KEGTAP 和 SINGLEMALT 與一系列勒索軟件追蹤器

整個2020年，勒索軟件活動變得越來越多,依賴于一個由不同但共同啟用的操作組成的生態系統，以便在進行敲詐勒索之前獲得對感興趣目標的訪問權限。Mandiant威脅情報部門已經追蹤了數個加載程序和后門活動，這些活動導致勒索軟件的妥協后部署，有時是在最初遭到入侵后的24小時內。有效，快速地檢測這些活動是緩解這種威脅的關鍵。

之前由Mandiant報告給情報訂閱者的，能夠進行這些攻擊的惡意軟件家族包括KEGTAP / BEERBOT，SINGLEMALT / STILLBOT和WINEKEY / CORKBOT。盡管這些惡意軟件系列與相同的命令和控制基礎結構（C2）通信并且接近功能對等，但它們之間的代碼重疊卻很少。其他安全研究人員以BazarLoader和BazarBackdoor或Team9的名稱跟蹤了這些惡意軟件家族。

開展這些運動的運營商已經積極地將目標對準了醫院，退休社區和醫療中心，即使在全球健康危機中也是如此，這表明他們顯然無視人類的生命。

電子郵件活動TTP

使用一系列不斷變化的交付策略，技術和程序（TTP），已將分發KEGTAP，SINGLEMALT和WINEKEY的活動發送給各個行業和地區的組織中的個人。盡管在這些廣告系列中經常看到變化，但在最近的活動中，以下內容保持一致：

• 電子郵件包含指向參與者控制的Google文檔文檔（通常是PDF文件）的嵌入式鏈接。
• 本文檔包含指向托管惡意軟件有效負載的URL的嵌入式鏈接。
• 電子郵件偽裝成通用的公司通信，包括有關文檔和電話的后續行動，或精心制作的與投訴，終止，獎金，合同，工作時間表，調查或有關營業時間的查詢有關的電子郵件。
• 一些電子郵件通訊在主題行和/或電子郵件正文中包含收件人的姓名或雇主名稱。

盡管具有這種統一性，但相關的TTP還是定期更改-在廣告系列之間以及同一天出現的多個垃圾郵件運行中都發生了變化。這些運動隨時間變化的顯著方式包括：

• 早期的廣告系列是通過Sendgrid交付的，并且包含指向Sendgrid URL的嵌入式鏈接，這些鏈接會將用戶重定向到攻擊者創建的Google文檔。相反，最近的戰役是通過攻擊者控制或受到破壞的電子郵件基礎結構交付的，盡管它們也使用了與Constant Contact服務關聯的鏈接，但它們通常包含指向由攻擊者創建的Google文檔的嵌入式鏈接。
• 這些內嵌鏈接加載的文檔經過精心設計，看起來與電子郵件廣告系列的主題相關，并包含其他鏈接以及指導用戶單擊它們的說明。單擊后，這些鏈接將下載文件名偽裝為文檔文件的惡意軟件二進制文件。在較早的活動中，這些惡意軟件的二進制文件都托管在受到破壞的基礎架構上，但是，攻擊者已轉向將其惡意軟件托管在合法的Web服務上，包括Google Drive，Basecamp，Slack，Trello，Yougile和JetBrains。
• 在最近的活動中，惡意軟件有效載荷已托管在與這些合法服務中的一項或多項相關的大量URL上。如果有效載荷被拆除，參與者有時會更新其Google文檔以包含新的有效鏈接。
• 一些廣告系列還結合了自定義功能，包括帶有內部引用收件人組織的電子郵件（圖1）和嵌入到Google Docs文檔中的組織徽標（圖2）。

圖1：電子郵件包含針對組織名稱的內部引用

圖2：包含目標組織徽標的Google Docs PDF文檔

將最終的有效載荷隱藏在多個鏈接后面是一種繞過某些電子郵件過濾技術的簡單而有效的方法。各種技術都可以跟蹤電子郵件中的鏈接，以嘗試識別惡意軟件或惡意域。但是，遵循的鏈接數量可能會有所不同。另外，在PDF文檔中嵌入鏈接進一步使自動檢測和鏈接跟隨變得困難。

