Loading [MathJax]/jax/input/TeX/config.js
前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >TellYouThePass勒索病毒入侵手法揭秘

TellYouThePass勒索病毒入侵手法揭秘

作者头像
云鼎实验室
发布于 2024-03-30 06:16:17
发布于 2024-03-30 06:16:17
1.2K0
举报

家族简介

TellYouThePass勒索病毒家族最早于2019年3月出现,其热衷于高危漏洞被披露后的短时间内利用1Day漏洞修补的时间差,对暴露于网络上并存在有漏洞的机器发起攻击。

该家族在2023年下半年开始,不断对国内各类OA、财务及Web系统平台发起多轮攻击,同时针对桌面终端和服务器设备,一举成为2023年国内最流行勒索软件家族之一。

其曾经使用过的代表性漏洞有:“永恒之蓝”系列漏洞、Log4j2漏洞、某友NC漏洞、某蝶EAS漏洞、Apache ActiveMQ(CVE-2023-46604)等。

一旦获取攻击成功进入机器,便会投递勒索病毒实施加密,被加密的文件添加后缀名为“.locked”,要求受害者支付一定数量的比特币才能解密文件。

事件描述

近日,腾讯安全云鼎实验室监测到一起针对某财务管理服务的已知漏洞攻击。

经分析发现,攻击者为TellYouThePass勒索病毒,其利用漏洞获取系统命令执行权限,使用无文件攻击执行hta脚本(http://107.xx.xx.195/update.hta),再进一步投递本地提权模块、EDR致盲模块、勒索载荷。

该hta文件于3月21日首次提交,目前已无法从攻击者服务器直接下载。

通过该样本中提取的比特币钱包地址交易记录显示,截止3月27已收获5笔赎金,近9万元。

攻击流程分析

攻击者利用漏洞,获取暴露在公网Web应用服务器的命令执行权限后,通过无文件攻击执行远程恶意脚本,该脚本通过反射加载内置的Mono/.Net字节码,执行核心攻击模块。

EfsPotato.Mshta核心模块集成了一系列[.*]Potato开源提权模块,和一款名为RealBlindingEDR的开源EDR致盲模块。

整个攻击链路中,所有需要释放文件落盘的环节都有白文件、动态加解密等检测对抗行为,所有模块都通过反射加载、系统进程内存注入等方式运行,可谓对抗性十足。

样本技术分析

样本执行的过程中会不断与攻击者服务器进行通信、并报告当前所处的执行阶段,如下流量截图所示:

红框处是通信代码,含义如下:

willenc-efs:EfsPotato本地提权成功

willenc-bild1:释放EDR致盲模块echo_driver.sys

willenc-bild3:释放EDR致盲模块wnBio.sys

willenc-enc:释放加密勒索模块、勒索模块解密程序

无文件攻击

整个攻击链起始于一个名为update.hta的恶意脚本,使用Windows内置的mshta.exe(Windows Microsoft HTML Application)执行,恶意脚本不落盘。

该脚本内嵌入一个经过base64编码并序列化的.Net字节码,通过反射加载的方式运行EfsPotato.Mshta攻击模块。

本地提权攻击

EfsPotato提权,若成功,发送路径包含willenc-efs的报文。

EDR致盲攻击

攻击者提权成功后,开始对终端设备上可能存在的EDR安全设备进行致盲,使用开源项目RealBlindingEDR的能力。

具体而言,该项目删除以下6大内核函数注册的回调使EDR失去相关能力:CmRegisterCallback、MiniFilter、ObRegisterCallbacks、PsSetCreateProcessNotifyRoutine(Ex)、PsSetCreateThreadNotifyRoutine(Ex)、PsSetLoadImageNotifyRoutine(Ex)。

