Loading [MathJax]/jax/output/CommonHTML/config.js
前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >TellYouThePass勒索病毒入侵手法揭秘

TellYouThePass勒索病毒入侵手法揭秘

作者头像
云鼎实验室
发布于 2024-03-30 06:16:17
发布于 2024-03-30 06:16:17
1.2K0
举报

家族简介

TellYouThePass勒索病毒家族最早于2019年3月出现,其热衷于高危漏洞被披露后的短时间内利用1Day漏洞修补的时间差,对暴露于网络上并存在有漏洞的机器发起攻击。

该家族在2023年下半年开始,不断对国内各类OA、财务及Web系统平台发起多轮攻击,同时针对桌面终端和服务器设备,一举成为2023年国内最流行勒索软件家族之一。

其曾经使用过的代表性漏洞有:“永恒之蓝”系列漏洞、Log4j2漏洞、某友NC漏洞、某蝶EAS漏洞、Apache ActiveMQ(CVE-2023-46604)等。

一旦获取攻击成功进入机器,便会投递勒索病毒实施加密,被加密的文件添加后缀名为“.locked”,要求受害者支付一定数量的比特币才能解密文件。

事件描述

近日,腾讯安全云鼎实验室监测到一起针对某财务管理服务的已知漏洞攻击。

经分析发现,攻击者为TellYouThePass勒索病毒,其利用漏洞获取系统命令执行权限,使用无文件攻击执行hta脚本(http://107.xx.xx.195/update.hta),再进一步投递本地提权模块、EDR致盲模块、勒索载荷。

该hta文件于3月21日首次提交,目前已无法从攻击者服务器直接下载。

通过该样本中提取的比特币钱包地址交易记录显示,截止3月27已收获5笔赎金,近9万元。

攻击流程分析

攻击者利用漏洞,获取暴露在公网Web应用服务器的命令执行权限后,通过无文件攻击执行远程恶意脚本,该脚本通过反射加载内置的Mono/.Net字节码,执行核心攻击模块。

EfsPotato.Mshta核心模块集成了一系列[.*]Potato开源提权模块,和一款名为RealBlindingEDR的开源EDR致盲模块。

整个攻击链路中,所有需要释放文件落盘的环节都有白文件、动态加解密等检测对抗行为,所有模块都通过反射加载、系统进程内存注入等方式运行,可谓对抗性十足。

样本技术分析

样本执行的过程中会不断与攻击者服务器进行通信、并报告当前所处的执行阶段,如下流量截图所示:

红框处是通信代码,含义如下:

willenc-efs:EfsPotato本地提权成功

willenc-bild1:释放EDR致盲模块echo_driver.sys

willenc-bild3:释放EDR致盲模块wnBio.sys

willenc-enc:释放加密勒索模块、勒索模块解密程序

无文件攻击

整个攻击链起始于一个名为update.hta的恶意脚本,使用Windows内置的mshta.exe(Windows Microsoft HTML Application)执行,恶意脚本不落盘。

该脚本内嵌入一个经过base64编码并序列化的.Net字节码,通过反射加载的方式运行EfsPotato.Mshta攻击模块。

本地提权攻击

EfsPotato提权,若成功,发送路径包含willenc-efs的报文。

EDR致盲攻击

攻击者提权成功后,开始对终端设备上可能存在的EDR安全设备进行致盲,使用开源项目RealBlindingEDR的能力。

具体而言,该项目删除以下6大内核函数注册的回调使EDR失去相关能力:CmRegisterCallback、MiniFilter、ObRegisterCallbacks、PsSetCreateProcessNotifyRoutine(Ex)、PsSetCreateThreadNotifyRoutine(Ex)、PsSetLoadImageNotifyRoutine(Ex)。

首先恶意程序要落盘EDR致盲主程序所需要使用的2个.sys文件,这里的trick点是将PE头中的校验和字段随机化。

这能使得尚未关闭的EDR无法通过标记原项目内sys文件hash的方式,查杀掉即将落盘的sys文件,同时这个修改不影响其携带的合法数字签名,一举两得。

接下来执行loadAsmBin,这里有一个很好的伪装,假装调用合法系统程序rundll32.exe的能力执行DLL,实际上是在rundll32.exe进程的上下文中内注入了exe程序代码,随后创建线程执行代码。

