记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

恶意软件“ONI“(鬼)分析报告:针对日企的APT攻击工具,究竟是勒索软件,还是擦除工具?

2017-11-02 06:25

背景介绍

最近几个月以来,Cybereason的安全研究人员一直在跟踪一个名为ONI(“鬼”)的勒索软件家族的活动,它参与了一系列针对日本企业的网络攻击活动。研究人员怀疑ONI勒索软件以擦除(雨刷)行为作为掩护,故意混淆其复杂的攻击意图。这些有针对性的攻击已经持续了3~9个月,它们试图加密数百台受感染的机器。从被破坏的机器上收集到的证据表明,攻击者做了显著的努力试图掩盖他们的行动。

调查过程中,研究人员发现了一个新的绰号为“MBR-ONI”的bootkit勒索软件,它的使用者与ONI勒索软件的使用者是同一伙人,“MBR-ONI”勒索软件基于DiskCrytor(一个合法的磁盘加密工具)开发的,近期内造成了很大影响的“坏兔子”(“Bad Rabbit”)也利用了这一工具。

在本报告中讨论的勒索攻击是针对日本企业的特定攻击,考虑到最近几年全球范围内的勒索/雨刷攻击逐渐兴起,因此,Cybereason将这份研究报告公布出来,希望能对整个安全社区起到一定的帮助。

ONI MBR-ONI

日本的安全社区曾发布过关于ONI的分析文章,尽管有人怀疑它可能被应用于有针对性的攻击,但之后就没有其他进一步的分析了。Cybereason的研究人员能够提供更多ONI与针对日本的网络攻击活动的有关联的上下文。

此外,还发现了MBR-ONI这个bootkit勒索软件,它能够修改MBR、加密磁盘分区。研究人员认为ONI和MBR-ONI来自相同的威胁演员,因为它们是相互配合使用的:有相同的攻击目标,赎金提示中包含了相同的电子邮件地址。

从感染了MBR-ONI的机器上提取的赎金提示的截图

从感染了ONI的机器上提取的赎金提示的截图

解析ONI有针对性的攻击活动

研究人员分析了几个使用ONI勒索软件攻击日本企业(不同行业的)的实例,发现这些攻击活动的手法极为相似,概括起来如下图所示:

 

  1. 渗透载体:鱼叉式网络钓鱼电子邮件,附件为包含恶意代码的Office文档,最终下发Ammyy Admin RAT(远程访问控制工具)。
  2. 侦察、凭据盗窃和横向移动:使用Ammyy Admin RAT和其他黑客工具,攻击者获取内部网络的架构信息,收集登录凭据并横向移动,最终成功渗透包括域控制器(DC)在内的关键资产,实现对目标网络的全面控制。
  3. 焦土政策:通过一个流氓的GPO(组策略)执行日志删除和ONI发布:在攻击的最后阶段,攻击者创建一个流氓的GPO,并在整个组织内推动执行。GPO被设置为持久化的自动运行,会从DC服务器上获取一个批处理脚本,用于清除Windows事件日志,这样做是企图掩盖攻击者的轨道,避免被基于日志的检测系统发现。此外,ONI的二进制文件也DC服务器上复制过来并执行,加密大量的文件。
  4. MBR-ONI用于处理关键资产:ONI用来处理大部分的终端设备,而MBR-ONI 则被用于处理少部分的重要资产,如AD 服务器、文件服务器等,推测MBR-ONI的擦除(雨刷)功能是为了隐藏活动的真实动机。

渗透载体:鱼叉式网络钓鱼下发Ammyy Admin RAT

攻击者的渗透载体包括鱼叉式网络钓鱼邮件,其中包含了一个受密码保护的.zip文档,如下图所示:

一旦受害者提取了.zip文件并打开了文档,就会被引诱启用一个宏,进而通过一个VBScript下载并执行Ammyy Admin RAT,如下图所示:

成功安装Ammyy Admin RAT后,Ammyy Admin 将作为一个服务(拥有SYSTEM权限的)被运行,如下图所示:

这一Ammyy Admin的二进制文件的哈希值(6abfb50b0657e87d8aec594ccc95f2e1b13f355e)在VirusTotal和其他威胁情报引擎上的检测结果是未知, VirusTotal的查询结果如下所示:

最早的记录了Ammyy Admin RAT参与入侵活动的指标可以追溯到2016年12月,直到2017年9月的某些实例中该RAT仍然被使用,这表明攻击活动至少持续了9个月了。

Ammyy Admin是一个合法的远程管理工具,被攻击者劫持并用于恶意活动,有一起针对利用Ammyy Admin的、针对金融机构的攻击活动被认为与Carbanak黑客组织有关。此外,Ammyy Admin还涉及到了一起供应链攻击,在该事件中,攻击者入侵了Ammyy Admin的网站,将官方的安装文件替换成了一个携带了木马程序的RAT版本。

