一、前言2020年,由于新型冠状病毒(COVID-19)的持续蔓延,远程办公需求激增,网络攻击也随之激增,其中勒索病毒是最最明显的。整个2020年,勒索软件疫情层出不穷,攻击规模和赎金支付规模大幅增加。其中,收取最高赎金的富士康赎金事件。2020年12月,富士康墨西哥工厂服务器遭到勒索病毒攻击。攻击者要求富士康在21天内支付1804.0955个比特币,约合人民币2.3亿元。目前最流行的勒索病毒家族有Maze、REvil、Sodinokibi、NetWalker、Ryuk等,随着攻防进化,2020年的勒索病毒也加入了新的特性。例如勒索,分为两个阶段的勒索。受害者首先被要求支付赎金以换取解密文件的密钥,然后需要另一笔赎金以保护机密信息的私密性。同时,从成本效益的角度出发,勒索病毒的运营者改变了策略,将攻击目标从大范围撒网转变为精准投放,对重点高价值目标进行攻击,换取高额赎金。还有从纯粹勒索到僵尸网络和挖矿的组合。Ryuk勒索病毒于2018年首次被国外安全公司披露,其主要特点是通过垃圾邮件和漏洞利用工具包进行传播。阿里云安全中心近日捕获到ryuk新变种,我们对其横向传播技术进行了详细分析,揭示了勒索病毒的常用技术手段。通过分析,你会发现勒索病毒会千方百计地传播,扩大影响,造成最大的危害。最后,我们会给出预防建议。二、详细分析1、反调试解包样本的编译时间是2021.1.22,第一次出现在VT上是2021.2.2,所以样本还是很新的。首先当然是在IDA中做静态分析。分析发现样本使用了独特的packer,会给静态分析带来麻烦。所以我们尽量让它运行到解包解密的状态,然后再做进一步的分析。如下图所示,样本使用的资源,比如字符串,都是加密的。在调试器中运行时,发现样本也有反调试机制。如下:这里是一个DebugPort查询操作,指针地址给定为1,当然会触发异常。有几个类似的地方需要处理。解决反调试问题后,示例代码会自己解包解密,然后我们dump内存,然后修复IAT,这样代码分析会清晰很多。2、无文件加密勒索方式在后续的分析中,我们发现了一个有趣的点。当Ryuk勒索病毒感染远程机器时,它不会把可执行文件传给它,然后拉上来再加密。相反,通过SMB协议,远程感染会加密文件。这样做的好处是在被攻击的机器上,读写文件的上下文是系统进程。对于防御引擎来说,是否属于恶意勒索将难以判断。使用SMB协议进行远程登录和文件访问的攻击者需要先有登录权限。在很多企业局域网环境中,服务器的登录密码都是一样的。在这种情况下,攻击者可以通过mimikatz和wce获取账户的登录凭证,然后很容易建立smb会话。这里不讨论。远程感染过程分析如下:我们在测试环境中有两台用户名密码相同的测试机:测试机1(192.168.0.28)和测试机2(192.168.0.31)。机器2捕获数据包并对其进行分析。测试机1运行样本后,测试机2的诱饵文件显示已经加密写入赎金记录文件。通过在测试机2上抓包,发现测试机1通过SMB远程登录测试机2,然后远程加密测试机2的诱饵文件,在获取本地证书的前提下,样本登录通过SMB协议发送给局域网内相同密码的机器,再通过SMB对远程机器中的文件进行加密,达到勒索的目的。通过SMB协议登录的前提是要有明文密码或NTLM哈希。明文密码可以爆破得到,难度相对较大,但是密码NTLMhash相对容易得到。目前公开的工具:mimikatz、wce(WindowsCredentialsEditor)都可以用来获取NTLMhash,所以病毒也可以通过同样的方式获取NTLMhash。样本首先连接到445端口,然后使用NTLM认证通过SMB协议登录远程机器。Response包显示登录成功。同时,远程机器上的日志也记录了登录成功的过程。(192.168.0.28是攻击者的IP)这里可以看到登录成功后遍历磁盘分区。可以在此处看到远程加密的重命名诱饵文件。上述过程在不释放病毒的情况下,通过SMB协议实现了对目标计算机的文件加密和勒索。对于防御者来说,这给检测和防御带来了一定的困难。3、持久化和蠕虫这里可以看到勒索病毒通过SMB进行自我复制,放置在C:\User\Public\目录下。传播病毒之后,接下来的过程自然就是建立启动项,启动进程。通过PronMon监控发现勒索病毒Ryuk通过schtasks为远程受害机器创建定时任务。定时任务建立后,立即发送Run命令拉起。通过这个过程,实现了病毒自身的传播和传导,实现了勒索病毒的持久化和蠕虫化。在IDA中找到创建定时任务的逻辑对应的代码如下。综上所述,传播过程如下:3.总结:Ryuk是一个勒索病毒样本,具有加壳加密、本地勒索,同时还实现了水平传播和远程勒索,技术比较全面。还有一个比较有意思的地方,我们发现这个勒索软件会通过打印机打印出自己的赎金声明,可以说是非常嚣张了。Ryuk勒索病毒仍在不断进化,防御者需要密切关注样本进化趋势,提出新的防御、检测和修复方案。3、防护建议除非明确需要,强烈建议对Windows服务器屏蔽445端口。局域网内的机器不要使用弱口令或统一口令。操作系统要及时打补丁,安全软件也要保持更新。定期备份重要文件以防止问题发生。
