“
# CISO 聚焦
“你见、或者不见我,我就在那里,不悲、不喜。”这句深情款款的诗,却道出了网络安全威胁的本质:它是无时无刻、无处不在的。据 2023年 Check Point 最新安全分析报告,在2022年,亚太地区的企业/组织/政府机构平均每周遭遇1,691次攻击行为。这是一个非常高的数据,从中可以充分揭示我们现在面临的网络安全威胁态势的严峻性。而且从安全事件中分析,其中54%都是勒索攻击行为。
勒索攻击是目前最主流、也是最为普遍的网络安全攻击行为,它是一种无差别攻击行为。无论是企业还是个人、无论是什么行业或者什么规模,它对攻击对象都一视同仁。攻击者的最终目标是通过数字化货币变现,获得明确的金钱收益。总体来看,对于攻击者而言勒索攻击成本低,收益高,而企业组织遇上之后勒索攻击之后爆发快、持续周期短、损失不定。如果企业组织在网络安全方面没有做好充分的准备,则可能会损失惨重。
本期文章特地为大家分享一个“教科书式”的勒索攻击事件。这是2023年6月某世界500强企业客户发生的一起安全事件,在这次安全事件中,攻击者在不到五天的时间内按照极为标准的流程完成了一次从打开突破口到完整控制企业的勒索攻击行动,给受害者企业造成了严重的业务中断影响。通过微软安全团队的溯源调查,在这五天内,攻击者使用了一系列先进和精巧的攻击技术和工具,最终部署了 BlackByte 2.0勒索软件,以实现其勒索获得金钱的攻击目标。
在本次行动中所采用的攻击技术和工具包括:
【1】利用互联网上未及时安装安全更新的 Exchange 服务器打开突破口
【2】在Exchange服务器上部署定制的 Web shell 以方便持续的远程访问和控制
【3】通过 File-less/ 无文件攻击技术(使用 Windows 系统内置程序)和第三方工具进行持续控制、环境侦测和横向移动
【4】通过部署三种不同的系统后门程序(包含 Cobalt Strike 信标)用于持续命令和控制(C2)
【5】通过利用存在漏洞的系统驱动程序和进程隐藏技术防范安全软件监测
【6】部署定制开发的后门程序以持续控制和潜伏
【7】通过定制开发的数据收集和渗透工具进行企业数据的搜集和泄露
【8】在企业整体环境中投放定制勒索病毒,导致严重的业务中断影响
对于本次攻击事件中完整的攻击链如下图所示,具体每个阶段的分析如后文所示。
第一阶段
打开突破口及提权
系统漏洞往往是攻击者打开突破口的首要方式,这次攻击也不例外。该企业组织面向 Internet 部署的 Exchange 服务器未能及时安装安全更新,从而被攻击者利用2021年5月(是的,你没有看错,两年前的安全更新都还没有安装😩)公开的 ProxyShell 漏洞(CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207)打开了企业网络的突破口并提权到活动目录域管理员。攻击者的具体攻击行为包括:
✔ 利用漏洞在被攻击的 Exchange 服务器主机上获得系统级权限。
✔ 在传统的活动目录和 Exchange 服务器环境中,如果没有对活动目录和 Exchange 服务器进行安全加固,获得 Exchange 服务器相关权限就往往等同于获得了活动目录域管理员权限。这次攻击者也很轻易就通过 Exchange 服务器系统权限提权并获取到了活动目录域管理员权限。
✔ 使用 New-MailboxExportRequest 命令导出用户邮箱相关数据。
✔ 在 Exchange 服务器上部署定制的 Web shell 以方便持续控制和远程访问。
在本次攻击中,攻击者使用的源IP地址是:185.225.73[.]244
第二阶段
持续控制(三种系统后门程序)
“当我可以部署两个后门时,我绝不会只部署一个”,这是我经常给别人分享的经验。
这次事件中也不例外,为了保持有效的持续控制和潜伏,攻击者部署了以下三种不同的系统后门程序,非法的、合法的都在用:
1. 用户登录自启动后门程序
