【情資案例調查報告】關鍵基礎設施之勒索軟體案例分析
<資通安全組/吳政諺>
一、案例背景說明
109年5月國內重要能源公司遭勒索軟體攻擊,駭客入侵並將勒索軟體植入公司內部系統、個人電腦及伺服器等資訊設備,儲存的重要檔案均無法開啟。駭客在數月前透過員工個人電腦、網頁及DB伺服器,入侵公司內部網路並開始刺探與潛伏,竊取特權帳號後侵入網域控制伺服器(AD),並利用凌晨時段竄改群組原則(GPO)以派送具惡意行為的工作排程,當員工打開電腦會立即套用GPO並執行此工作排程,待核心上班時段,自動執行駭客預埋在內部伺服器中的勒索軟體下載至記憶體中執行,若檔案加密成功即會顯示勒索訊息及聯絡電子信箱[1]。
由於能源公司屬於關鍵基礎設施,一旦停擺對國家整體影響相當嚴重,因此引發外界關心是否有國家級駭客牽涉其中[2]。而法務部調查局於5月15日公佈調查結果,研判攻擊來自中國駭客組織「Winnti Group」或與該組織有密切關聯的駭客,以下針對造成本次資安事件的勒索軟體ColdLock進行分析與說明。
二、案例研究說明
經調查局分析得知「Winnti Group」駭客組織是藉由滲透工具Cobaltstrike進行遠端攻擊,並將勒索軟體ColdLock植入受害單位的網域控制伺服器(AD)進行本次的勒索攻擊活動。分析過程中發現,ColdLock首先使用.NET Reflection的方式將惡意Payload載入受害主機,此方式屬於近年頻繁出現的無檔案病毒(Fileless Malware)攻擊手法,如圖1所示。
圖1 無檔案病毒攻擊手法
(資料來源:TTC)
而ColdLock因為有加殼保護的關係,因此需要使用脫殼軟體才能分析其惡意行為,如圖2-1所示,為脫殼前的惡意dll檔,圖2-2則為使用ConfuserEx脫殼軟體脫殼後的樣本。
圖2-1 ColdLock脫殼前的樣本
(資料來源:TTC)
圖2-2 ColdLock脫殼後的樣本
(資料來源:TTC)
為了避免重複感染主機,ColdLock會使用一組識別碼進行比對,如圖3所示,倘若識別已存在這組號碼,則該惡意程式的所有行為會立即中止。
圖3 避免重複安裝識別碼
(資料來源:TTC)
倘若感染主機屬於Windows 10的作業系統,ColdLock便會將Windows 10的系統通知功能以及Windows Defender關閉,如圖4、5所示。
圖4 關閉Windows通知功能
(資料來源:TTC)
圖5 關閉Windows Defender
(資料來源:TTC)
ColdLock會等到12:10才開始執行加密檔案的作業,如圖6所示。而加密目標除了系統安裝槽部分路徑外,掛載硬碟或是網路磁碟也會納入加密目標如圖7所示,除此之外還包含垃圾桶及系統還原的資料夾。
圖6 於中午12:10開始加密檔案
(資料來源:TTC)
圖7 對網路硬碟、掛載硬碟作為加密目標
(資料來源:TTC)
此勒索軟體使用RSA加密演算法進行加密如圖8所示,當達成以下三種條件時檔案才會被加密 :
-
資料夾內的檔案數量小於100。
-
檔案的最後寫入時間是2018年以後。
-
在白名單範圍外的副檔名以及目錄名稱。
-
不加密之副檔名包括:dll、ocx、msi、iso、mkv、mov、avi、wmv、m2ts、mp3、tmp、gif。
-
不加密之目錄名包括:appdata、temp、cache、log、logs、resource、microsoft、image、skin、theme、res、script、setup、third_party、thirdparty、reference、git、lib。
圖8 利用RSA加密演算法進行加密
(資料來源:TTC)
檔案加密完成後除了會顯示勒索訊息外,還會停止主機的MySQL、MSSQL、ORACLE、MS Exchange、Mariadb服務,如圖9、圖10所示。
圖9 勒索訊息
(資料來源:TTC)
圖10 關閉主機其他服務
(資料來源:TTC)
三、駭客攻擊流程與手法
當各界在討論駭客使用的攻擊手法時,不同資安業者定義的Cyber Kill Chain不盡相同,因此從入侵初始到結束的過程當中多少都會有些出入。近期在國際間備受矚目的是由MITRE提出的ATT&CK資安框架,不僅讓威脅入侵的描述具有更一致標準,也使入侵手法描述有了通用的語言。
