勒索软件Ryuk的十五步攻击链

随着勒索软件攻击越来越复杂、周期越来越长、攻击目标的价值越来越高，勒索软件的赎金也水涨船高。近日勒索软件Ryuk从某受害企业那里成功获取3400万美元赎金，一度刷新了公开的赎金记录。

如野火般肆虐的勒索软件的下一个目标是谁?这个行当到底有多“赚钱”?勒索软件攻击手段为何能屡屡奏效，在企业网络里偷天换日，翻江倒海的呢?

[[351810]]

一次斩获3400万美元赎金

根据Advanced Intelligence的Vitali Kremez的说法，Ryuk集团近期的主要目标是科技、医疗、能源、金融服务和政府部门。

医疗保健和社会服务领域的组织在所有勒索软件受害者中所占比例略高于13%。

自“重出江湖”以来，Ryuk勒索软件火力全开，势如破竹。根据Check Point10月的一份报告指出，Ryuk团伙在2020年第三季度平均每周攻击20家公司。

Ryuk勒索软件的最新“致命战绩”包括Universal Health Services(UHS)、大联盟IT服务公司 Sopra Steria、Seyfarth Shaw律师事务所、办公家具巨头Steelcase以及布鲁克林和佛蒙特州的医院的加密网络。

Kremez透露，Ryuk收到的赎金平均金额约48比特币(接近75万美元)，以此估算，自2018年以来，Ryuk团伙至少赚了1.5亿美元，在勒索软件行当中表现突出，另外一个“业绩”突出的勒索软件是REvil。根据Russia OSINT此前的报道，REvil勒索软件开发商本月初发布“财报”声称2020年已经赚取1亿美元。

在昨天的一份报告中Kremez透露说，说俄语的Ryuk团伙在谈判中表现得非常强硬，很少做出宽大处理。它们获得的最大一笔赎金为2,200比特币，以目前的加密货币市场行情估算接近3400万美元。

Ryuk的15步攻击链

正如安全牛之前《勒索软件防御最重要指标：驻留时间》所报道过的，如今勒索软件平均驻留时间只有43天，相对其他APT攻击动辄数月甚至数年来说较短，防御者想方设法去缩短驻留时间，而勒索软件的攻击者则希望能够争取更多时间来横向移动、锁定更多价值目标并清除尽可能多的痕迹。

对于防御者来说，缩短驻留时间最重要的方法就是搞清楚勒索软件攻击的TTP战术手段。

近日，分析来自事件响应参与的攻击流程后，Kremez注意到Ryuk团伙“仅”花了15个步骤就找到网络上的可用主机，窃取管理员级别的凭据并成功部署Ryuk勒索软件。

Ryuk团伙使用的软件大部分都是开源的，红队也使用这些软件来测试网络安全性：

• Mimikatz-利用后的工具，用于从内存中转储凭证;
• PowerShell PowerSploit-用于后期利用的PowerShell脚本集合;
• LaZagne-与Mimikatz相似，用于从在本地存储数据的软件中收集密码;
• AdFind-Active Directory查询工具;
• Bloodhound-利用后工具，用于枚举和可视化Active Directory域，包括设备、登录的用户、资源和权限;
• PsExec-允许在远程系统上执行进程。

在Ryuk攻击链的初始阶段，攻击者运行Cobalt Strike的“invoke”命令，以执行“DACheck.ps1”脚本，以检查当前用户是否是Domain Admin组的一部分。

然后，通过Mimikatz检索密码，映射网络，并在端口扫描FTP、SSH、SMB、RDP和VNC协议后识别主机。

Kremez详细介绍了Ryuk攻击的十五个完整步骤，并附上了Cobalt Strike命令(经过编辑)：

1. 通过“Invoke-DACheck”脚本检查域管理员;
2. 通过Mimikatz“mimikatz的sekurlsa logonpasswords”收集主机密码;
3. 还原令牌并通过Mimikatz命令输出为管理注释创建令牌;
4. 通过“net view”查看主机的网络;
5. 端口扫描FTP、SSH、SMB、RDPVNC协议;
6. 列出可用主机上的访问;
7. 从“net view”和端口扫描的主机上传带有目录脚本“adf.bat”的活动目录查找器“AdFind”工具包;
8. 通过“WMIC”命令在主机上显示防病毒软件名称;
9. 上传多功能密码恢复工具“LaZagne”以扫描主机;
10. 删除密码恢复工具;
11. 运行ADFind并保存输出;
12. 删除AdFind工具痕迹并下载输出;
13. 设置网络共享授予Ryuk勒索软件全部访问权限;
14. 上载远程执行软件“PSExec”并准备好网络主机，然后卸载防病毒产品;
15. 上传执行批处理脚本和已解析的网络主机，并在不同的受感染用户下通过PsExec运行Ryuk勒索软件。

Ryuk攻击另外一个值得关注的趋势是：从2020年4月开始，Ryuk的主要投放渠道之一Trickbot团伙就通过鱼叉式网络钓鱼活动传播Bazar Loader后门。与广为人知的Trickbot恶意软件不同，该恶意软件最初可能是为高价值目标准备的，可以部署能向操作员提供远程访问权限的Cobalt Strike信标。

不过，最近一段时间以来，传播Bazarloader后门的钓鱼邮件越来越普遍，常见手法是使用与攻击时间(节日、事件)，或通用性主题(投诉、工资单、服务或聘用通知)相关的的诱饵。

【本文是IDC.NET专栏作者“安全牛”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文