上周Fortinet OS漏洞传出有国家黑客攻击,安全厂商本周又发现,现已有手法高超且手法凶狠的黑客,更锁定未修补的Fortinet VPN产品感染勒索软件Cring,至少一家客户因此产线中断。
美国政府上周警告,一个高端渗透威胁(Advanced Persistent Threat,APT)组织正在扫描Fortinet的传输端口4443、8443、10443,寻找操作系统软件FortiOS上的漏洞CVE-2018 -13379,并针对Fortinet设备进行枚举分析(enumerate),以开采CVE-2019-5591和CVE-2020-12812。已有多家政府、商业组织及网络服务商遭到锁定。Fortinet已经发布修补程序,美国政府也呼吁用户应尽快修补。
而卡巴斯基安全研究中心昨天发布公告,他们发现一只名为Cring的勒索软件正在开采Fortinet SSL VPN设备FortiGate上的漏洞。受害企业包括数家欧洲工业厂商,至少有一家受害企业因为控制生产流程的服务器遭到加密,导致产线暂时中断。
Cring今年1月首次由瑞士电信旗下的安全部门披露。它又称Crypt3r、Vjiszy1lo、Ghost、或Phantom,是由黑客人为操作以感染受害机器。
在主要攻击前几天,攻击者已经针对FortiGate VPN进行先导测试,他们可能是借由扫描IP地址,或是从地下论坛上购买有漏洞的FortiGate的IP地址以寻找攻击目标。去年秋天一个暗网中的论坛,曾经有人购买了这个产品的IP数据库。
图片来源/卡巴斯基
研究人员分析,这次黑客对FortiGate设备展开的跨目录穿越(directory traversal)攻击,经过一连串的恶意程序下载,最后植入Cring。首先,攻击者开采FortiOS的CVE-2018-13379漏洞,他们借此汲取通过VPN网关的连接文件sslvpn_websession,后者内置用户名和明文密码,借此黑入访问企业网络。之后,再利用Mimikatz取得Windows用户帐密,并以Cobalt Strike渗透测试模块破解域名管理员账号,再下载cmd script,借此安装并启动Cring勒索软件。
图片来源/卡巴斯基
研究人员发现黑客手法十分高超。除了以合法程序文件名掩护安装Cring执行文件外,为了能在受害系统上肆虐加密,Cring还会移除资料备份,关闭备份软件、终止mspub.exe、mydesktopqos.exe. 与mydesktopservice.exe三项程序。此外它还切断SstpSvc服务,以免管理员及时对外通报或求援。
Cring本身则能以强加密算法加密文件,若是没有黑客持有的8192 -bit RSA密钥将无法解密文件。它加密的文件类型涵盖Word、Excel、PPT、PDF、.zip、.rar、.PHP、.ASPX及备份档等10多种类型。
研究人员建议企业用户尽快安装更新版FortiOS、安全软件、做好备份,此外也建议限制使用VPN的设备及传输端口、并限制用户对目录访问。