意大利國家電力公司Enel集團,繼6月份遭Snake勒索軟體攻擊,今遭另一勒索軟體加密,被NetWalker勒索1400萬美元

意大利跨國能源公司Enel Group,今年第二次遭到勒索軟體攻擊,這次的幕後黑手是NetWalker勒索軟體,NetWalker背後的駭客要求1400萬美元贖金作為不公開盜來的5 TB數據並提供解密密鑰。Enel集團是歐洲能源領域最大的公司之一,在40個國家/地區擁有6100萬客戶。截至8月10日,它在《Fortune》全球500強中排名第87位,2019年的收入接近900億美元。

這次攻擊之前,Enel集團於6月份,其內部網路受到Snake勒索軟體(也稱為EKANS)的攻擊,但在惡意軟體散播之前就被截獲。

根據資安外媒BleepingComputer, 它們在10月19日取得了Enel 集團被勒索的信件, 如下圖:

勒索信中有包含一個導向http://prnt.sc/ URL的的連結,該連結顯示了被盜的數據。根據檔案夾中員工的姓名,確認攻擊是針對Enel Group的。

另也被發現NetWalker在他們的支援聊天中添加了一條消息,並說“Hello Enel. Don’t be afraid to write us”,確認受害者是Enel Group,如下圖:

根據Netwalker的說法,他們從Enel竊取了大約5 TB的數據,並準備在一周內公開其中的一部分。他們還說,他們將分析每個檔案中的有趣內容,並將發佈在其暗網站上。此策略旨在增加來自受害者公司的壓力並迫使其付款。在許多情況下,這對攻擊者有利。

NetWalker作為一種勒索軟體,於2019年8月首次出現。最初該勒索軟體的名稱為Mailto,但在2019年底更名為NetWalker,我們之前曾報導過NetWalker勒索軟體如何在一小時內攻陷系統,請參考。

最新的 NetWalker 勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5f4d4e6034a4e01f2a0961ff

https://otx.alienvault.com/pulse/5edfd2ca2146e0ec9fd72499

您絕對不能錯過的 – NetWalker 勒索軟體如何在一小時內攻陷系統! 內含最新的 NetWalker 情資和 Mitre Attack 攻擊手法!!

由 The DFIR Report 發佈的”NetWalker Ransomware in 1 Hour”, 報告了 NetWalker 勒索軟體背後的駭客, 整個入侵過程只需約 1 個小時! !  

駭客組織透過 RDP 登錄,嘗試運行 Cobalt Strike Beacon,然後使用 ProcDump 和 Mimikatz 進行記憶體傾印。接下來,他們將 RDP 放在網域控制站前, 駭客會使用 PsExec 在所有加入網域的系統上散播並運行 NetWalker 勒索軟體的有效 payload 。

以下為研究人員針對 NetWalker 勒索軟體的攻擊過程發佈的時間軸:

研究員在攻擊發生時,看到了多個 RDP 登錄,並相信入侵的來源為 198.181.163[.] 103,這可能是 IPVanish 的 VPN。駭客使用 DomainName \ Administrator 帳戶登錄,並迅速放進了c37.ps1 和 c37.exe。而在初始登錄後,c37.ps1 隨即被放入並執行約16分鐘,但它並沒有造成網路流量,這使得研究員懷疑它到底有沒有動作。

這個 Script 看起來像 Virus Total 上分析得到的 Cobalt Strike, 也可能還包含 Windshield 或 SplinterRAT。不過即使經過了 7 天以上,c37.ps1 檢測到惡意的比例也相當低。

再過了幾分鐘,c37.exe 被執行了,它將自身複製到臨時目錄,然後停止。此二進制文件包括 Neshta 以及許多功能,如下所示:

然後 AdFind 與名為 adf.bat 的 script 一同被置入。

從這些 lnk 文件中我們可以看到,它們打開了AdFind 輸出的一些 txt 文件。我們還可以看到 domains.txt 和 ips.log 是在 AdFind 運行幾分鐘後建立的。