相当于loadAsmBin函数实现了,通过rundll32.exe执行任意代码,规避安全软件的检测。

loadAsmBin函数的关键步骤如下:

1、创建一个新的字节数组 destinationArray,并将随机数据(buffer)和传入的恶意代码(asm)复制到这个数组中。这可能是为了混淆或者避免某些安全检测。

2、使用 CreatePipe创建一个管道,用于重定向 rundll32.exe的标准输出。

3、使用 CreateProcess启动 rundll32.exe 进程。这里传入了 commandLine 参数,它包含了rundll32.exe的路径和要执行的命令行参数(在这个例子中是 "rundll32.exe path 1 clear")。

4、使用 VirtualAllocEx在新创建的rundll32.exe进程的地址空间中分配内存,并将其权限设置为可执行、可读写。

5、使用 WriteProcessMemory将asm中的恶意代码写入到刚刚分配的内存中。

6、使用 CreateRemoteThread在 rundll32.exe进程中创建一个新线程,该线程的起始地址设置为asm代码在目标进程内存中的地址。

到这里,rundll32.exe运行后执行其线程内的EDR致盲主程序,加载已落盘的sys文件:

EDR致盲主程序如下:

勒索模块攻击

EDR致盲操作结束后,攻击者为保险起见,仍然采用进程内动态执行的方式执行勒索模块。

同时将不得不落盘一次的勒索载荷进行加密落盘,用另一个不会引起安全报警的程序将勒索模块在内存中解密,然后动态加载执行。

解密器进行勒索模块解密,随后在内存中加载执行:

勒索模块内置了受害者标识、攻击者比特币钱包地址、勒索数额、勒索信文件名等:

勒索模块生成密钥对,并进行文件加密:

解决方案

官方已经发布漏洞公告(KDPSIRT-2023-00015)和最新相关补丁,受影响的用户须及时更新最新补丁:

https://vip.kingdee.com/article/388994085484889344?lang=zh-CN&productLineId=1&isKnowledge=2

安全验证规则

腾讯安全验证服务(BAS) 已支持针对该勒索家族的高危Web漏洞利用验证、无文件攻击验证、进程注入验证、多时期真实样本落盘验证、文件加密行为模拟等能力。

腾讯安全验证服务(BAS)勒索防护专项,从攻击入侵->载荷植入->行为模拟的全链路真实还原和模拟勒索攻击实施过程中的关键特征行为,有效验证安全防护设备或策略的有效性。

关于安全验证服务(BAS)

