如何揪出贵企业网络中的 Cl0p 勒索软件?

文章正文
发布时间:2023-07-02 15:52

通过 MOVEit 管理文件传输平台的三个零日漏洞针对公司企业和政府机构的广泛攻击使 Cl0p 勒索软件组织臭名昭著。

受影响的数据还在不断增加,包括数百万投资加州公务员退休基金(CalPERS)的员工的个人数据、BBC 和英国航空公司超过 10 万名员工的雇员信息、美国能源部的敏感数据以及加拿大新斯科舍省公民的个人信息。

网络安全和合规服务公司 Exabeam 的安全研究主管 Steve Povolny 表示,这次攻击的广泛影响充分说明了该勒索软件组织具有的技术能力。

他说:" 我看到出现在这些大型威胁组织、尤其是勒索软件组织身上的转变是,他们资金充足,资源充足,拥有庞大的组织,他们不再只是在 GitHub 上找零日漏洞了。这些都是精心策划的攻击,一开始悄无声息,随后突然爆发出来。"

由于战术发生变化,确定指明任何攻击背后攻击者的技术指标总是很棘手。以下指标为组织提供了一个起点,以调查 Cl0p 组织是否利用了 MOVEit 文件传输实用程序中的漏洞、是否可能潜伏在网络中。

MOVEit 攻击:"Human2" 指纹

Cl0p 背后的组织利用了文件传输服务中的许多漏洞,比如 1 月份的 GoAnywhere MFT (CVE-2023-0669)和 5 月底 6 月初的 MOVEit 管理文件传输平台(CVE-2023-34362)。

最初,攻击者安装了一个名为 LEMURLOOT 的 Web shell,使用的名称是 "human2",并使用通过 HTTP 请求发送的命令,标头字段设置为 "X-siLock-Comment"。来自网络安全和基础设施安全局(CISA)的公告还包括用于检测 MOVEit 漏洞的四条 YARA 规则。

图 1. 用于检测 MOVEit 攻击的 YARA 规则(图片来源:CISA 公告)

这起攻击还在关联数据库中留下管理员帐户以实现持久化,即使 Web 服务器已经全面重新安装,攻击者也可以恢复其攻击。据 CrowdStrike 声称,"activesessions" 数据库中 Timeout ="9999" 的会话或 User 数据库中 Permission ="30" 和 Deleted ="0" 的用户可能表明攻击者活动。

然而 MOVEit 攻击的一个特点是,它通常不会留下多少技术指标。漏洞管理公司 Rapid7 的安全经理 Caitlin Condon 表示,Cl0p 对 MOVEit 管理文件传输软件的攻击取得了大范围的成功,而且很难找到攻陷指标,这表明产品供应商需要花更大的精力来确保对取证分析有用的日志记录是可用的。

日志记录里面有很多蛛丝马迹,有很多东西可以跟踪。许多公司在竭力修复漏洞和根除威胁分子的访问时,常常完全删除应用程序,这也将删除证据。

Cl0p 勒索软件的迹象

在攻击过程中的某个时刻,Cl0p 组织可能会部署同名的勒索软件。最初,恶意软件是通过网络钓鱼攻击安装的,但越来越多的攻击针对大型组织,常常利用文件传输或管理软件中新的或最近的漏洞。

该勒索软件组织通常使用合法的代码签名证书来逃避安全软件的检测。比如说,据 Pal Alto Networks 发布的技术公告显示,在过去,Cl0p 勒索软件安装程序使用 Corsair 软件解决方案公司日期标为 2021 年 2 月 12 日星期五的证书,或者使用 Insite 软件公司日期标为 2020 年 12 月 25 日星期五的证书。

攻击者还会停止多个系统进程,包括属于备份程序和安全解决方案的进程。

在执行之后,Cl0p 勒索软件将各种扩展名附加到受害者的文件中,包括 .clop、.CIIp、.Cllp 和 .C_L_O_P。理想情况下,公司企业希望在文件被解密之前检测到勒索软件。

据网络威胁专家声称,与任何技术指标一样,静态签名用途有限,因为攻击者常常会定制其方法,以绕过基于固定规则的检测。

其他迹象:Truebot 和 Raspberry Robin

Cl0p 组织的其他常见技术指标是他们用来扩展攻击的辅助工具,或者他们获得初始访问权限的替代方法。

比如说,Truebot 下载程序是一种流行的中间恶意载荷,常常导致 Cl0p 感染,并与 Silence 组织相关联。据思科 Talos 部门的分析显示,Truebot 常常会导致安装 Cobalt Strike 及 / 或 Grace 下载程序恶意软件。还经常使用一种名为 Teleport 的自定义工具,用于泄露数据。

据微软声称,Silence 使用了一种通过 USB 驱动器传播的蠕虫病毒:Raspberry Robin,有时也会通过第三方按安装付费服务来传播。微软如今将该组织归类为 Lace Tempest。截至今年 4 月,微软特别指出,近 1000 家组织的近 3000 个设备感染了 Raspberry Robin,随后没多久就感染了 Truebot 及 / 或 Cobalt Strike,因为 Lace Tempest 试图攻击更多的系统。

据微软声称,可以使用组策略或注册表设置来阻止插入 USB 驱动器时自动运行或执行代码,从而阻止 Raspberry Robin 感染。

NCC Group 旗下 FOX-IT 安全服务部门的高级威胁情报分析师 Mike Stokkel 表示,最后,企业应该时刻留意大量数据正在被泄露的迹象,尤其是被泄露到已知由 Cl0p 组织使用的基础设施。

标准的安全措施已经可以提供帮助,比如在 MOVEit 系统或 GoAnywhere 系统的文件传输应用程序上部署 [ 端点检测和响应 ] 解决方案。使用网络传感器和跟踪出站网络流量也有所帮助。如果看到 600 GB 的数据流出贵企业的网络,这相当异常。