如圖11與表1所示,C-ISAC整理駭客攻擊流程與方式已將ATT&CK之框架導入其中,步驟說明如下:
-
駭客使用滲透工具Cobaltstrike對目標單位的AD發動攻擊,並透過PowerShell 植入勒索病毒(ATT&CK ID:T1086)。
-
透過竄改AD的GPO派送惡意Payload(ATT&CK ID:T1484)。
-
關閉Windows Defender以及Windows通知功能(ATT&CK ID:T1489)。
-
搜尋主機內使用者文件以及資料夾(ATT&CK ID:T1083)。
-
將已掛載的網路磁碟納入加密目標(ATT&CK ID:T1018)。
-
加密使用者資料,並要求贖金支付來換取解密金鑰(ATT&CK ID:T1486)。
圖11 攻擊流程與方式
(資料來源:TTC)
|
ID |
威脅名稱 |
|
T1086 |
PowerShell |
|
T1484 |
Group Policy Modification |
|
T1489 |
Service Stop |
|
T1083 |
File and Directory Permissions Modification |
|
T1018 |
Remote System Discovery |
|
T1486 |
Data Encrypted for Impact |
表1 ColdLock與MITRE的ATT&CK策略對應表
(資料來源:TTC)
一、Indicators of Compromise(IOCs)資訊
本章節分享該惡意程式之入侵指標(Indicator of Compromise, IoC)檢測,包含關聯的SHA256、IP、SHA1、URL、MD5入侵指標,以利各資安人員分析情資,加強資安防護,詳見表2~5。
|
編號 |
關聯SHA256 |
|
1 |
08677a3dac3609d13dc4a2a6868ee2f6c1334f4579356d162b706a03839bb9ff |
|
2 |
c5108344e8a6da617af1c4a7fd8924a64130b4c86fa0f6d6225bb75534a80a35 |
表2 ColdLock關聯SHA256
(資料來源:TTC)
|
編號 |
關聯IP |
|
1 |
104[。]224[。]185[。]36 |
|
2 |
104[。]233[。]224[。]227 |
|
3 |
172[。]96[。]238[。]154 |
|
4 |
42[。]3[。]63[。]80 |
|
5 |
67[。]198[。]130[。]66 |
|
6 |
144[。]34[。]206[。]57 |
|
7 |
176[。]122[。]149[。]127 |
|
8 |
64[。]64[。]234[。]24 |
|
9 |
66[。]98[。]126[。]203 |
|
10 |
140[。]82[。]23[。]214 |
表3 ColdLock關聯IP
(資料來源:TTC)
|
編號 |
關聯URL |
|
1 |
ns1[。]microsoftonetravel[。]com |
|
2 |
ns2[。]microsoftonetravel[。]com |
|
3 |
soft[。]msdnupdate[。]com |
|
4 |
msdnupdate[。]com |
|
5 |
online[。]msdnupdate[。]com |
|
6 |
soft[。]msdnupdate[。]com |
|
7 |
www[。]bearlaw[。]cn |
|
8 |
readme[。]myddns[。]com |
|
9 |
ns2[。]windowsdefende[。]com |
|
10 |
ns1[。]windowsdefende[。]com |
表4 ColdLock關聯URL
(資料來源:TTC)
|
編號 |
關聯SHA1 |
|
1
|
75e49120a0238749827196cebb7559a37a2422f8 |
|
2
|
9d6feb6e246557f57d17b8df2b6d07194ad66f66 |
|
3
|
9e3a1f4cdfb3aeafc66d289b02d8b0dd23328bfc |
|
4
|