運行 AdFind 幾分鐘後,將打開命令列提示,並 Copy & Paste 以下命令或手動 key 入以下命令:

nltest /dclist:

net group “Domain Computers” /DOMAIN

net groups “Enterprise Admins” /domain

net user Administrator

再放入並執行了一個名為 pcr.bat 的 Script

然後再 ping 主機名稱列表, 並將輸出寫入 ips.log, 他們強制使用 IPv4 的參數發送 ping 指令。此 domains.txt 文件很可能來自上述使用 domainlist 參數的 AdFind 命令。

在置入 Mimikatz 的一分鐘後置入 procdump64.exe。然後駭客使用 Procdump 命令來傾印 lsass:

procdump64.exe -ma lsass.exe lsass.dmp

Mimikatz 在大約一分鐘後運行並進行橫向擴充

駭客在傾印憑證後以 RDP 進入網域控制器(DC)。透過 RDP 訪問 DC 後,然後置入了 ip.list.txt,P100119.ps1 和 PsExec。

至此駭客已準備好執行他的目標,他使用 PsExec 以網域管理員的身份在所有系統上掛載共享資料匣,然後使用 PowerShell 執行勒索軟體的 payload。透過以下命令將 NetWalker 佈署到蜜罐中所有連上網路並已加入網域的系統:

C:\psexec.exe @ip-list.txt -d cmd /c “(net use q: /delete /y &; net use q: \\DomainController\DomainName /user:DomainName\administrator ThisWasThePassword &; powershell -ExecutionPolicy ByPass -NoLogo -NoProfile -windowstyle hidden -NoExit -File q:\P100119.ps1”

在 PowerShell 腳本執行後,受害者會獲得以下勒索信:

最新的 NetWalker 勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上: 

https://otx.alienvault.com/pulse/5f4d4e6034a4e01f2a0961ff

Source:

證實 WastedLocker 勒索軟體入侵 Garmin 導致系統中斷, Garmin 的後續處置….??

過了一個週末, 你的 Garmin 裝置可使用了嗎? 就目前網路的反映, 絕大部分的用戶仍然無法連線其Garmin裝置, 雖然 Garmin 未公布這次大規模暫停服務的原因, 但其官方網站釋出更新, 表示系統仍在維護中, 致使部分服務無法正常運作。

針對竣盟科技對Garmin疑受勒索軟體攻擊的報導, 現在有進一步的消息, 上週四的早上, Garmin 員工到達公司打開電腦後得知受駭客團體攻擊, 從截圖中被加密的文件名稱可看到附有 .garminwasted 的副檔名, 證明 Garmin 遭 WastedLocker 勒索軟體加密, 如下圖:

根據 Bleeping Computer 報導, 駭客發的贖金信同樣附有 Garmin 字樣, 如下圖

一張含有 螢幕擷取畫面 的圖片

自動產生的描述

Garmin 受到勒索軟體攻擊,使得系統已中斷服務。同時反映在股票價格波動, 如下圖:

消息來源之一告訴 BleepingComputer,攻擊者要求支付 1000萬美元的贖金, 而 Garmin 是否會支付贖金?目前相信的是他們不會付, 除了不助長駭客集團的歪風外, 更有理由相信是因為WastedLocker 背後駭客團體 Evil Corp 的關係, 根據美國財政部於2019年12月對Evil Corp發佈的制裁,該部門禁止其國民與 Evil Corp 進行任何交易,這可能使得 Garmin 陷於較為棘手的狀況,或者說,Garmin 面臨的現況,也只有自行重建系統這一條路可走了。

WastedLocker 最新的ATT&CK 的攻擊手法和情資在竣盟科技代理的 AlienVault OTX 平台上:

https://otx.alienvault.com/pulse/5f1aef99bb9f93a00956bf79

*****竣盟科技快報歡迎轉載,但請註明出處

三大勒索軟體—Maze, LockBit 和 Ragnar Locker 組成敲詐勒索聯盟 (Extortion Cartel),讓您不容忽視!