横向运动、接管DC

一旦攻击者在受害者的环境中站稳脚跟,下一步就是入侵关键的资产,包括DC、文件和应用服务器等。攻击者通过共享网络驱动器和其他技术在目标内部网络中横向移动。

攻击者可能利用了NSA泄露的漏洞利用工具EternalBlue,与其他工具联合使用穿透了网络。由于数据损害严重,大量日志被强力擦除,因此无法明确这一猜测的准确性,但是,MS17-010的安全更新发布于2017年3月,受害机器在2017年7月~9月被感染时并未安装这一补丁。检测发现,仍然能够利用SMBv1穿透受感染的网络环境,如下图所示:

据报道,GlobeImposter勒索软件参与了一些有针对性的攻击,活动中利用了EternalBlue及其他NSA泄露的漏洞利用工具。研究发现ONI与GlobeImposter勒索软件的变种共享了很多代码,但尚未确定GlobeImposter勒索软件是否有利用EternalBlue等工具进行传播。

最终,攻击者获得了域管理员权限,并成功地破坏了DC和Active Directory服务器,这意味着攻击者能够完全地控制目标网络。

覆盖轨迹:通过组策略脚本日志删除和分发ONI

使用一个流氓的GPO,攻击者部署“擦除”脚本,目的是从受感染的机器上删除事件和安全日志,并分发ONI勒索软件,这是攻击活动的最后一步。

攻击中,将此组策略脚本设置为自动持久运行,如下图所示:

注册表项:Default Domain Policy

值:\\[REDACTED].local\sysvol\[REDACTED].local\Policies\{REDACTED}\Machine\Script\Startup\test.bat

目的:(1)从DC服务器上拷贝ONI二进制文件;(2)从DC服务器上拷贝名为“clean.bat” / “cleaner.bat”的任务调度脚本文件;(3)任务调度脚本文件执行删除windows事件日志的任务;(4)执行ONI。

操作过程示例如下图所示:

“clean.bat”文件的内容清楚地表明,使用wevtutil命令(参数是“cl”)完成了指定的400多项日志清楚的操作,首尾截图示例如下:

执行test.bat 脚本,大量生成xcopy.exe,用于复制ONI,如下图所示:

从受感染的DC服务器上复制ONI(“srvupd .exe”,有时候还被命名为“oni.exe”),如下图所示:

观察ONI勒索软件

之所以将这个勒索软件命名为ONI,是由于恶意软件向被加密文件增加了.oni的扩展名。

ONI在日语里是 “魔鬼”的意思,它也出现在赎金提示页面的电子邮件地址中。“Oninoy0ru”是“魔鬼之夜”的意思。研究人员观察其他版本的ONI的赎金提示页面虽然使用了不同的电子邮件地址,但用户名中同样包含“ONI”这一字符串。

ONI似乎与GlobalImposter勒索软件的变种共享了代码,示例如下:

ONI勒索软件

SHA-1散列值:b7d33751d118fab6aedabfdf6a4ddf627e6cab02

相似代码的示例

GlobalImposter勒索软件变种

SHA-1散列值:4a850136af93b9918fb4290a2bf665c4f28201d1

相似代码的示例

除了加密受感染机器上的文件外,ONI还可以加密可移动介质和网络驱动器上的文件,如下图所示:

有趣的是,在ONI的PE文件中发现了俄罗斯语言的痕迹,如下图所示:

出现这种情况有三种可能;一是,这是攻击者故意伪造的;二是这个软件是基于俄罗斯的某个程序开发的;三是这款勒索软件的开发者是一个使用俄语的人。

MBR-ONI:引擎盖下

虽然大多数的受感染的机器感染了ONI,只在少数机器上观察到了MBR-ONI,但受MBR-ONI感染的机器都是一些诸如Active Directory服务器之类的经过精心挑选的关键资产。机器感染了MBR-ONI后,会显示同样的赎金界面,包含了与ONI赎金界面相同的内容和相同的ID。关于ID这一点,MBR-ONI与ONI的处理方式是不同的,每台受ONI感染的机器都会生成一个唯一的ID。赎金提示界面的示意图如下所示:

检查被感染机器的MBR,明显可以看到,MBR-ONI修改了原始的MBR,第一个指令包含了熟悉的NOP-NOP-JMP,Diskcryptor工具也是这样的。

GitHub地址:https://github.com/smartinm/diskcryptor/blob/a47ad40d2752894bdf9c7954c3e4fbcef62b68b0/boot/vc2008_src/asm/mbr_boot.asm#L12