Post-Compromise TTPs

考慮到從這些活動獲得的訪問可能會提供給各種運營商以獲利的可能性，后期的TTP（包括部署的勒索軟件系列）可能因入侵而異。Mandiant對這些Post-Compromise TTPs具有可見性的大多數情況都歸因于UNC1878，這是一個出于經濟動機的參與者，它通過部署RYUK勒索軟件來通過網絡訪問獲利。

建立立足點

一旦在初始受害者主機上執行了裝載程序和后門程序，演員便使用該初始后門程序下載POWERTRICK和/或Cobalt Strike BEACON有效載荷來建立立足點。值得注意的是，在觀察到的事件中，相應的裝載機和后門以及POWERTRICK通常已安裝在少量主機上，這表明這些有效負載可能被保留用于建立立足點并執行初始網絡和主機偵察。但是，經常在大量主機上發現BEACON，并在攻擊生命周期的各個階段使用它。

保持在線狀態

除了每次入侵的初步階段之外，我們已經看到這些攻擊者在建立初始立足點或在網絡內橫向移動之后如何保持存在。除了使用常見的開發后框架（例如Cobalt Strike，Metasploit和EMPIRE）之外，我們還觀察到使用了其他后門（包括ANCHOR），我們也相信這些后門在TrickBot背后的參與者的控制之下。

• 與該活動相關的加載器可以使用至少四種不同的技術來通過重新啟動來保持持久性，包括創建計劃任務，將自身作為快捷方式添加到啟動文件夾，使用/ setnotifycmdline創建計劃Microsoft BITS job以及將自身添加到以下注冊表項下的Userinit值：
  • HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon。
• 在最初的妥協之后，演員們下載了POWERTRICK，Metasploit Meterpreter和Cobalt Strike BEACON有效載荷。BEACON有效載荷通常是在橫向移動到受害網絡中的新主機之后執行的。攻擊者使用了Cobalt Strike有效載荷，旨在通過在受害環境中的關鍵系統上通過計劃任務重新啟動來保持持久性。值得注意的是，BEACON是在這些事件中最常被觀察到的后門。
• 我們已經觀察到參與者在執行編碼的PowerShell命令，這些命令最終執行了PowerShell EMPIRE后門的實例。
• 通過使用BEACON觀察演員，執行PowerLurk的Register-MaliciousWmiEvent cmdlet來注冊用于殺死與安全工具和實用程序相關的進程的WMI事件，包括任務管理器，WireShark，TCPView，ProcDump，Process Explorer，Process Monitor，NetStat，PSLoggedOn，LogonSessions，處理黑客，自動運行，AutorunsSC，RegEdit和RegShot。
• 在至少一次的情況下，攻擊者使用被盜憑證維護對受害者環境的訪問，以訪問配置為僅要求單因素身份驗證的公司VPN基礎結構。

升級權限

在這些事件中，最常見的提升特權的方法涉及使用有效憑據。參與者使用多種技術來訪問存儲在內存或磁盤中的憑據以訪問特權帳戶。

• 演員使用通過MimiKatz變體獲得的有效憑據來升級特權。我們已經觀察到Mimikatz在受害者主機的文件系統中以及通過Cobalt Strike BEACON執行的PowerShell cmdlet均被執行。
• 參與者可以通過ntds.dit Active Directory數據庫的導出副本以及來自域控制器的SYSTEM和SECURITY注冊表配置單元來訪問憑據。
• 在多個實例中，參與者已經發起了針對Kerberos的攻擊，包括使用RUBEUS，MimiKatz Kerberos模塊和Invoke-Kerberoast cmdlet。

偵察

對這些事件執行主機和網絡偵察的方法各不相同；但是，觀察到的偵察活動中有很大一部分圍繞使用活動目錄枚舉（使用BLOODHOUND，SHARPHOUND或ADFind等公開可用的實用工具）以及使用Cobalt Strike BEACON執行PowerShell cmdlet進行。

