Cuba勒索软件(又名Tropical Scorpius)的最新攻击策(3)
时间:2022-09-29 04:44 来源:网络整理 作者:采集插件 点击:次
接下来是在strstr函数中使用两个参数的内部if-then语句。第一个参数是来自PEPROCESS结构的ImageFileName的进程映像文件名。第二个参数是安全产品名称的子字符串搜索,以便与第一个参数进行比较。例如,名称Sophos是否存在于ImageFileName进程名称字符串中。 如果匹配,则下一个名为sub_140001BE0的函数(如下图所示)将检查线程的状态代码是否设置为挂起状态。如果此值为真,则将使用ZwTerminateProcess调用子例程来终止。线程对象将被取消引用,循环将继续到下一个线程
反编译的内核驱动程序示例 此次Tropical Scorpius的改变策略是利用过期的合法NVIDIA证书,以及使用自己的驱动程序针对安全产品进行终止。与之前版本易受攻击的BURNTCIGAR驱动程序中未被公开发现的IOCTL(输入/输出控制系统调用)相比,这是一个值得注意的变化。 本地权限提升 Tropical Scorpius利用的本地权限提升工具最初是使用PowerShell的Invoke-WebRequest从网络托管平台tmpfiles[.]org下载的。 Unit42观察到攻击者利用了一个滥用CVE-2022-24521的二进制文件,这是通用日志文件系统(CLFS)中的一个漏洞。该漏洞利用了CLFS.sys中的一个逻辑错误,特别是在CClfsBaseFilePersisted::LoadContainerQ()函数中。格式错误的BLF文件用于破坏具有用户模式地址的容程序上下文对象的pContainer字段,以获取代码执行。代码执行用于窃取系统令牌并提升权限。PixiePointSecurity的SergeyKornienko于2022年4月25日提供了有关此漏洞和利用策略的详细记录。 横向传播 Tropical Scorpius攻击者利用各种工具进行初始系统侦察。ADFind和NetScan是使用PowerShell的Invoke-WebRequest从网络托管平台tmpfiles[.]org下载的。这两种工具都被放到了同一个系统上,并使用了缩短的名称,以模糊它们的用途。 使用基于PowerShell的脚本GetUserSPNs.ps1执行低权限系统上的凭据准备和收集。在三个不同的系统上都观察到了这个特定的脚本,其中它标识了作为服务帐户使用的用户帐户。攻击者使用此过程来查明值得针对其关联的ActiveDirectoryKerberos勒索信的帐户,以便通过称为Kerberoasting的技术离线收集和破解Kerberos勒索信。 在使用GetUserSPNs.ps1大约一周后,观察到与凭据盗窃相关的其他活动,用户工作站上的Mimikatz被作为压缩文件写入用户的文档文件夹。Mimikatz是一个著名的凭据盗窃工具,它包含各种选项,用于针对可能找到凭据的操作系统部分。 就在Mimikatz被发现的时候,在另一个工作站上发现了一个自定义黑客工具。这个工具用于从主机的LSASS内存中提取缓存的Kerberos勒索信,它被放置到用户的文档文件夹中。 Unit 42将Tropical Scorpius使用的Kerberos工具命名为KerberCache。
KerberCache勒索信提取示例 在后台,KerberCache将调用APILsaConnectUntrusted以获取用于后续调用的句柄。在返回的句柄之后,对LsaLookupAuthenticationPackage的调用将被赋予名为Kerberos的包以及来自先前对LsaConnectUntrusted的API调用的句柄。如果函数成功,它将调用APILsaCallAuthenticationPackage。下面是调用后的函数流的一个片段,调用后将进行反编译格式化和解析。
勒索信解析反编译示例 成功检索缓存的Kerberos勒索信后,勒索信将被传播给对数据进行base64编码的函数,并将写入执行该工具的当前工作目录。该工具的命名约定输出可以分为以下几个部分:[user@servername]_[encryption_type].[ticket_number].kirbi。在写入文件系统时,实际的票据命名约定显示为以下示例输出:[email protected]_18.0.kirbi。
勒索信编码反编译示例 域管理 Tropical Scorpius利用的域管理工具最初是使用PowerShell的Invoke-WebRequest从网络托管平台tmpfiles[.]org下载的。该示例是使用Themida的Anti-VM功能打包的,Themida是一种著名的商业打包工具。它还伪装成文件名Filezilla。 执行时,如果在虚拟化环境中运行,打包程序将显示以下消息:
Themida Anti-VM示例 (责任编辑:admin) |