首先恶意程序要落盘EDR致盲主程序所需要使用的2个.sys文件,这里的trick点是将PE头中的校验和字段随机化。

这能使得尚未关闭的EDR无法通过标记原项目内sys文件hash的方式,查杀掉即将落盘的sys文件,同时这个修改不影响其携带的合法数字签名,一举两得。

接下来执行loadAsmBin,这里有一个很好的伪装,假装调用合法系统程序rundll32.exe的能力执行DLL,实际上是在rundll32.exe进程的上下文中内注入了exe程序代码,随后创建线程执行代码。

相当于loadAsmBin函数实现了,通过rundll32.exe执行任意代码,规避安全软件的检测。

loadAsmBin函数的关键步骤如下:

1、创建一个新的字节数组 destinationArray,并将随机数据(buffer)和传入的恶意代码(asm)复制到这个数组中。这可能是为了混淆或者避免某些安全检测。

2、使用 CreatePipe创建一个管道,用于重定向 rundll32.exe的标准输出。

3、使用 CreateProcess启动 rundll32.exe 进程。这里传入了 commandLine 参数,它包含了rundll32.exe的路径和要执行的命令行参数(在这个例子中是 "rundll32.exe path 1 clear")。

4、使用 VirtualAllocEx在新创建的rundll32.exe进程的地址空间中分配内存,并将其权限设置为可执行、可读写。

5、使用 WriteProcessMemory将asm中的恶意代码写入到刚刚分配的内存中。

6、使用 CreateRemoteThread在 rundll32.exe进程中创建一个新线程,该线程的起始地址设置为asm代码在目标进程内存中的地址。

到这里,rundll32.exe运行后执行其线程内的EDR致盲主程序,加载已落盘的sys文件:

EDR致盲主程序如下:

勒索模块攻击

EDR致盲操作结束后,攻击者为保险起见,仍然采用进程内动态执行的方式执行勒索模块。

同时将不得不落盘一次的勒索载荷进行加密落盘,用另一个不会引起安全报警的程序将勒索模块在内存中解密,然后动态加载执行。

解密器进行勒索模块解密,随后在内存中加载执行:

勒索模块内置了受害者标识、攻击者比特币钱包地址、勒索数额、勒索信文件名等:

勒索模块生成密钥对,并进行文件加密:

解决方案

官方已经发布漏洞公告(KDPSIRT-2023-00015)和最新相关补丁,受影响的用户须及时更新最新补丁:

https://vip.kingdee.com/article/388994085484889344?lang=zh-CN&productLineId=1&isKnowledge=2

安全验证规则

腾讯安全验证服务(BAS) 已支持针对该勒索家族的高危Web漏洞利用验证、无文件攻击验证、进程注入验证、多时期真实样本落盘验证、文件加密行为模拟等能力。

腾讯安全验证服务(BAS)勒索防护专项,从攻击入侵->载荷植入->行为模拟的全链路真实还原和模拟勒索攻击实施过程中的关键特征行为,有效验证安全防护设备或策略的有效性。

关于安全验证服务(BAS)

