随着勒索病毒的猖獗,各种勒索病毒加密技术与防御对抗技术也在不断升级,即使对于有一定防御建设水平的企业来说,勒索病毒带来的损失也不能忽略。为了更好地对抗勒索病毒,我们有必要持续研究其防御削弱对抗技术。本研究主要通过对多个主流勒索病毒家族在进行加密前的防御削弱技术进行深入分析,探讨不同方法来检测防御这类攻击技术,为建立更为强大的勒索病毒防御体系提供参考。
我们将从防御削弱技术进行研究,探讨不同的方法来检测防御削弱技术,包括基于日志分析、行为分析。我们将评估这些方法的有效性和可行性,并提出建议来提高防御能力。通过本研究,我们希望为企业提供更全面、更有效的勒索病毒防御体系建设方案,以便更好地应对勒索病毒攻击带来的风险和威胁。
在ATT&CK框架中,T1562 Impair Defenses 是一种攻击者可能采用的网络入侵技术,旨在破坏目标系统的安全防御措施。这种技术归类于MITRE ATT&CK 框架下的”Impact”(影响)战术类别。破坏安全防御措施使得攻击者更容易进一步实施攻击,同时降低被检测到的风险。
T1562可细分为以下子技术:
-
T1562.001 Disable or Modify Tools(禁用或修改工具):攻击者可能会尝试禁用或修改安全工具,例如防病毒软件、入侵检测系统(IDS)和入侵防御系统(IPS),以避免被检测到。
-
T1562.002 Disable Windows Event Logging (禁用Windows事件日志):攻击者可能会试图禁用事件日志以避免被检测或追踪,主要的手段有清除事件日志、修改事件日志设置、关闭Windows事件日志服务。
-
T1562.003 Impair Command History Logging(损害命令历史日志记录):攻击者可能会损害命令历史日志记录,以隐藏他们在系统上运行的命令。
-
T1562.004 Disable or Modify System Firewall (禁用或修改系统防火墙):攻击者可能会尝试禁用或修改系统防火墙,从而允许未授权的流量进入或离开网络。
-
T1562.006 Indicator Blocking (指标阻断):攻击者可能会尝试阻止收集和分析通常由传感器捕获的指示器或事件。
-
T1562.007 Disable or Modify Cloud Firewall(禁用或修改云防火墙):攻击者可能会尝试禁用或修改云防火墙,使得他们能够更容易地访问云环境中的资源。
-
T1562.008 Disable Cloud Logs(禁用云服务日志):攻击者可能会尝试禁用云服务提供商日志功能,以隐藏他们的活动和避免被检测到。
-
T1562.009 Safe Mode Boot (安全模式启动):攻击者可能会滥用 Windows 安全模式来禁用EDR防御防护能力。在安全模式下启动 Windows 后,第三方安全软件EDR、工具可能无法启动。
-
T1562.010 Downgrade Attack(降级攻击):攻击者可能会降级或使用可能已过时、易受攻击和/或不支持更新的安全控制(如日志记录)的系统功能版本。
-
T1562.011 Spoof Security Alerting(欺骗安全告警):攻击者可能会使用工具产生大量无效的安全告警,提供虚假证据来削弱防御者对恶意活动的意识。
这些攻击手段虽说在”Impact”(影响)阶段,但在大多数情况下被勒索病毒运用在勒索行为发生之前,我们将本文提到的防御削弱技术统称为勒索病毒开始执行勒索行为之前的防御对抗技术,其中包含了:关闭进程(杀毒软件)、关闭服务、关闭防火墙、删除系统备份与还原点、删除系统日志等技术,这些技术能够削弱终端防护防御能力让攻击事件变得难以回溯。
Windows Defender是微软公司开发的一款防病毒软件,它旨在保护Windows操作系统免受病毒、间谍软件、恶意软件和其他威胁的攻击。Windows Defender最初是Windows Vista操作系统中的一个防病毒软件,后来被集成到Windows 7、Windows 8、Windows 8.1和Windows 10中。
在Windows操作系统中,Set-MpPreference是Windows Defender防病毒软件的PowerShell命令之一,用于设置和更改Windows Defender的首选项
2022年DFIR报告中披露了一场勒索病毒的攻击事件,在攻击者投放Conti勒索病毒之前,使用Set-MpPreference命令将Windows Defender的实时监控功能关闭,这对于攻击者实施后续的攻击创造了有利条件。
常用选项:
1.DisableRealtimeMonitoring:禁用实时监控功能
2.DisableBehaviorMonitoring:禁用行为监控功能
Python# 关闭Windows Defender 实时监控功能Set-MpPreference -DisableRealtimeMonitoring $true# 关闭Windows Defender行为监控功能Set-MpPreference -DisableBehaviorMonitoring $true