• BEACON已通過這些入侵安裝在大量系統上，并已用于執行各種偵查命令，包括內置主機命令和PowerShell cmdlet。觀察到的PowerShell cmdlet包括：
  • 獲取GPP密碼
  • 調用所有檢查
  • 召喚EternalBlue
  • 調用永恒之藍
  • 調用文件查找器
  • 調用HostRecon
  • 調用-調用
  • 調用Kerberoast
  • 調用登錄提示
  • 調用mimikittenz
  • 調用共享查找器
  • 調用UserHunter
• Mandiant已經觀察到演員使用POWERTRICK在初始受害者主機上執行內置系統命令，包括 ipconfig， findstr和 cmd.exe。
• 參與者利用受害者網絡上的公共可用實用程序Adfind，BLOODHOUND，SHARPHOUND和KERBRUTE收集Active Directory信息和憑據。
• WMIC命令已用于執行主機偵察，包括列出已安裝的軟件，列出正在運行的進程以及識別操作系統和系統體系結構。
• 參與者已經使用批處理腳本對Active Directory枚舉期間標識的所有服務器執行ping操作，并將結果輸出到 res.txt。
• 參與者使用 *Nltest *命令列出域控制器。

橫向移動

橫向移動最常見的是使用有效憑證與Cobalt Strike BEACON，RDP和SMB結合使用，或使用與在受害網絡中建立立足點相同的后門來完成。

• 定期利用Cobalt Strike BEACON和Metasploit Meterpreter在受害者環境中橫向移動。
• 行為者通常使用受害帳戶在受害環境中橫向移動，這些帳戶既屬于普通用戶，也屬于具有管理特權的帳戶。除了使用常見的開發后框架以外，還可以使用WMIC命令以及Windows RDP和SMB協議來實現橫向移動。
• 參與者使用Windows net use 命令連接到Windows管理員共享以橫向移動。

完成Mission

Mandiant直接知道涉及KEGTAP的事件，其中包括RYUK勒索軟件的妥協后部署。我們還觀察到在CONTI或MAZE部署之前發生了ANCHOR感染（與同一行為者相關的另一個后門）的情況。

• 在至少一種情況下，觀察到一個可執行文件，該可執行文件旨在通過SFTP將文件泄漏到攻擊者控制的服務器。
• 可以使用了Cobalt Strike BEACON來竊聽通過網絡偵察活動創建的數據以及用戶文件。
• 據觀察，這些行為者從受害人的主機上刪除了他們的工具，以試圖消除妥協的跡象。
• 參與者利用對受害者網絡的訪問權限來部署勒索軟件有效載荷。有證據表明RYUK勒索軟件很可能是通過PsExec部署的，但是與分發過程相關的其他腳本或工件則無法進行法醫分析。

Hunting Strategies

如果組織確定帶有活動感染的主機被認為是KEGTAP或并行惡意軟件家族的實例，則建議采取以下遏制措施。請注意，由于這種入侵活動的速度，應并行執行這些操作。

• 隔離所有受影響的系統并進行法醫審查。
• 查看擁有受影響設備的用戶的傳入電子郵件，以查找與分發活動匹配的電子郵件，并采取措施從所有郵箱中刪除郵件。
• 識別網絡釣魚活動使用的URL，并使用代理或網絡安全設備阻止它們。
• 重置與惡意軟件執行相關的任何用戶帳戶的憑據。
• 對受影響的系統執行橫向范圍驗證的企業范圍內的審查。
• 從可能存在的任何單因素遠程訪問解決方案（VPN，VDI等）中檢查身份驗證日志，并盡快轉向多因素身份驗證（MFA）。

應該在整個企業范圍內努力確定與第一階段惡意軟件的執行以及與該活動相關的所有入侵后活動有關的基于主機的工件。一些基線方法已被捕獲如下。

通常，可以通過查看系統啟動文件夾和HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon注冊表項下的Userinit值來確定與KEGTAP加載程序相關的活動。

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\adobe.lnk

圖3：與系統啟動文件夾中的KEGTAP持久性關聯的示例LNK文件

SINGLEMALT使用BITS來通過重新啟動來保持持久性，并且通常可以通過檢查異常的BITS作業來識別。SINGLEMALT使用有據可查的BITS持久性機制，該機制有意創建一個作業來下載不存在的URL，這將觸發失敗事件。作業設置為定期重試，從而確保惡意軟件繼續運行。要查看主機上的BITS作業，請運行命令bitsadmin / list。

