背景
2021年5月7日,美国最大输油.管道公司Colonial Pipeline遭勒索软件攻击,导致其被迫关闭管道系统。网络攻击迫使向东海岸的主要液体燃料供应商暂时停止了所有管道运营,受该事件影响,美国在5月9日发布豁免,允许汽车运输石油产品,以缓解针对燃料运输的各种限制。
Colonial Pipeline公司成立于1962年,是美国最大的成品油.管道公司,Colonial的输油.管线绵延8851公里,每天可从墨西哥湾地区向纽约港及纽约各主要机场输送多达250万桶的精炼汽油、柴油及飞机燃料,更承担着美国东海岸45%的燃油供应。
为防止事态进一步扩大,该公司主动将关键系统设为离线状态,以避免勒索软件扩大感染范围。并与执法部门、网络安全专家、能源部等多个联邦机构合作,对事件进行调查,以尽快恢复系统的正常运营。
ColonialPipeline公司的管道线路图
攻击分析
多个消息来源声称本次攻击来自一个名为DarkSide的勒索软件团伙,该团伙在5月6日入侵Colonial的网络,并窃取近100GB的数据,黑客对目标系统植入勒索软件,并要求受害者付款解密,否则将把数据泄漏到互联网上。
有国外安全公司认为,攻击是由新冠疫情引起的,工程师因疫情原因在家办公,通过远程访问管道控制系统而导致攻击的发生,但这只是其中一种推测。目前,事件仍处于调查阶段。Colonial公司表示,目前正与执法部门、网络安全专家合作,以恢复系统的正常运营。
DarkSide首次出现在2020年8月,是勒索软件团伙的新锐代表,该组织采用勒索软件即服务(RaaS)模型进行各种犯罪活动,并专门针对有能力支付大型赎金的企业进行攻击,在加密数据的同时并窃取数据,并威胁如果不支付赎金就将其数据公开。据DarkSide组织称,其勒索软件配备了市场上最快的加密速度,并且包括Windows和Linux版本。
DarkSide团伙近期活动较为频繁:
2021年4月28日,DarkSide团伙疑似攻击意大利信贷银行Banca di Credito Cooperativo,攻击造成该银行的188个分支机构业务瘫痪。
2021年4月20日,DarkSide团伙通过网络攻击手段做空上市企业(如针对在纳斯达克或其他股票市场上市的公司),致使目标公司股价下跌,从而增加受害者的压力。
2020年11月,DarkSide勒索软件团伙声称,他们正在伊朗建立一个分布式存储系统,用来存储和泄露从受害者那里窃取的数据。并且招募开发人员进行编程开发,以及招募会员来实施企业入侵,开发人员和会员都可以获得一定比例的报酬。
该组织此前已经攻击过40多个受害者组织,并要求索取20-200万美元的赎金。
DarkSide不同于早期勒索病毒通过僵尸网络利用漏洞自动植入目标系统的广撒网方式,而是有组织的实施攻击行动,通常会尝试拿下Windows AD域控制器从而实现整个AD域的横向渗透便于盗取数据和批量释放勒索软件。
DarkSide勒索软件简要分析:
样本会调用API检测当前主机语言环境,如果当前设备所处地区为俄罗斯、乌克兰等地,则结束运行。
通过Post方法与C2服务器(如catsdegree[.]com)连接,回传主机设备敏感信息:
回传加密数据如下图所示:
然后调用Powershell执行WMI来删除磁盘卷影副本,防止用户恢复:
Powershell指令如下所示:
解混淆后的Powershell代码通过调用执行WMI删除卷影副本:
结束正在运行的系统进程(防止加密文件被占用),然后遍历磁盘文件进行加密。加密完成后DarkSide勒索软件会在“ProgramData”目录写入壁纸图片.
修改注册表“HKEY_CURRENT_USER\Control Panel\Desktop”设置桌面壁纸。并在用户桌面文件夹生成Readme.txt提示文本,勒索用户提交赎金。
美方情况
白宫发言人表示,拜登在5月8日就此事件进行了通报,并表示政府正在积极评估该事件的影响,以避免供应中断,并帮助该公司尽快恢复管道运营。
Colonial Pipeline 遭到网络攻击后,截至北京时间5月10日,美国总统或联邦政府并没有宣布进入 “ 国家紧急状态 ” ,只是美国联邦汽车运输安全管理局的东部、南部、西部服务中心的三个主任联合签发了一个“区域紧急状态声明”,临时给予受影响的17个州和华盛顿特区的汽油、柴油、航空燃料和其他成品油的临时运输豁免,以使有关燃料可以通过公路运输。
思考总结
越来越多的勒索软件组织开始针对工业和制造设备的旧系统,以及由于企业办公需求将敏感网络连接到Internet,以实现高效率和自动化办公,亦或是方便远程连接而架设的VPN网络也可能存在风险,这将导致公司网络更加容易受到攻击。
从Colonial事件可以看出,网络攻击可以在不损坏设备的前提下破坏关键基础设施。以经济利益为中心的网络犯罪团伙正在寻找最敏感,最有价值的目标,而工业系统和关键基础设施于他们而言是很好的目标。事实上,针对工业系统的勒索软件业务正在显著增加,未来将会看到更多的工业受害者。
这表明关键信息基础设施正面临着巨大的现实威胁,需要各单位进一步加快构建关键信息基础设施安全保障体系,以抗衡类似的威胁。
防范建议
安恒威胁情报中心平台支持对DarkSide组织恶意软件及回连资产进行检测。
安恒APT攻击预警平台能够发现已知或未知威胁,平台能实时监控、捕获和分析恶意文件或程序的威胁性,并能够对邮件投递、漏洞利用、安装植入、回连控制等各个阶段关联的木马等恶意样本进行强有力的监测。
同时,平台根据双向流量分析、智能的机器学习、高效的沙箱动态分析、丰富的特征库、全面的检测策略、海量的威胁情报等,对网络流量进行深度分析。检测能力完整覆盖整个APT攻击链,有效发现APT攻击、未知威胁及用户关心的网络安全事件。
安恒主机卫士EDR通过“平台+端”分布式部署,“进程阻断+诱饵引擎”双引擎防御已知及未知类型威胁。
来源:freebuf.com 2021-05-11 10:28:54 by: 安恒威胁情报中心
请登录后发表评论
注册