腾讯安全验证服务(BAS)提供自动化的安全防御有效性验证,是腾讯安全服务体系里的一项关键能力。

能够帮助企业持续评估安全防御体系,发现防御弱点,优化策略配置,规划安全投入,提升安全水位。

目前已服务金融、交通、制造、互联网等多个行业用户。更多内容,可点击链接了解详情:https://cloud.tencent.com/product/bas

END

更多精彩内容点击下方扫码关注哦~

云鼎实验室视频号

一分钟走进趣味科技

-扫码关注我们-

关注云鼎实验室,获取更多安全情报

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2024-03-29,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 云鼎实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
浅谈非PE的攻击技巧
背景 近日,金山毒霸安全中心捕获到一例利用邮件传播的非PE样本,类型为lnk快捷方式文件,执行后会下载勒索病毒,最终会加密用户机器上的文档、图片、视频等重要文件。 引言 攻击者,通过社工(社会工程),
FB客服
2018/03/01
1.8K0
浅谈非PE的攻击技巧
Quantum 构建工具使用新的 TTP 投递 Agent Tesla
Zscaler 的研究人员发现暗网上正在出售名为 Quantum Builder 的构建工具,该工具可以投递 .NET 远控木马 Agent Tesla。与过去的攻击行动相比,本次攻击转向使用 LNK 文件。
FB客服
2022/11/14
1.6K0
Quantum 构建工具使用新的 TTP 投递 Agent Tesla
虹科技术 | 终端入侵防御 | 在重大攻击中发现新的Babuk勒索软件
11月期间,Morphisec在调查一个客户的防范事件时发现了Babuk勒索软件的一个全新变种。Babuk在2021年初首次被发现,当时它开始针对企业进行双重勒索攻击,以窃取和加密数据。这一年晚些时候,一个威胁者在一个讲俄语的黑客论坛上泄露了Babuk的完整源代码。
虹科网络可视化与安全
2022/12/15
4690
虹科技术 | 终端入侵防御 | 在重大攻击中发现新的Babuk勒索软件
无文件落地攻击
所谓的"无文件落地攻击"是指恶意程序文件不直接落地到目标系统的磁盘空间中的一种攻击手法,常用于逃避传统的安全检测机制,本篇文章将就此进行简要介绍几种目前比较流行的无文件落地攻击手法。
Al1ex
2021/07/21
2.1K0
无文件落地攻击
以点破面-探究勒索病毒常见攻击手法
最近老是遇到勒索病毒类事件,基于这种情况,在网上查找大量资料,深入学习一下勒索病毒。
亿人安全
2024/06/17
4940
以点破面-探究勒索病毒常见攻击手法
针对APT攻击的终端安全系统大规模评估
高级持续性威胁(APT,Advanced Persistent Threat)对蓝队来说是一项重大挑战,因为攻击者会长时间应用各种攻击,阻碍事件关联和检测。 在这项工作中利用各种不同的攻击场景来评估终端检测与响应系统(EDR,Endpoint Detection and Response)和其他安全解决方案在检测和预防 APT 方面的功效。 结果表明,由于最先进的终端安全系统无法预防和记录这项工作中报告的大部分攻击,因此仍有很大的改进空间。 此外,还讨论了篡改 EDR 遥测提供者的方法,从而允许攻击者进行更隐蔽的攻击。
CDra90n
2023/03/11
3.7K0
针对APT攻击的终端安全系统大规模评估
从加勒比海岸到用户设备:Cuba勒索软件详析
充分的了解是打击网络犯罪的最佳武器。了解不同团伙的运作方式及其使用的工具有助于建立有效的防御和取证流程。本报告详细介绍了Cuba组织的历史,以及他们的攻击战术、技术和程序(TTP),旨在帮助组织在类似的威胁面前领先一步。
FB客服
2023/10/07
3660
从加勒比海岸到用户设备:Cuba勒索软件详析
OFFENSIVE LATERAL MOVEMENT 横向移动(译文)
近期看了一篇不错的横向移动的文章,觉得不错就简单翻译了一下(谷歌翻译哈哈哈哈!) 原文地址:https://posts.specterops.io/offensive-lateral-movement-1744ae62b14f
黑白天安全
2021/01/29
4.3K0
OFFENSIVE LATERAL MOVEMENT 横向移动(译文)
黑客入侵加密企业所有服务器,嚣张留言勒索9.5比特币
近日,腾讯御见威胁情报中心接到某公司反馈,公司里数台Windows服务器中了勒索病毒,电脑除了C盘,其他磁盘分区都被整个加密,公司业务已接近停摆。此外,该勒索病毒勒索索要的赎金高达9.5比特币(约40万人民币)。在实际攻击场景中,一次勒索如此高的金额尚属少见。
FB客服
2018/07/30
2.3K0
黑客入侵加密企业所有服务器,嚣张留言勒索9.5比特币