腾讯安全验证服务(BAS)提供自动化的安全防御有效性验证,是腾讯安全服务体系里的一项关键能力。

能够帮助企业持续评估安全防御体系,发现防御弱点,优化策略配置,规划安全投入,提升安全水位。

目前已服务金融、交通、制造、互联网等多个行业用户。更多内容,可点击链接了解详情:https://cloud.tencent.com/product/bas

END

更多精彩内容点击下方扫码关注哦~

云鼎实验室视频号

一分钟走进趣味科技

-扫码关注我们-

关注云鼎实验室,获取更多安全情报

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2024-03-29,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 云鼎实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
第85篇:顶级加密勒索组织LockBit的杀伤链模型与技战法分析(中篇)
大家好,我是ABC_123。在上一篇文章中,我们以钻石模型的方式详细描述了LockBit的攻击者、受害者、基础设施及技术能力,同时讲解了LockBit加密勒索病毒的发展历史、运营模式,初步分析了LockBit的技战法。本期ABC_123继续给大家分析LockBit加密勒索家族的技战法,并给出一个LockBit加密勒索的杀伤链模型。
ABC_123
2024/01/17
9570
第85篇:顶级加密勒索组织LockBit的杀伤链模型与技战法分析(中篇)
黑客入侵加密企业所有服务器,嚣张留言勒索9.5比特币
近日,腾讯御见威胁情报中心接到某公司反馈,公司里数台Windows服务器中了勒索病毒,电脑除了C盘,其他磁盘分区都被整个加密,公司业务已接近停摆。此外,该勒索病毒勒索索要的赎金高达9.5比特币(约40万人民币)。在实际攻击场景中,一次勒索如此高的金额尚属少见。
FB客服
2018/07/30
2.3K0
黑客入侵加密企业所有服务器,嚣张留言勒索9.5比特币
ATT&CK矩阵的攻与防
对于ATT&CK,我相信搞安全的师傅们都在熟悉不过了,ATT&CK把攻击者所运用的技术都以各种TTP展现出来了,如何将ATT&CK框架,更好的利用在我们的企业中,看似是一个简单的问题,实际操作却会出现许多无法意料的问题,就比如我们ATT&CK对应的计划任务,我们对应的规则应该怎么写,写完了规则的准确率是多少,误报率是多少,召回率是多少,写的规则是否真的能检测业务蓝军或者是入侵者,企业是否有支持ATT&CK运营的基础设施平台,ATT&CK运营人员的水位怎么样,因为你的规则匹配出了计划任务,但是仅凭借计划任务我们就能判断出改终端的行为是恶意的吗?不能这么草率吧,以及T1059.001的powershell,我们又打算如何设计我们的规则,是单纯的匹配恶意powershell文本的执行,比如powerspliot还是empire的脚本,还是根据powershell的功能来判断恶意行为?比如执行,下载,-bypass参数来匹配恶意行为,或者是直接套用微软的powershell语言限制模式,当然,这几种模式没有优劣之分,我们红军需要的是用已知的技术解决方案满足企业的安全需求,我们防守方的优势在于攻击者对于我们安全防线水位的未知 当然,我们企业红军所面临的蓝军或者攻击者,他们的攻击方式都是很简单致命的,就是一条攻击链路不会有没必要的攻击行为,这对于我们防守方来说,我们设计了很多规则,看似巧妙精密,但是还是会被企业的蓝军绕过,每次复盘都有许多能提升的水位,当然,废话了这么多,此篇文章仅是以笔者的攻防思路,输出自己对于ATT&CK矩阵的理解,文章尽量会按照以前的风格浅显易懂,如果有师傅对ATT&CK感兴趣,欢迎与我交流,可以邮箱联系我
红队蓝军
2022/07/06
9310
ATT&CK矩阵的攻与防
揭秘基于注册表隐藏的无文件攻击
