揭秘LIVE勒索软件利用IP-Guard漏洞的技战术

奇安信威胁情报中心观察到一伙较为勤奋的勒索运营商，工作时间主要在周末，可以在物理上绕过安全人员对告警的发现。周六的时候使用一些Nday漏洞进行入侵，全天无休的进行内网信息收集，控制机器数量评估，并在周日晚上控制木马批量投递勒索软件，为了给第二天要上班的受害者一个“惊喜”，攻击者在横向移动所使用的工具主要有Cobalt Strike、fscan、frp、勒索投递包等，攻击手法与护网期间的国内红队有着很高的相似性。

文章最后我们就自己的数据视野来分析IP-Guard漏洞相关活动的整个时间线，揭露了当前高强度的攻防对抗状态。

攻击者第一步收集本机信息、获取账户密码hash、添加用户并尝试RDP远程登录。接着在%UserProfile%目录下投递名为b.exe的Cobalt Strike木马，启动后将shellcode注入到lsass.exe进程中，C2：38.46.8.218:55324，使用CS在相同目录下投递如下文件，攻击者在投递这些工具时被天擎报毒查杀，由于周末无人观察告警信息导致攻击者很快更换了一批免杀的工具继续“工作”。基本的活动操作如下：

       启动fscan开始对同一C段的服务器进行爆破，所用密码为抓取的服务器明文密码和ntml hash，爆破类型涉及RDP、SSH、SMB、MSSQL等。

启动frp开启反向代理。

最后清除系统的ps日志。

攻击者经过爆破发现已经掌握的明文密码和hash已经可以登录同C段的十几台机器，最终在周日晚上选择使用Cobalt Strike批量下发勒索投递包windows_encryptor_471820908140_self_contained.exe，内容未SFX自解压文件执行后会在%UserProfile%目录下释放名为systime.exe的LIVE家族勒索加密程序。

使用的Cobalt Strike的IP反查挂有域名（yangaoqing.com），攻击者在入侵前疑似更换了解析的IP。

上述现象并不是个例，威胁情报中心观察到有多个Web漏洞在安全通告发布后马上就能检测到相应的在野攻击，间隔这么短无非只有两种可能：1、黑产自己通过分析补丁很快找到漏洞所在并加以利用；2、安全研究员通过赏金计划上报当时未公开所知的漏洞，然后立即又卖给了黑产，这种可能性也无法排除。

38.46.8.218:55324

yangaoqing.com