a2046f17ec4f5517636ea331141a4b5423d534f0 |
|
5
|
75e49120a0238749827196cebb7559a37a2422f8 |
|
6
|
5B9B7FB59F0613C32650E8A3B91067079BCB2FC2 |
|
7
|
e7aa8f55148b4548ef1ab9744bc3d0e67588d5b7 |
|
8
|
2051f0a253eced030539a10ebc3e6869b727b8a9 |
|
9
|
29cc0ff619f54068ce0ab34e8ed3919d13fa5ee9 |
|
10
|
0CB8ED29268EC9848FF1C7F25F28B620271E61C9 |
|
11
|
275473714B3BDDBDE3FF1BDA892E4BD65C383DEB |
|
12
|
03589DFFE2AB72A0DE5E9DCE61B07E44A983D857 |
|
13
|
AD6783C349E98C2B4A8CE0B5C9207611309ADCA7 |
|
14
|
0b4b8404e459a4e892ad06e69ac05ec09d40d3a3 |
|
15
|
f0ebd358ceea9a90090c1cd0e6704965e234396f |
|
16
|
2367326f995cb911c72baadc33a3155f8f674600 |
|
17
|
1acb8e1c912c00aa2de6fafedeff1869cfdbb254 |
|
18
|
f908577ed2eb1e913d93eb6261a4ece692ade364 |
|
19
|
5ce619790d42d49453dbb479074d5a5ae294ee0e |
|
20
|
bab4b926042aa271c3fdd8d913bc70539152d04b |
表5 ColdLock關聯SHA1
(資料來源:TTC)
二、整體建議與總結
根據資安業者Trustwave 2020年的全球安全報告指出,2019年駭客偏好的鎖定攻擊目標中,企業以54%的高占比名列排行之冠,其主要目的為植入勒索軟體,而在去年的所有的資安事件中,勒索軟體也占了18%,遠高於2018年的4%。趨勢科技 2019 年的偵測資料顯示,勒索軟體數量增長10%,全球總計超過700 家醫療機構遭受攻擊,可說是勒索軟體的重量級受災產業[3]。
依照《iThome》年度的臺灣資安大調查結果顯示,2019年企業資安風險TOP10中,「員工缺乏資安意識」以57.1%的高占比,成為企業資安風險之冠。人為疏失一直是企業資安的最大漏洞,即便組織擁有完備且先進的資安防禦技術,仍有可能因為任何一名員工資安意識的不足,而落入駭客持續進化的狡詐騙術中。而資管人員同樣需有高度的資安意識,切勿有安裝資安設備即可高枕無憂的錯誤期待。因此建議可採取以下保護措施,避免系統遭受潛在威脅攻擊,例如:
A. 建議清查AD主機上是否有不明的GPO群組物件原則或異常的排程,或是企業內部是否有包含不明的派送腳本或GPO套用。
B. 更新防毒軟體病毒碼,留意防毒軟體發出之告警,極可能是大範圍感染前之徵兆。
C. 建立備份機制並離線保存。
D. 請評估報告中之入侵威脅指標(IoCs)並納入防護監控規則,以強化資安防護設備之防禦能力。
E. 加強監控網域中特權帳號,應限定帳號使用範圍與登入主機。
參考資料:
[1]鉅亨新聞網, www.cnyes.com,取自:https://news.cnyes.com/news/id/4478375
[2]蔣曜宇,www.bnext.com.tw,取自:https://www.bnext.com.tw/article/57748/ransomware-winntigroup-threateningtaiwan?fbclid=IwAR1tdzheelRUJrH3plfSrLQl9GnRVnvlmRPN0B0HpbveXp_HOKsVB8Sg-x4
[3]Dan Kobialka,www.msspalert.com,取自:https://www.msspalert.com/cybersecurity-research/2020-trustwave-global-findings/