*本文原创作者:ArkTeam 发展 一直以来,文件是恶意代码存在的最常见形式,安全软件也通常把磁盘上的文件作为重点检测对象。然而,一旦恶意代码以无文件形式存储在系统中,便难以对其追踪。 早在十几年前,红色代码、Slammer蠕虫就利用缓冲区溢出进行攻击,通过网络传播,完全存在于内存之中,而不以文件作为载体。不过,这种基于内存的无文件(Fileless)攻击一旦进程或系统关闭,也就不复存在。 为了实现攻击持久化,攻击者们找到新的突破口——将恶意软件实体隐藏在注册表的某个键值里,并通过各种加密手段,来逃脱
FB客服
2018/02/08
1.9K0
揭秘基于注册表隐藏的无文件攻击
【勒索专题】常见勒索病毒种类
勒索病毒是一种极具破坏性、传播性的恶意软件,主要利用多种加密算法加密用户数据,之后勒索用户高额赎金,故而勒索病毒也被称为是当前黑客最有效的"变现"方式 勒索病毒文件在本地运行后会利用本地的互联网访问权限连接至黑客的C2服务器,进而上传本机信息并下载加密公钥,之后利用加密公钥对当前主机中的重要文件进行加密,由于勒索病毒大多使用的加密算法属于非对称加密算法,所以除非是拥有解密私钥的攻击者本人,其他人是几乎不可能解密,加密完成后通常还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金,勒索病毒变种类型非常快,对常规的杀毒软件都具有免疫性,攻击样本以exe、js、wsf、vbe等类型为主,勒索病毒的勒索过程如下:
Al1ex
2023/03/07
6.2K1
【勒索专题】常见勒索病毒种类
警惕!你下载的软件可能携带STOP勒索病毒变种
近日,深信服EDR安全团队捕获到一起通过捆绑软件运行勒索病毒的事件。勒索病毒与正常的应用软件捆绑在一起运行,捆绑的勒索病毒为STOP勒索病毒的变种,加密后缀为.djvu。
FB客服
2018/12/28
9740
盘点近几年勒索病毒使用过的工具和漏洞
早前,我们从赎金角度探讨了下勒索病毒的发展演变,详细参考从赎金角度看勒索病毒演变。加密数字货币和Tor网络对勒索病毒的基础性支撑不再赘述,今天,我们回归技术,从另外一个角度,看勒索病毒为何会如此猖獗。为了很好的回答这个问题,我们同样不急于切入主题。首先,深信服安全团队基于大量真实的客户案例及大量的威胁情报信息,来盘点近几年勒索病毒使用过的工具和漏洞。
FB客服
2019/11/29
3.5K0
闲谈勒索攻击 — 趋势、手法、应对
近几年,勒索软件已经逐渐成为了企业面临的主要安全威胁之一,就在Freebuf前段时间发布的文章 2023年度全球勒索赎金排行榜TOP10 可以看到,全球每年因遭受勒索带来的损失达到数十亿美元,那么,作为企业,应该采取哪些手段,来避免遭受勒索病毒攻击呢?
星尘安全
2024/09/24
1520
闲谈勒索攻击 — 趋势、手法、应对
APT29分析报告
APT29是威胁组织,已被归于俄罗斯政府情报组织,APT29至少从2008年开始运作,具有YTTRIUM、The Dukes、Cozy Duke、Cozy Bear、Office Monkeys等别名。主要攻击目标为美国和东欧的一些国家。攻击目的是为了获取国家机密和相关政治利益,包括但不限于政党内机密文件,操控选举等。与APT28,同属于俄罗斯政府的APT28相互独立,但在某种程度上会联合行动。APT29是东欧地区最为活跃的APT组织之一。该APT的许多组件均通过伪造的Intel和AMD数字证书进行签名。
FB客服
2020/02/12
2K0
APT29分析报告
windows命令执行防御规避总结
通过sip劫持对恶意代码签名获得系统信任https://github.com/secretsquirrel/SigThief
drunk_kk
2021/11/12
8340
Petya 勒索软件新变种详细分析报告
摘要总结:本文主要分析了Petya勒索病毒的详细传播途径、感染后的处理措施以及防范方法。本文从Petya勒索病毒的感染机制、传播途径、感染后的处理措施以及防范方法四个方面进行介绍,旨在帮助读者全面了解Petya勒索病毒的相关信息,提高网络安全意识。
腾讯电脑管家
2017/06/30
1.3K0
Petya 勒索软件新变种详细分析报告
利用 RDPWRAP 做 RDP 劫持的威胁检测
这个系列的文章翻译由信安之路红蓝对抗小组的所有成员共同完成,后续将陆续发布,敬请期待!
信安之路
2019/05/28
3.6K0