三大勒索軟體—Maze, LockBit 和 Ragnar Locker 組成敲詐勒索聯盟 (Extortion Cartel ),讓您不容忽視! 

始於 2019 年 11 月, Maze 勒索軟體的幕後駭客組織將勒索攻擊延伸至公開盜來的數據。他們將拒絕支付贖金的受害組織的數據, 公然地發放在其架設的 ”Maze News” 的網站, 根據Bleeping Computer 的報導,  於 2020 年 6 月 3 日

Maze 證實他們正在與 LockBit 合作,以分享他們的攻擊經驗和數據洩漏 (leak site) 平台。他們還表示,未來幾天還將有另一個勒索軟體組織加入他們的聯盟。

LockBit盜來的數據放在Maze的網站
LockBit 把盜來的數據放在 Maze 的網站

6月8日 “Ransom Leaks “的 Twitter 帳戶通知 Bleeping Computer ,Maze 已添加了 Ragnar Locker 勒索軟體的受害者的數據。

一張含有 螢幕擷取畫面 的圖片

自動產生的描述
Ragnar Locker 把盜來的數據放在 Maze 的網站

Maze 勒索軟體的幕後駭客還採用了 ”cartel” 標籤,標註他們與競爭性勒索軟體組織的合作關係,他們相信透過這種託管和分發受害者被盜數據的合作,會為他們帶來一定程度上互惠互利的結果。

令人好奇的是, 本身擁有自家數據洩漏站點 (Leak Site) 的 Ragnar Locker 能從這種合作帶來什麼好處? 另外, Maze 勒索軟體的駭客是否能透過這種方式得到 LockBit 和 Ragnar Locker 的分潤?

在不同勒索軟體組織之間共享經驗,建議,策略並集中管理數據洩漏平台,將會使駭客們能夠執行更高級別的攻擊,且可能使贖金提高。勒索軟體家族之間的這種”聯盟”合作方式絕對值得我們持續的關注。

https://www.bleepingcomputer.com/news/security/ransomware-gangs-team-up-to-form-extortion-cartel/

https://www.bleepingcomputer.com/news/security/maze-ransomware-adds-ragnar-locker-to-its-extortion-cartel/

Ragnar Locker 的勒索軟體相關情資, 請點擊這裡–>

https://otx.alienvault.com/pulse/5ee0fecd7663ca5837037ea0

*****竣盟科技快報歡迎轉載,但請註明出處。

為什麼在使用傳統特徵碼外, 也要使用關聯規則?

Signature( 特徵碼 )是用來檢測惡意行為值的資安產品。Correlation(關聯)是對事件流的處理,以識別數據量內的重要事件, 讓我們一起看兩者之間的共通和差異:

為什麼在使用傳統特徵碼外, 也要使用關聯規則? 

AT&T Cybersecurity的 Alien Labs團隊負責編寫的關聯規則,並每一天發布威脅情資的更新。當團隊中的研究人員發現新的惡意軟體家族或威脅時,我們總是找最佳方法來保護我們的客戶。

特徵碼是用來檢測已知惡意行為值的資安產品。例如:Snort / Suricata規則,防病毒簽名和YARA規則。

另一方面,關聯是事件流的處理,以便識別大量數據中的重要事件或事件模式。識別這些事件的邏輯在關聯規則中的定義。

關聯規則的好處:

  • 關聯規則是基於行為的,而不是基於特定的指標的,這使它們可以進行長期檢測,即使惡意軟體隨時間發生了變化,也可以識別惡意行為。
  • 它們可以用來映射來自不同數據源的事件,無論事件是來自網路,端點代理還是其他資安產品。這種跨平台功能使用來自不同來源的事件來執行更完整和更靈活的檢測。
  • 使用事件流的能力允許將上下文添加到檢測中,從而可以用來改善警報中反映的信息並有助於事件回應階段。