• 顯示名稱可以是“ Adobe Update”，“系統自動更新”或其他通用值。
• 通知狀態可以設置為失敗（狀態2）。
• FileList URL值可以設置為本地主機或不存在的URL。
• 通知命令行值可能包含SINGLEMALT示例的路徑和/或將其移動到新位置然后啟動它的命令。
• 重試延遲值將被設置。

WINEKEY通過使用注冊表RUN鍵重新啟動來保持持久性。在企業范圍內搜索異常的RUN密鑰可以幫助識別受此惡意軟件影響的系統。

Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Backup Mgr

Value: Path to the backdoor

圖4：WINEKEY用來維持持久性的示例注冊表RUN鍵

在與該活動相關的部分入侵中已經看到了ANCHOR后門，通常可以通過其計劃任務來識別ANCHOR后門，以通過重新啟動來保持持久性。盡管并非總是如此，但由ANCHOR創建的計劃任務通常未命名。

• 可以根據以下模式來構造與ANCHOR持久性關聯的已命名計劃任務的標識：< ％APPDATA％中的隨機目錄> autoupdate＃<隨機數>。
• 應該檢查所有未命名的計劃任務，尤其是那些創建日期與可疑入侵時間一致的任務。

盡管它是低保真度指示器，但有時也可以通過在C：\ Windows \ SysWOW64目錄中搜索具有與以下模式匹配的文件名的二進制文件來識別ANCHOR活動：< 8個隨機小寫字符> .exe。在C：\ Windows \ SysWOW64目錄中按文件創建時間戳進行堆疊或排序也可能有助于識別惡意文件，因為該目錄應該大部分是靜態的。

在這些活動之后，與勒索軟件的部署相關的利用后活動通常是使用Cobalt Strike攻擊框架進行的。通常可以通過查看現有注冊服務和服務創建事件（事件ID 7045）來識別與Cobalt Strike相關的BEACON有效載荷，這是它最常用于保持持久性的機制的兩個標記。

以下是可能有助于識別關聯活動的其他策略：

• 組織可以查看Web代理日志，以便通過Google Docs文檔中的引薦來源識別HXXP請求進行文件存儲，項目管理，協作或通訊服務。
• 在相關的破壞后活動期間，攻擊者通常將其工具和數據存放在PerfLogs目錄和C $共享中。
• 攻擊者在收集用于進行后期操作的數據時，通常會將ntds.dit實例留在出口，并將SYSTEM和SECURITY注冊表配置單元導出到受影響的系統上。

Hardening Strategies

行為體為提高特權并在環境中橫向移動而采取的動作使用了有據可查的技術，這些技術在網絡和Active Directory中搜索常見的錯誤配置，這些錯誤配置會暴露憑據和系統以供濫用。組織可以采取措施來限制這些技術的影響和有效性。有關更深入的建議，請參閱我們的勒索軟件保護白皮書。

• 加強服務帳戶以防止暴力破解和密碼猜測攻擊。大多數組織至少有幾個服務帳戶，其密碼設置為永不過期。這些密碼可能很舊且不安全。盡最大努力將盡可能多的這些帳戶重置為長而復雜的密碼。如果可能，請遷移到MSA和gMSAS以進行自動輪換。
• 防止將特權帳戶用于橫向移動。使用GPO限制諸如Domain Administrators和特權服務帳戶之類的特權帳戶啟動RDP連接和網絡登錄的能力。通過限制潛在客戶的數量，您提供了發現機會和減慢參與者的機會。
• 盡可能阻止對服務器的Internet訪問。通常，服務器（尤其是AD基礎結構系統）無需業務即可訪問Internet。演員通常會選擇高正常運行時間的服務器來部署諸如BEACON之類的開發后工具。
• 使用Web代理或DNS過濾器阻止未分類的域和新注冊的域。通常，通過網絡釣魚提供的最終有效負載通常托管在沒有業務分類的受感染第三方網站上。
• 確保在Windows系統和網絡基礎結構上安裝了重要補丁。我們已經觀察到攻擊者在部署勒索軟件之前會利用眾所周知的漏洞（例如Zerologon（CVE-2020-1472））在環境中升級特權。在其他情況下，可能與UNC1878無關，我們注意到威脅參與者在部署勒索軟件之前已通過易受攻擊的VPN基礎結構訪問了環境。