Petya勒索软件新变种详细分析报告
目录 Petya勒索软件新变种详细分析报告 Petya新变种简介 传播渠道分析 可能传播渠道-邮箱传播 可能传播渠道-MeDoc 详细功能分析 感染过程分析 磁盘加密和勒索细节 安全建议 参考资料 Petya新变种简介 据twitter爆料,乌克兰政府机构遭大规模攻击,其中乌克兰副总理的电脑均遭受攻击,目前腾讯电脑管家已经确认该病毒为Petya勒索病毒变种。Petya勒索病毒变种中毒后会扫描内网的机器,通过永恒之蓝漏洞自传播到内网的机器,达到快速传播的目的。 有国外安全研究人员认为,Petya勒索病毒变种会
FB客服
2018/02/28
6970
Petya勒索软件新变种详细分析报告
虹科技术 | 终端入侵防御 | 在重大攻击中发现新的Babuk勒索软件
11月期间,Morphisec在调查一个客户的防范事件时发现了Babuk勒索软件的一个全新变种。Babuk在2021年初首次被发现,当时它开始针对企业进行双重勒索攻击,以窃取和加密数据。这一年晚些时候,一个威胁者在一个讲俄语的黑客论坛上泄露了Babuk的完整源代码。
虹科网络可视化与安全
2022/12/15
4690
虹科技术 | 终端入侵防御 | 在重大攻击中发现新的Babuk勒索软件
从加勒比海岸到用户设备:Cuba勒索软件详析
充分的了解是打击网络犯罪的最佳武器。了解不同团伙的运作方式及其使用的工具有助于建立有效的防御和取证流程。本报告详细介绍了Cuba组织的历史,以及他们的攻击战术、技术和程序(TTP),旨在帮助组织在类似的威胁面前领先一步。
FB客服
2023/10/07
3680
从加勒比海岸到用户设备:Cuba勒索软件详析
通过命令下载执行恶意代码的几种姿势
在渗透过程中,攻击者往往需要通过命令下载执行恶意代码,实现信息收集、持久化、权限提升、防御绕过、提取凭证、横向移动、数据渗出等操作。
Bypass
2020/08/27
2.3K0
研究传播 Dridex 新变种的 Excel 文档
Dridex也称为 Bugat 或 Cridex,可以从失陷主机上窃取敏感信息并执行恶意模块(DLL)的木马。
FB客服
2021/10/11
1.4K0
起底勒索软件Trigona:扮猪吃老虎,闷声发大财
摘要 一种名为Trigona的新兴勒索软件正在活跃。2022年10月底,安全研究人员首次发现了该勒索软件。依据从在线病毒分析平台VirusTotal获得的Trigona勒索软件的二进制文件、赎金信息,以及Unit 42安全事件响应的结果来看,安全研究人员确认Trigona勒索软件在2022年12月开始活跃,并且成功攻击了至少15名的企业,涉及制造业、金融业、建筑业、农业、市场营销和高科技行业。 Unit 42安全研究人员在2023年1月和2月再次发现了两份新的Trigona勒索通知单。该组织的赎金通
FB客服
2023/04/12
1.4K0
起底勒索软件Trigona:扮猪吃老虎,闷声发大财
无文件落地攻击
所谓的"无文件落地攻击"是指恶意程序文件不直接落地到目标系统的磁盘空间中的一种攻击手法,常用于逃避传统的安全检测机制,本篇文章将就此进行简要介绍几种目前比较流行的无文件落地攻击手法。
Al1ex
2021/07/21
2.1K0
无文件落地攻击
2017年Office漏洞及漏洞攻击研究报告
第一节    引子 微软Office系统软件(Word/Excel/PowerPoint等),一直是电脑上最为常用的办公软件之一,在国内外都拥有大量的用户。另一方面,利用 Office系列软件的漏洞进行网络攻击已经成为黑客惯用的手段,广泛运用于 APT攻击,抓肉鸡,传播勒索病毒等。其中一种典型的攻击方式是“鱼叉攻击”:黑客将包含漏洞的文档伪装成为一个正常的Office 文档,并精心构造文件名,然后投递到用户邮箱,如果用户不小心打开文档,恶意代码便会悄悄执行,用户完全没有感知。 另外,随着新版本的Of
昨天50还没用完
2018/06/29
7990
推荐阅读
相关推荐
第85篇:顶级加密勒索组织LockBit的杀伤链模型与技战法分析(中篇)
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档