事实上,我们是在今年第二季度初的监测中首次遇到SOREBRECT的,它对中东各个组织的系统和网络造成了很大的影响。而在我们提取和分析了SOREBRECT样本之后,发现了它用来加密受害者数据的不寻常技术。当然,它滥用PsExec实用程序的做法也值得注意,SOREBRECT的运营者显然是利用它来使得ransomware具有了代码注入功能。
SOREBRECT所带来的新威胁
虽然文件加密的是SOREBRECT的终端,但事实上能够隐身才是其真正的利器—也就是SOREBRECT的自毁程序。恶意软件在终止其主要二进制文件之前,将代码注入到合法的系统进程(执行加密程序)中。SOREBRECT也会痛选择苦地删除受影响的系统的事件日志和其他可以提供取证信息的东西,例如系统上执行的文件,包括其时间戳(即appcompat / shimcache和prefetch)。这些删除阻止了分析,也阻止了SOREBRECT的活动被追踪。
当我们第一次发现SOREBRECT时,我们观察到一个比较低的分布情况,最初其主要集中在中东国家,如科威特和黎巴嫩。然而,到5月初,我们的传感器在加拿大,中国,克罗地亚,意大利,日本,墨西哥,俄罗斯,台湾和美国等地都检测到了SOREBRECT。受影响的行业包括制造业,科技和电信行业。鉴于ransomware的潜在影响力和盈利能力,如果SOREBRECT在世界其他地区继续扩散,那么作为服务在地下网络犯罪世界中被贩卖也就是理所当然的了。
选择PsExec的原因
SOREBRECT的攻击链涉及到滥用PsExec,它是一个合法的Windows命令行实用程序,可让系统管理员在远程系统上执行命令或运行可执行文件。滥用PsExec来安装SOREBRECT表示管理员凭据已被破坏,或远程计算机暴露或暴力破解。SOREBRECT不是第一个滥用PsExec的, SAMSAM , Petya ,以及它的衍生物, PetrWrap都是如此,而他们多数都是使用PSEXEC到受损的服务器上或端点安装勒索。
SOREBRECT通过恶意部署PsExec并执行代码注入进一步增加了这一点。它将其代码注入Windows的svchost.exe进程,而主要的二进制自毁。这一组合是有效的:一旦部署的ransomware二进制程序完成执行和自我终止,注入的合法Windows服务托管系统进程svchost.exe 就会恢复有效负载(文件加密)的执行。因为SOREBRECT在代码注入后变得Fileless,所以在端点级别采集其二进制样本是有挑战性的。
那么为什么会选择PsExec呢?原因就在于虽然攻击者可以使用远程桌面协议(RDP)和PsExec在受影响的机器中安装SOREBRECT,但其代码注入功能会使攻击更有效。与使用RDP相比,利用PsExec更简单,可以利用SOREBRECT的Fileless和代码注入功能。PsExec可以使攻击者能够运行远程执行的命令,而不是提供和使用整个交互式登录会话,或手动将恶意软件传输到远程计算机,如RDP中。并且在SOREBRECT的情况下,攻击者使用PsExec更有意义,因为一旦执行主二进制文件,svchost.exe进程注入恶意代码仍然可以执行有效负载。
为了覆盖其轨迹,SOREBRECT还会使用wevtutil.exe删除系统的事件日志,并使用vssadmin删除副本。注入恶意代码的svhost.exe进程执行payload来加密本地计算机和网络共享的文件。SOREBRECT使用Tor网络协议将其与命令和控制(C&C)服务器的连接匿名化。
加密网络共享
SOREBRECT也可以通过本地网络扰乱连接到受感染机器的其他计算机的文件。它可以通过扫描网络进行资产发现和枚举打开的共享,比如文件夹,内容或外围设备(即打印机),以便其他人可以通过网络轻松访问。一旦确定了一个活动主机,它会在发现该共享之后启动一个连接。认证将成功,如果它是一个公开的并且已经设置了共享,使得连接到它的任何人都具有对它的读写访问权限,那么共享也将被加密。
如何防范?
鉴于SOREBRECT可能对企业的服务器和终端造成的潜在危害,IT /系统管理员和信息安全专业人员可以采取以下这些最佳做法来防御ransomware:
1、限制用户写入权限。将网络共享暴露给ransomware的一个重要因素是向用户授予完全权限。因此限制它们可以防止ransomware通过网络执行其文件加密例程。查看域中每个用户的权限是一个很好的起点。这需要评估Active Directory中的每个用户帐户/组,并提供必要的权限级别。我们还建议在网络上配置共享文件和文件夹的安全性(例如,不要设置任何人可以轻松访问的文件夹)。
2、限制PsExec的权限。PsExec通常用于企业网络,为系统管理员提供了与远程机器交互的灵活性。然而,正如其创建者所指出的那样,在网络犯罪分子手中,它可以提供一种在远程系统内使用受到侵害的凭据进行界面和横向移动的方式。这将最终使他们能够安装和传播诸如赎金的威胁。限制和保护使用诸如PsExec之类的工具和服务,并提供将其仅运行到真正需要它的管理员帐户的权限,有助于减轻滥用PsExec的威胁。
3、备份文件。网络犯罪分子往往使用重要和个人数据的潜在损失作为恐吓手段来强迫受害者支付赎金。因此公司和个人用户可以备份文件以消除其影响力:至少保留三份副本,其中两个存储在不同的设备中,另一个存储在非现场或安全位置。
4、保持系统和网络更新。确保操作系统,软件和其他应用程序是最新的补丁,阻止威胁将安全漏洞用作系统或网络的门户。这一问题已经被恶意软件(例如 WannaCry, UIWIX和Adylkuzz)所利用。另外在没有补丁的情况下使用虚拟补丁也可以考虑。
5、培养具有网络安全意识的员工队伍,内部培训和宣传有助于提高每个人的安全意识。像其他恶意软件一样,ransomware的入口通常通过电子邮件和恶意的下载或域名。所以组织单位应定期进行培训,确保员工对公司安全政策,程序和最佳做法有深入的了解。
6、部署多层安全机制。随着赎金在威胁形势的成熟,我们只能期望它在攻击方法和目标方面不要继续多样化。ransomware没有很好的利器,这就是为什么企业需要采取深入的防御性方法来安全地采取主动安全机制。数据分类和网络分割有助于减轻暴露时的损害。虽然高级沙箱可以提供隔离和分析未知或可疑文件的方法,但应用程序控制和行为监控也可以防止可疑文件执行并阻止对系统的不必要的修改。