序、侦察Active Directory基础设施以及通过黄金票据横向移动。

使用 FIN11 技术的红队攻击路径

研究人员还发现了几个易受CVE-2021-36934或“SeriousSAM”漏洞影响的设备。利用此漏洞，Mandiant的测试人员下载了这些设备的安全帐户管理器 (SAM) 数据库，并利用Impacket库从中提取敏感信息，包括本地帐户的口令哈希、计算机帐户口令和缓存的域凭据。此外，研究人员可以通过Active Directory证书服务实施权限提升的尝试。

Mandiant利用通过企业网络入侵收集的信息和权限，确定了到达目标OT服务器的最佳路径。研究人员专注于实现两个特定目标：一个孤立的传统OT网络和一个连接不同地区的全球OT网络。

Mandiant 使用在公司网络初始阶段获得的相同凭证和文档来访问安装在可访问 OT网络的主机上的远程管理软件。Mandiant随后列举了主机的网络防御，并观察到它没有使用SSL/TLS检查，这使得红队能够启动利用域前端作为命令和控制 (C&C) 手段的植入程序。 进一步的网络枚举发现，通过远程管理软件访问的帐户在OT网络中的其他主机上也具有管理权限。

在传统OT网络中建立立足点和提升权限

研究人员表示，Mandiant访问了OT网络中的八台服务器，其中一台是人机界面 (HMI)。访问该系统将允许攻击者使用本机命令与物理控制过程进行恶意交互。一旦Mandiant站稳脚跟并拥有管理权限，重点就会转移到特权提升上。

Mandiant将SAM数据库转储到其中一台主机上以检索本地帐户口令哈希，使用字典攻击破解了该哈希，从而获得了其中一个本地管理员帐户的明文口令。利用本地管理员凭据，Mandiant使用任务管理器应用程序在另一台 OT主机上进行了本地安全机构子系统服务 (LSASS) 进程的内存转储。

Mandiant使用公共工具Mimikatz的专门打包版本获取了内存转储文件并检索了包含的凭据。恢复的凭据包含OT网络域上域管理员帐户的NTLM哈希。随后，Mandiant通过使用域管理员帐户口令哈希并通过远程服务创建在 OT域控制器上执行其自定义负载来完成目标。

Mandiant使用“Impacket”库通过“AS-REP 烤”攻击在目标企业域内提升权限，以恢复第二条攻击路径的多个用户帐户口令哈希。Mandiant使用字典攻击破解了口令哈希，从而揭示了其中一个帐户的明文口令。用户帐户和凭据在其他主机上具有RDP权限，从而允许Mandiant在企业环境中横向移动。从IT横向移动到OT网络的路径如下图所示。

被访问的主机包含工程软件，这表明它可能是一个跳转主机或工程师的应用服务器。此外，安装在主机上的工程应用程序使用桌面上的快捷方式指向非特权用户可写目录中的批处理 (BAT) 文件。该措施允许Mandiant在用户单击桌面上的快捷方式时更改BAT文件的内容以启动未经授权的应用程序。

Mandiant的结论认为，OT系统对于组织实现生产流程自动化至关重要。因此，对于打算破坏生产以获取利润或造成物理损害的行为者来说，它们是有吸引力的目标。此外，勒索软件运营者和以OT为重点的APT之间的TTP重叠表明，防范勒索软件操作可以防御其他有影响的事件，例如网络物理攻击。 截至2022年年中，Mandiant 还没有观察到出于经济动机的行为者明确针对OT网络勒索受害者，但是，Mandiant 强调，威胁行为者已经进行了影响OT流程的勒索软件攻击。有权访问OT资产的行为者可能有权以多种方式破坏受害者对流程的控制或可见性。OT资产所有者和运营商通过对抗最新的对手TTP、识别其环境中的漏洞以及提高漏洞检测和响应能力，从勒索软件攻击模拟中受益。

2022年4月，Mandiant提议在涉及真实世界模拟对手技术的操作环境中部署主动安全评估。这些已被证明是发现企业环境中关键安全问题和高风险攻击路径的宝贵方法。

参考资源

1、https://www.mandiant.com/resources/mandiant-red-team-emulates-fin11-tactics

2、https://industrialcyber.co/industrial-cyber-attacks/fin11-tactics-imitated-by-mandiant-red-team-to-gauge-possible-reach-of-ransomware-operators-in-ot-environments/

文章来源：网空闲话