攻击者通过用户登录自启动程序的方式部署了以下系统后门程序。这些系统后门程序是定制的恶意软件,具有逃避安全软件检测的能力。虽然 Windows 操作系统内置的 Microsoft Defender Antivirus 能够查杀这些系统后门程序,但是由于受害者企业采用了第三方的 EDR/杀毒程序,并且这个第三方 EDR/杀毒程序未能对这些系统后门程序进行有效检测和查杀,因此导致这些系统后门程序能够持续正常运行。
2. Cobalt Strike 信标
Cobalt Strike 是全球著名的网络安全渗透测试工具,具有非常强大的功能。在这次攻击事件中,攻击者同样利用 Cobalt Strike 信标来实现持续的控制和潜伏。攻击者通过匿名文件共享服务 temp[.]sh 下载了一个文件sys.exe(SHA-256:5f37b85687780c089607670040dbb3da2749b91b8adc0aa411fd6280b5fa7103)。这个文件被Microsoft Defender Antivirus检测为Trojan:Win64/CobaltStrike!MSR,被确定为Cobalt Strike 信标后门程序,并被配置为与以下 C2服务器通信:109.206.243[.]59:443
3. AnyDesk 远程控制程序
AnyDesk 是一个轻量级部署但是功能强大的远程控制程序,它是一个合法的商业远程管理工具,因此并不会被杀毒软件直接查杀。在本次事件中,攻击者把 AnyDesk 安装到以下路径并作为服务部署:
✔ C:\systemtest\anydesk\AnyDesk.exe
✔ C:\Program Files (x86)\AnyDesk\AnyDesk.exe
✔ C:\Scripts\AnyDesk.exe
在 AnyDesk 的访问日志文件 ad_svc.trace 中,我们观察到攻击者的成功连接,源 IP 地址来自于 TOR 和 MULLVAD VPN 链接的匿名服务 IP 地址,这是攻击者用来掩盖其源IP范围的一种常见技术。
第三阶段
环境侦测
攻击者使用以下第三方工具来执行企业网络环境、服务和活动目录的相关环境侦测和分析:
✔ netscan.exe (SHA-256:1b9badb1c646a19cdf101ac4f6fdd23bc61eaab8c9f925eb41848cea9fd0738e)
✔ AdFind (SHA-256: f157090fd3ccd4220298c06ce8734361b724d80459592b10ac632acc624f455e)
✔ netapp.exe (SHA-256:1b9badb1c646a19cdf101ac4f6fdd23bc61eaab8c9f925eb41848cea9fd0738e)
第四阶段
凭据窃取
通过相关日志文件 mimikatz.log 的存在,发现攻击者使用著名的凭据攻击类工具 Mimikatz 来分析并窃取相关用户凭据。
第五阶段
横向移动
由于攻击者获得了活动目录域管理员权限,因此攻击者通过远程桌面服务(RDP)和 PowerShell 远程访问来访问受害者企业网络环境中的其他服务器,包含活动目录域控制器。
第六阶段
数据转存与泄露
受害者企业组织主要使用第三方 EDR/杀毒程序,并且未能覆盖全部端点。在一台仍然使用 Windows 系统内置的 Microsoft Defender Antivirus 的服务器中,我们发现 Microsoft Defender Antivirus 查杀并隔离了一个名为 explorer.exe 的恶意程序文件,这个文件被检测为木马程序 Trojan:Win64/WinGoObfusc.LK!MT。然而,由于攻击者获得了管理员权限,因此能够直接禁用 Microsoft Defender Antivirus 服务,从而使攻击者能够继续使用以下命令运行该恶意程序:
explorer.exe P@$$w0rd
在对 explorer.exe 进行逆向工程后,我们确定它是数据搜集和泄露工具 ExByte,这是一种基于 GoLang 开发的工具,通常用于 BlackByte 勒索软件攻击,以从受害者网络中收集和泄露文件。该工具能够枚举网络中攻击者感兴趣的、特定后缀名的文件,对二进制文件的分析揭示了一个目标文件扩展名列表,如下图所示。其中共计168种文件名后缀,基本上把所有的文本文件和数据库文件类型一网打尽,但不包含可执行文件类型。