研究传播 Dridex 新变种的 Excel 文档
Dridex也称为 Bugat 或 Cridex,可以从失陷主机上窃取敏感信息并执行恶意模块(DLL)的木马。
FB客服
2021/10/11
1.4K0
【勒索专题】常见勒索病毒种类
勒索病毒是一种极具破坏性、传播性的恶意软件,主要利用多种加密算法加密用户数据,之后勒索用户高额赎金,故而勒索病毒也被称为是当前黑客最有效的"变现"方式 勒索病毒文件在本地运行后会利用本地的互联网访问权限连接至黑客的C2服务器,进而上传本机信息并下载加密公钥,之后利用加密公钥对当前主机中的重要文件进行加密,由于勒索病毒大多使用的加密算法属于非对称加密算法,所以除非是拥有解密私钥的攻击者本人,其他人是几乎不可能解密,加密完成后通常还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金,勒索病毒变种类型非常快,对常规的杀毒软件都具有免疫性,攻击样本以exe、js、wsf、vbe等类型为主,勒索病毒的勒索过程如下:
Al1ex
2023/03/07
6.2K1
【勒索专题】常见勒索病毒种类
Windows/Linux文件下载方式汇总
在渗透过程中,通常会需要向目标主机传送一些文件,来达到权限提升、权限维持等目的,本篇文章主要介绍一些windows和Linux下常用的文件下载方式。
Al1ex
2021/07/21
2.1K0
Windows/Linux文件下载方式汇总
利用 RDPWRAP 做 RDP 劫持的威胁检测
这个系列的文章翻译由信安之路红蓝对抗小组的所有成员共同完成,后续将陆续发布,敬请期待!
信安之路
2019/05/28
3.5K0
盘点近几年勒索病毒使用过的工具和漏洞
早前,我们从赎金角度探讨了下勒索病毒的发展演变,详细参考从赎金角度看勒索病毒演变。加密数字货币和Tor网络对勒索病毒的基础性支撑不再赘述,今天,我们回归技术,从另外一个角度,看勒索病毒为何会如此猖獗。为了很好的回答这个问题,我们同样不急于切入主题。首先,深信服安全团队基于大量真实的客户案例及大量的威胁情报信息,来盘点近几年勒索病毒使用过的工具和漏洞。
FB客服
2019/11/29
3.5K0
APT29分析报告
APT29是威胁组织,已被归于俄罗斯政府情报组织,APT29至少从2008年开始运作,具有YTTRIUM、The Dukes、Cozy Duke、Cozy Bear、Office Monkeys等别名。主要攻击目标为美国和东欧的一些国家。攻击目的是为了获取国家机密和相关政治利益,包括但不限于政党内机密文件,操控选举等。与APT28,同属于俄罗斯政府的APT28相互独立,但在某种程度上会联合行动。APT29是东欧地区最为活跃的APT组织之一。该APT的许多组件均通过伪造的Intel和AMD数字证书进行签名。
FB客服
2020/02/12
2K0
APT29分析报告
闲谈勒索攻击 — 趋势、手法、应对
近几年,勒索软件已经逐渐成为了企业面临的主要安全威胁之一,就在Freebuf前段时间发布的文章 2023年度全球勒索赎金排行榜TOP10 可以看到,全球每年因遭受勒索带来的损失达到数十亿美元,那么,作为企业,应该采取哪些手段,来避免遭受勒索病毒攻击呢?
星尘安全
2024/09/24
1490
闲谈勒索攻击 — 趋势、手法、应对
浅谈无文件攻击
与大多数恶意软件不同,“无文件”攻击并不会在目标计算机的硬盘中留下蛛丝马迹,而是直接将恶意代码写入内存或注册表中。由于没有病毒文件,传统基于文件扫描的防病毒软件很难侦测到它们的存在。然而,“无文件”攻击的定义已经逐渐扩大化,那些需要依靠文件系统的某些功能来实现激活或驻留的恶意软件也已经包括在了“无文件”攻击的范畴中。
德迅云安全--陈琦琦
2024/03/21
3330
第85篇:顶级加密勒索组织LockBit的杀伤链模型与技战法分析(中篇)
大家好,我是ABC_123。在上一篇文章中,我们以钻石模型的方式详细描述了LockBit的攻击者、受害者、基础设施及技术能力,同时讲解了LockBit加密勒索病毒的发展历史、运营模式,初步分析了LockBit的技战法。本期ABC_123继续给大家分析LockBit加密勒索家族的技战法,并给出一个LockBit加密勒索的杀伤链模型。
ABC_123
2024/01/17
9510
第85篇:顶级加密勒索组织LockBit的杀伤链模型与技战法分析(中篇)
windows命令执行防御规避总结
通过sip劫持对恶意代码签名获得系统信任https://github.com/secretsquirrel/SigThief
drunk_kk
2021/11/12
8320
通过命令下载执行恶意代码的几种姿势
在渗透过程中,攻击者往往需要通过命令下载执行恶意代码,实现信息收集、持久化、权限提升、防御绕过、提取凭证、横向移动、数据渗出等操作。
Bypass
2020/08/27
2.3K0
推荐阅读
相关推荐
浅谈非PE的攻击技巧
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档