检测思路:
日志路径:Microsoft-Windows-Windows Defender/Operational
系统事件ID:5001
2021年勒索组织使用Exchange Proxyshell漏洞攻击Exchange,获取权限后为了保证后续所有的攻击行动不被系统自带的Windows Defender拦截,除了禁用Windows Defender以外,还给Windows Defender添加排除项。
使用的攻击命令如下:
PowerShelltry {Set-MpPreference -DisableBehaviorMonitoring 1 -AsJob;Set-MpPreference -SevereThreatDefaultAction Allow -AsJob;Set-MpPreference -DisableRealtimeMonitoring 1 -AsJob;Add-MpPreference -ExclusionPath 'C:Windows' -Force -AsJob} catch {}
关键命令:
PowerShellPowerShell Add-MpPrefenrence -ExclusionPath C:PowerShell Add-MpPrefenrence -ExclusinoExtension ".exe"
检测思路:
日志路径:Microsoft-Windows-Windows Defender/Operational
系统事件ID:5007
通过日志可以清晰的看到执行该操作的PID以及受到影响的注册表项,除了监控日志外,还可以对注册表项进行监控:
Windows卷影副本(Volume Shadow Copy)是Windows操作系统中的一项功能,用于创建文件和文件夹的备份副本。卷影副本技术可以在不停止正在使用的文件和文件夹的情况下创建备份,因此用户可以在备份文件时继续使用计算机。卷影副本技术是通过创建卷的快照来实现的。卷的快照是卷数据的只读副本,它捕获了卷的当前状态,并允许用户访问文件和文件夹以进行备份。使用卷影副本创建的备份文件通常被称为“卷影副本集”(Shadow Copy Set)。
卷影副本技术可以在Windows Server和Windows Client操作系统中使用,并且可以为文件和文件夹创建历史版本,以便在需要时恢复数据。卷影副本还可以与其他备份软件一起使用,以提供更全面的数据保护和灾难恢复解决方案。
在Windows操作系统中,可以使用“卷影副本服务”(Volume Shadow Copy Service,VSS)来管理卷影副本。VSS可以自动创建卷影副本,并且可以与备份软件一起使用,以便在备份期间创建卷影副本,从而保护计算机数据的完整性和可用性。
在勒索病毒的加密行动开始之前,为了保证加密有效、数据不被轻易恢复,会尝试关闭卷影副本服务或者删除卷影副本,通常操作/删除卷影副本快照有很多种方式:
vsadmin.exe
PowerShellvssadmin.exe delete shadows /All /Quietvssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=100MB
wmic.exe
PowerShellwmic shadowcopy delete
Powershell – 实际上也是调用WMI对象
PowerShellGet-WMIObject Win32_Shadowcopy | ForEach-object { $_.Delete(); }Get-WmiObject Win32_ShadowCopy | % { $_.Delete() }Get-WmiObject Win32_ShadowCopy |Remove-WmiObject
Windows API : IVssFileShareSnapshotProvider::DeleteSnapshots
PowerShellHRESULT DeleteSnapshots([in] VSS_ID SourceObjectId,[in] VSS_OBJECT_TYPE eSourceObjectType,[in] BOOL bForceDelete,[out] LONG *plDeletedSnapshots,[out] VSS_ID *pNondeletedSnapshotID);
检测思路:
这些攻击可以通过监控命令行特征来实现告警规则,例如包含“Shadowcopy”和“delete”等,在API层面可以做一些系统更底层的监控和拦截。
防御削弱技术(4):关闭、删除系统还原点
Windows系统还原点是Windows操作系统的一个功能,它允许用户在计算机出现问题时恢复到之前创建的某个时间点的系统状态。当你创建一个还原点时,系统会记录当前的系统配置以及各种系统设置,包括安装的应用程序、驱动程序和系统文件等。如果在之后的某个时间点出现了问题,你可以使用系统还原点将系统恢复到之前的状态,从而解决问题。