ExByte 在执行时创建包含文件列表和相关元数据的日志文件。在调查过程中发现了多个日志文件,其中一个日志文件的路径为C:\Exchange\MSExchLog.log。另外取证分析确定了一个名为 data.txt 的文件,该文件在 ExByte 执行后被创建并删除。该文件包含经过混淆的凭据,ExByte 利用该凭据在云存储服务平台 Mega NZ 上使用该平台的 API(hxxps://g.api.mega.co[.]nz)进行身份验证,最终的访问地址是hxxps://g.api.mega.co[.]nz/cs?id=1674017543。ExByte将搜集的相关数据信息直接上传到云存储服务平台 Mega NZ 存储账户的某个特定文件夹中。
另外我们还确定该版本的数据搜集和泄露工具ExByte是专门为受害者企业定制的,因为它包含一个属于受害者企业的硬编码设备名称和一个内部IP地址。
第七阶段
数据加密与破坏
在数据成功泄露之后,攻击者使用 BlackByte 2.0勒索工具来对整个环境来进行加密,该工具通过一个8位数的密钥号来加密文件。Microsoft Defender Antivirus将其检测为Trojan:Win64/BlackByte!MSR。
我们识别出了 BlackByte 2.0勒索工具的两种执行模式:
✔ 当提供 -s 参数时,勒索软件只是对执行该程序的计算机上的数据进行加密然后自行删除;
✔ 当提供 -a 参数时,勒索软件会对整个企业网络环境进行枚举,然后通过活动目录域管理员凭据利用PSExec远程执行工具对发现的计算机/服务器进行远程执行,以在远程服务器上执行本地加密操作。
加密操作会跳过 Windows 系统文件目录,以及一些常见的应用程序文件目录、操作系统文件等等。
根据开关(-s 或 -a)的不同,执行时可能会创建以下文件:
✔ C:\SystemData\M8yl89s7.exe(UPX打包的PsExec 可执行文件,名称随机;SHA-256:ba3ec3f445683d0d0407157fda0c26fd669c0b8cc03f21770285a20b3133098f)
✔ C:\SystemData\wEFT.exe (BlackByte 2.0勒索工具)
✔ C:\SystemData\MsExchangeLog1.log (日志文件)
✔ C:\SystemDatarENEgOtiAtES (一个用于逃避杀毒软件检测的具有漏洞 CVE-2019-16098 的驱动程序 RtCore64.sys; SHA-256: 01aa278b07b58dc46c84bd0b1b5c8e9ee4e62ea0bf7a695862444af32e87f1fd)
✔ C:\SystemData\iHu6c4.ico (随机名称 - BlackBytes 图标)
✔ C:\SystemData\BB_Readme_file.txt (BlackByte 给受害者的说明文件,要求赎金并说明如何支付)
✔ C:\SystemData\skip_bypass.txt(未知意图)
同时 BlackByte 2.0勒索工具还具备以下规避安全监控的高级防范能力:
✔ 通过存在漏洞的驱动程序和进程隐藏技术防范安全软件监测
✔ 禁用操作系统内置的 Windows 防火墙和 Microsoft Defender Antivirus
✔ 修改并禁用操作系统内置的卷影复制数据备份功能
✔ 修改操作系统注册表信息
✔ 具有关闭/停止服务或进程的能力,并会主动关闭88个与安全分析、监控、或者影响到加密操作的数据库服务或进程,例如在溯源分析时常用的 procmon、processhacker、filemon、autoruns、wireshark 等工具。
✔ 具有侦测和枚举网络共享和磁盘信息的能力
✔ 具有通过修改文件修改时间(例如修改为2000-01-01 00:00:00)来规避溯源的能力
✔ 具有反程序调试的能力