进一步分析MBR-ONI,可以证实攻击者是在DiskCryptor程序的基础上进行开发的。根据DiskCryptor的官方介绍可知其是一个 “是一个开源的加密解决方案,可以加密所有磁盘分区,包括系统分区。”

比较MBR-ONI勒索软件和DiskCryptor的代码,相似之处是很明显的,举例如下:

错误代码的字符串可以在DiskCryptor的 GitHub页面上找到:

https://github.com/legiar/diskcryptor/blob/master/boot/boot_load.c

与臭名昭著的擦除工具NotPetya不同,MBR-ONI的代码允许恢复被加密的磁盘,只要向攻击者提供正确的解密密钥。从技术角度来看,可以将这个样本定义为勒索软件而不是擦除工具。也就是说,研究人员怀疑过攻击者从未打算为加密机器提供恢复机制。不过这次活动中,攻击者使用擦除工具似乎只是为了掩盖攻击的痕迹,并很好的隐藏攻击的动机。

最近“坏兔子”勒索软件背后的攻击者也利用了合法的磁盘加密工具DiskCryptor,除此之外,另一款著名的勒索软件Mamba / HDDCryptor也使用了DiskCryptor的开源代码。

上述例子表明合法的磁盘加密工具和恶意软件之间的差别是很细微的。同样的工具,由不同的人、出于不同的目的去使用,结果可能大相径庭。

勒索软件还是擦除工具?

将ONI 和 MBR-ONI区别开来,是因为它们存在几个明显的不同,尽管这些差别产生的原因尚未确定。有足够的证据表明ONI 和 MBR-ONI的行为更像擦除工具,通过永久的摧毁数据以掩盖攻击的痕迹,而不是一个间谍的加密文件的勒索软件。

在这些攻击中,有几点值得注意:

  • 攻击者为什么在同一操作中使用两种不同类型的勒索软件?
  • 为什么攻击者只在几台机器上使用了使用MBR-ONI ,而在大多数机器上都部署了ONI?
  • 为什么感染ONI的机器被分配了独特的ID,而感染MBR-ONI的机器则使用同一个ID?两个勒索程序之间的不一致是很奇怪的。攻击者不太可能明确的区分受感染的机器,这也支持了研究人员推测的“攻击者从未打算恢复加密磁盘分区”的怀疑。
  • 除了勒索软件之外,攻击者还使用一个批处理文件,用于彻底清除460多项Windows事件日志。这种强大的日志擦除操作表明攻击者希望销毁所有可能导致其攻击方法被发现的证据,企图隐藏攻击的动机。
  • 为什么在入侵了3~9个月的时间里,攻击者没有一个确定的赚钱计划?从成本效益的角度来看,攻击者并不能保证在这次漫长的攻击活动结束后一定能得到赎金,尽管他们一直在积极的运作,冒着随时被检测到的风险。

结论

在这篇博客中,谈论了ONI和新发现的MBR-ONI的相关情况,它们都是由同一个黑客组织操控的,揭示了攻击者的手法,并给出了上下文背景,更好的解释了这些所谓的勒索攻击活动背后可能存在的目的。尽管ONI和MBR-ONI都显示除了明显的勒索软件的特征,但依然有充分的证明显示,攻击者可能企图把它们当作擦除工具,而不是单纯的勒索软件。并不能完全排除攻击者背后有经济利益驱动的可能性,但鉴于攻击的性质(有针对性的、破坏性的)及攻击的目标,也应当考虑存在其他动机的可能性。

尽管本文中提到的ONI攻击只针对日本的某些组织,但我们相信攻击活动也揭示了一个全球性的趋势。在有针对性的网络攻击中使用勒索软件,对于整个网络空间的威胁状况而言,这是一种相当罕见的行为。不过,值得强调的是,最近几年,由民族或国家背景的网络犯罪组织在有针对性的网络攻击活动中越来越喜欢使用勒索软件和擦除工具,类似的例子还有:PetWrap、Mamba,、SamSam、NotPetya、Shamoon和Bad Rabbit。

本文还讨论了攻击者如何滥用合法工具(如DiskCryptor 和 Ammyy Admin)更方便的实施恶意行为。这进一步地强调了公开可用的工具和恶意软件之间的细微差别。在许多情况下,结果只取决于操作者的意图。在本文中我们提到了MBR-ONI借用了很多DiskCryptor的代码,这一案例足以证明一个合法的磁盘加密工具,通过简单的代码修改,就可以成勒索软件甚至极具破坏性的擦除工具。

知识来源: www.mottoin.com/106782.html

阅读:133365 | 评论:0 | 标签:安全报告 APT攻击 ONI 勒索软件 擦除工具

想收藏或者和大家分享这篇好文章→复制链接地址

“恶意软件“ONI“(鬼)分析报告:针对日企的APT攻击工具,究竟是勒索软件,还是擦除工具?”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云