勒索病毒执行前可能会通过如下命令禁用系统还原点,保证勒索阶段的成功执行:
PowerShellreg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRestore" /v DisableSR /t REG_DWORD /d 1 /f
除了禁用系统还原点,执行前还会删除系统还原点:
PowerShellGet-ComputerRestorePoint | Delete-ComputerRestorePointDisable-ComputerRestore -Drive "C:"
检测思路:
除了命令行的监控以外,可以监控注册表的操作、计划任务MicrosoftWindowsSystemRestore,该计划任务项SR是系统还原点创建后自动设置的,会定期进行备份,如果任务计划被修改了,说明还原点就失效了。
Windows事件日志为终端安全检测提供了许多丰富的数据,根据Windows事件日志可以还原一个攻击事件的发生过程,正是因为事件日志记录了各种行为,勒索病毒也可能会在勒索前将系统日志服务关闭,在SolarWinds事件发生期间,APT29也使用了防御削弱技术,来阻止系统收集审核日志。
PowerShellauditpol /set /category:"Account Logon" /success:disable /failure:disable
关闭日志服务的方式有很多,这里举例三种常见的攻击方式:
1.使用cmd命令关闭日志服务(管理员权限):
PowerShellsc stop eventlogsc config eventlog start=disabled
2.使用Powershell命令关闭日志服务(管理员权限):
PowerShellSet-Service -Name EventLog -Status Stopped
3.使用wevtutil禁用某个指定日志类型(管理员权限):
Microsoft-Windows-IKE提供程序记录的事件包括IKE的各种操作、连接的建立和断开、密钥的生成和使用、证书的验证和更新等。通过查看这些事件,系统管理员可以了解IKE连接的状态和性能,帮助诊断和解决与VPN相关的问题。RansomEXX勒索软件就是使用了这个手段来禁用Microsoft-Windows-IKE/Operational日志。
PowerShellwevtutil sl "Microsoft-Windows-IKE/Operational" /e:false
检测思路:
针对系统关键服务进行监控,并且可以采用Sysmon相关工具对系统日志进行收集,外发至SEIM平台进行规则分析。
在某些情况下,防火墙可能严格控制了哪些软件可以访问互联网,而勒索病毒会在启动勒索之前,会禁用或修改系统防火墙规则,因为防火墙可以控制哪些软件可以访问互联网,从而阻止勒索软件的通信(数据外发)。对于攻击者来说,禁用或修改防火墙可以使勒索软件能够更轻松地与控制服务器通信,从而更难被检测和清除。
勒索病毒常用的命令如下:
Plaintextnetsh advfirewall set allprofiles state off
其实netsh相关的攻击技术还是挺多的,不止是启用/关闭防火墙,它还可以查看无线连接的凭证、设置端口转发、加载DLL模块执行恶意代码等等。
检测思路:
日志路径:Microsoft-Windows-Windows Firewall With Advanced Security/Firewall
系统事件ID:2003
通过netsh关闭防火墙产生事件ID为2003的日志:
指标阻断(Indicator Blocking),其目的是通过阻止或隐藏安全工具和技术收集的指标数据,来使攻击者在受害系统上保持持久性并尽可能长时间地保持未被发现状态。现有的终端防护产品(EDR)大量采用了ETW(Event Trace for Windows)技术来采集各类事件的实时日志进行分析,ETW是一个高效的内核级别的事件追踪机制,它可以记录系统内核或是应用程序的事件到日志文件。我们可以通过实时获取或是从一个日志文件来解析处理这些事件,之后通过这些事件用来调试程序或是找到程序的性能问题。
ETW特点:
-
使用该技术门槛低,不需要对系统额外配置、稳定性高(Windows Defender/ Process Monitor)
-
监控范围广,包含:文件、注册表、网络、进程、线程、CPU的使用情况
Black Hat 2021 有一个议题,专门演示了如何禁用Process Monitor的事件监控,并且提供了36种方式可以使得攻击事件不被EDR发现。
同时在ATT&CKT1562.006技术介绍中也有提到影响ETW的方法,抽取其中之一方法介绍 —— Patch EtwEventWrite ,系统所有的事件都由EtwEventWrite返回,攻击者只需要Patch Ntdll 的EtwEventWrite函数返回值即可阻止ETW事件的发送。