攻击者最终对受害者的整体企业环境进行了勒索加密,并对受害者企业导致了严重的业务中断影响。
本次攻击事件中,在身份凭据保护、端点防护、活动目录和 Exchange 服务器的安全防御等多个方面暴露出了较多的问题。从快速优化的角度,需要参考以下安全建议或最佳实践:
✔ 确保企业具有完善的安全更新管理,对暴露到 Internet 的系统或服务优先安装安全更新,或利用先进的漏洞和配置评估工具(如 Microsoft Defender Vulnerability Management)来了解和评估您的网络风险。
✔ 部署 Microsoft Defender for Endpoint 等端点检测和响应(EDR)解决方案,保护端点设备的安全性,并实时了解整个网络的风险和恶意活动态势;
✔ 对于 Microsoft Defender Antivirus 启用基于云的威胁防护,确保定期更新防病毒保护,从而及时阻止安全威胁,并启用篡改保护以防止 Microsoft Defender Antivirus 的相关安全防护功能被禁用;
✔ 对活动目录和 Exchange 服务器进行完善的安全加固,涉及到特权账户管理、权限分离管控、应用及系统安全加固、网络访问控制等方面;通过 Microsoft Defender for Identity 来实现针对活动目录环境的 APT 及其他攻击入侵检测。
✔ 通过微软安全威胁情报,阻止来自 TOR 出口节点、未经授权的公共 VPN 服务、或其他匿名 IP 地址的 Internet 入站访问。
后续也建议通过完善而强大的微软智能集成安全解决方案来守护企业网络安全,关于微软的智能集成安全解决方案的相关概要说明可以参考以下架构图。无论是安全、身份、端点、数据、SOC 还是隐私合规,所有微软安全产品系列作为一个跨云和跨平台的智能集成综合安全解决方案协同工作,帮助客户实现统一集成的、自动化的安全防护和管理,利用全球领先地安全产品和技术,在避免冗余和重叠的同时,最大限度地发挥其现有产品的价值,同时简化包含部署成本、管理成本在内的总体拥有成本,并降低整体复杂性。
网络安全威胁是无时无刻、无处不在的。《孙子兵法》里面也说的很清楚,“用兵之法,无恃其不来,恃吾有以待之;无恃其不攻,恃吾有所不可攻也。”因此我们不要有任何的侥幸心理,而是需要做好充分的网络安全应对准备,才能“恃吾有以待之”、“恃吾有所不可攻也”。从安全实践的角度,建议企业应当参考以下核心类别和任务的优先级来考虑对网络安全的投资,这些核心类别和任务是需要同时从安全防范建设和安全运营两个维度来进行:
首先,对于企业最为核心的核心机密数据与业务,这个是我们最首要的保护目标。在这个类别,我们主要围绕着以下方面来进行防护措施:
✔ 防止破坏核心机密数据(具备灾难恢复能力,明确并实现 RTO/RPO 要求)
✔ 防止核心业务/生产系统中断停机
✔ 防止核心机密数据泄露
其次,我们需要重点防范大规模影响事件,并且控制影响范围。在这个类别,我们主要围绕着以下方面来进行防护措施:
✔ 防止身份集权系统被控制(例如活动目录、堡垒机等)
✔ 防止重要管理系统被控制(终端管理、安全管理平台、安全监控平台等)
✔ 防止重要应用系统被控制(官网、OA、邮件、数据库、IM 等)
最后在外围,我们的目标是满足安全合规要求、实现网络安全基础最佳实践和防范自动化/N days 漏洞等低级别攻击。在这个类别,我们需要确保满足安全合规的基本要求,并且提高企业安全防护的最低水位线。具体措施包括:
✔ 确保企业整体安全基线配置,满足安全合规要求
✔ 确保及时进行系统及应用的安全更新和漏洞评估
✔ 确保邮件安全及端点安全的覆盖性
✔ 确保 Internet 开放服务的防范控制
✔ 加强用户安全意识教育
从战略层面来看,作为数字化转型的基础,网络安全是企业组织发展所不可缺少的。我们必须考虑业务、IT 和网络安全在数字化转型中的关联一致性,只有通过引入合理充分的网络安全措施,使企业组织尽可能地抵御现代化的攻击,才能支撑企业组织实现业务创新、提高生产力并最终实现数字化转型。在 CISO 聚焦系列文章《CISO 聚焦 | 如何构建企业组织的网络安全韧性和数字连续性》中,我们谈到了企业应当如何去构建整体全面的网络安全韧性,包含以下方面:
✔ 管理和权衡企业组织在数字化转型中的风险与回报,实现合理有效的网络安全投入产出。
✔ 网络安全基础最佳实践,确保企业组织的核心网络安全基础控制满足安全最佳实践的基本核心要求,例如采用零信任架构、多因素身份验证、部署 XDR 进行威胁防护、及时进行安全更新、做好数据安全防护等等。
✔ 威胁保护:针对已知攻击提供保护、预防新的攻击行为以及自动响应与修复的能力。
✔ 被攻击面管理:主动检测安全配置、威胁、漏洞,分析被攻击面并实时响应的能力。
✔ 通过故障隔离和微分区减少攻击事件和灾难的影响。
✔ 发生业务中断时的高可用性、冗余和自动恢复。
✔供应链韧性:了解并明确对供应链资源(包含内部、外部资源,例如云计算服务)的共同责任、依赖关系和其韧性。
“万丈高楼平地起”,无论是网络安全的攻击技术,还是防护技术,都是由基础技术和高阶技术组合而成的,相互之间是组合、叠加关系而非替代关系。在攻击者发起攻击行为时,也很难一上来就直接使用最新的 0day 漏洞来攻击,而主要都是结合基础性和高阶性的攻击技术操作例如钓鱼邮件、凭据窃取、Web 漏洞注入等进行的。而防守时也是一样的,如果连最基本的系统安全更新都不能及时安装,又何谈实现完善的企业零信任架构呢?企业在遭遇网络攻击时,是否能够成功防御,其实在攻击发生之前就已经先确定了,孙子兵法中所言的:“是故胜兵先胜而后求战,败兵先战而后求胜”、“胜已败者也”,就是说的这个道理。反而言之,当我们通过在网络安全方面的充分准备和应对,也是可以实现“胜可知,亦可为”的。
如何确保企业的网络安全措施是合理充分的?在满足法律合规要求的必备基础上,这取决于企业自身的整体风险管理(例如风险评估、风险偏好、风险控制计划和投入产出期望等等)。网络安全韧性和数字连续性应当构建到企业组织的核心体系架构中,与企业财务与业务运营的韧性一样重要。我们必须充分考虑业务、IT 和网络安全在数字化转型中的关联一致性,只有通过引入合理充分的网络安全措施,使企业组织尽可能地抵御现代化的攻击,才能支撑企业组织实现业务创新、提高生产力并最终实现数字化转型。🟦
关于企业网络安全战略和规划更为详细的信息,请重点参考以下两篇 CISO 聚焦系列文章:
▶ CISO 聚焦 | 如何抵御超过98%的网络安全攻击行为
“
张美波先生现任微软(中国)有限公司成就客户事业部网络安全总监,并兼任网络安全首席架构师。他以“展现微软价值,守护客户安全”为己任,带领微软网络安全架构师团队主要负责微软大中型企业客户的网络安全产品技术与服务支持,推动微软网络安全产品在中国的高速增长与应用。他曾是微软全球企业服务体系级别最高的技术专家之一,在多个具有全球排名前列的 Top 超大规模环境企业客户担任微软方的基础架构/网络安全架构师和“红军/蓝军”顾问,负责相关的安全架构体系规划设计与部署实施、APT 攻击相关防范、安全运营及安全响应等。同时他在帮助和支持跨国企业(MNC)进入中国、中国企业出海发展等业务场景满足安全合规要求方面也具有非常丰富的经验。
微软(中国)有限公司网络安全总监
兼任网络安全首席架构师
张美波
“
▶ 网络安全实战 | 绕过 MFA 的精巧 APT 攻击案例
▶ CISO 聚焦 | 从软到硬,从内到外,从云到端 - 微软如何守护企业物联网安全
▶ CISO 聚焦 | 公司靠经营,安全靠运营:Microsoft Sentinel——下一代企业现代化安全运营中心(SOC)
▶ CISO 聚焦 | AI 驱动的微软安全防护:安全不仅仅是默认的,也是可以预测的
▶ CISO 聚焦 | 关于微软自身零信任之路的十大关键问题
▶ CISO 聚焦 | 深度解密:微软自身的零信任之路
▶ CISO 聚焦 | AI 驱动的微软安全防护:安全不仅仅是默认的,也是可以预测的
▶ CISO 聚焦 | 如何抵御超过 98% 的网络安全攻击行为
▶ CISO 聚焦 | 如何构建企业组织的网络安全韧性和数字连续性
▶ CISO 聚焦丨寒气来临,企业安全如何实现降本增效、事半功倍?
▶ [CISO聚焦] “上兵伐谋” – 定义您的现代化安全战略
# CISO 聚焦