Hiding Your .NET – ETW演示了如何Patch EtwEventWrite导致EDR无法监测到.NET程序的反射加载执行事件,这对于比较依赖内存执行C#程序的远控工具是一个很不错的对抗技巧。
检测思路/防御思路:
1.监控关于ETW的注册表项:HKLMSYSTEMCurrentControlSetControlWMIAutologgerAUTOLOGGER_NAME{PROVIDER_GUID} (当然这个只是其中一种)
2.对报告中断的情况(日志外发中断、监控服务意外结束等)建立响应机制
本文旨在探讨勒索病毒攻击中常见的防御削弱技术,并提供了多种方法来检测这些技术。这些方法包括基于日志分析和行为分析等技术。在防范勒索病毒攻击方面,企业可以通过学习本文中提到的防御削弱技术和相应的检测方法,以更好地应对勒索病毒攻击带来的风险和威胁。近期,知其安科技已经更新了勒索病毒防御削弱场景、勒索病毒模拟执行场景,能够模拟勒索病毒攻击前、攻击时、攻击后的行为,帮助客户验证勒索病毒的防御能力。
-
T1562: Impair Defenses
-
https://github.com/nsacyber/Event-Forwarding-Guidance/tree/master/Events
-
https://i.blackhat.com/EU-21/Wednesday/EU-21-Teodorescu-Veni-No-Vidi-No-Vici-Attacks-On-ETW-Blind-EDRs.pdf
-
https://thedfirreport.com/2022/04/04/stolen-images-campaign-ends-in-conti-ransomware/
-
https://thedfirreport.com/2021/11/15/exchange-exploit-leads-to-domain-wide-ransomware/
国内安全验证的开创者和领军者
北京知其安科技有限公司创立于2021年8月,是一家致力于技术和产品创新驱动的新一代网络安全企业。创始人聂君是国内安全运营最早的提出者和实践者,被誉为“安全运营四杰”。创始团队具备丰富的甲方安全运营实践经验,拥有二十余项网络安全技术专利,具备优秀的自主创新和研发能力。旗下的“离朱-安全验证”平台,率先在国内提出并推广“安全验证”理念,是国内首个自主创新大规模商业化落地的网络安全能力验证平台,产品已服务逾50家金融、央企、智能制造、互联网等客户,累计PoC测试用户超600家,在行业中获得较好的用户反馈和评价。
客户案例
知其安离朱-安全验证平台已为各大行业如下机构提供安全验证工具和服务:
• 六大行、十二家股份制银行、头部城商行和农信联社,互联网银行等
• Top20 券商中的一半以上,Top10 券商中的 7 家、头部基金公司、头部保险集团
• 大型央企、头部高端制造企业(小米、中兴通讯、大疆创新、长安汽车等)、大型互联网公司(百度、美团、京东、贝壳找房、OPPO、唯品会等)、顺丰集团、科大讯飞 等。
专注安全验证 领航创新赛道
知其安对安全验证领域的关注与实践由来已久,是首个在国内推广和应用落地的安全验证的厂商。
知其安创始人聂君早在2016年的公众号上即发文《金融行业企业安全运营之路》系统性阐述了安全验证实践。
2017年Gartner在报告中首次提出了BAS(入侵与攻击模拟)技术并将其定位为“一种正在崛起的技术”;
2019年聂君推出个人著作《企业安全建设指南:金融行业安全架构与技术实践》中进一步完善了安全验证理念;
直到2023年4月Gartner发布的最新网络安全趋势,其中“安全验证”首次作为安全趋势出现,进一步明确和强化了安全验证的价值和意义。从BAS技术框架的提出,到网络安全验证,真正落地实现了攻击模拟的落地化应用。
昌平区育新企业
(人行)金融网络安全实验室筹建单位
证券期货业网络和数据安全实验室安全合作伙伴
《2022网信自主创新调研报告》突出贡献单位
2023网信自主创新“尖峰榜”金风帆奖
2023网信自主创新“尖峰榜”优秀解决方案奖
……
网络安全初创企业HOT 50
数说安全BAS赛道头位厂商
甲方认可的网络安全创业公司TOP 30
2023年中国网安产业竞争力50强
2023年中国网安产业竞争力成长之星
2023年中国网安产业竞争力潜力之星
《中国数字安全百强报告2023》专精特新百强企业
《中国数字安全百强报告2023》年度创新力十强企业
嘶吼自动化攻击模拟(BAS)领域唯一国产化替代厂商
Gartner《2023年中国网络安全技术成熟度曲线》代表性厂商
安全419「网络安全年度新锐企业」
安全419「安全运营赛道优秀企业」(2022)
……
中国网络空间安全协会会员单位
中国通信标准化协会会员单位
全国信息安全标准化技术委员会
中关村华安关键信息基础设施安全保护联盟
深圳市金融科技协会
中国通信企业协会
UOS主动安全防护计划
……
精彩回顾
|
|
|
|
|
|
|
|
原文始发于微信公众号(知其安科技):技术实践|勒索病毒防御削弱技术对抗研究