為了清楚地看到使用這些關聯規則的優勢以及它們通常如何補充傳統規則,我們將看一些示例,例如Baldr偷竊者,Ursnif銀行木馬和ALPC 0-day漏洞,以及如何找到最佳方法。

例子1:惡意軟體版本控制

在第一個例子中,我們將介紹惡意軟體家族如何隨著時間演變,以及行為和配置在版本之間如何變化。在這些情況下,簽章可能會失去其檢測標準並停止觸發警報。一個很好的例子是Baldr惡意軟體,該惡意軟體自2019年1月以來一直存在,並通過不同版本進行了重大修改。

Sophos報告, Baldr vs The World中,您可以在其中找到有關該惡意軟體的大量信息,還可以比較2.x版與3版的區別。如果我們分析一些示例以查看與之相關的網路連接,命令和控制伺服器,我們可以輕鬆地觀察每個版本發行版中引入的差異。

Baldr版本1.xx

Baldr的第一個發現版本是使用簡單的HTTP POST請求,其中包含受害者的信息(包含在URI中)。如您所見,很容易的編寫NIDS特徵碼 , 以檢測網路數據封包。

baldr1.jpg

Baldr版本2.x

在第二版或至少在2.2版及更高版本中,他們更改了先前的請求,使用XOR key對command和控制的通信進行加密。在這裡,我們可以看到最初信標,其中XOR key始終與以“;”定界符分隔的版本一起發送給受害者,使用特徵碼更難以檢測到但仍然是可能的。

baldr_version_2.jpg

Baldr版本3.x

最後,在第三個版本中,通信方法與第二個版本中使用的通信方法非常相似,但它們仍在使用XOR key。但是,他們用“〜;〜”改了分隔符,現在他們還發送了一些配置設置。這些變化迫使我們建立新的特徵碼 。

很明顯地,版本1.xx編寫的網路 特徵碼 ,不適用於版本2.x和3.x,對於2.x和3.x的簽章也會發生相同的情況。這種情況使我們認為,如果有新版本,則不會使用現有 特徵碼 進行檢測,並且每當發布新版本的惡意軟體時,我們都需要繼續研究和創立新的特徵碼 。

baldr_version_3.jpg

取而代之的是,我們可以嘗試觀察惡意軟體從初始攻擊媒介到最終command的所有動作,並控制通信並以關聯事件來建立檢測。根據對惡意軟體家族的研究,攻擊者使用了兩種不同的方法來分發和感染受害者:精心製作的ACE文件(利用WinRAR CVE-2018-20250漏洞)以及針對帶有CVE-2018-0802漏洞的Microsoft Office產品的RTF文檔。 

關聯規則可以幫助我們從初始訪問階段以及受害人系統中執行的操作中檢測到那些攻擊。這是偽相關規則的列表:

  • 從公司外部收到的具有相同發件人,主題或附件名稱的多個電子郵件,發給多個不同的收件人,並且附件的文件擴展名應包含在要監視的文件類型列表中。
  • 由WinRAR可執行文件刪除並執行的文件,尤其是如果該文件被刪除到用戶可寫文件夾中,或者壓縮文件來自電子郵件或瀏覽器下載。
  • 由Microsoft Office產品刪除並執行的文件,尤其是如果該文件被刪除到用戶可寫文件夾中,或者該文檔來自電子郵件或瀏覽器下載。

子2:具有許多指標的惡意軟體

有時,很難檢測到惡意軟體家族,因為它不使用HTTP進行信標,通信被隱藏或其他情況。當您無法檢測到通信時,一種常見的方法是跟踪所有惡意基礎結構以不斷更新指標,從而使其非常耗時且效率低下。Ursnif惡意軟體就是這種情況,這是一種銀行木馬,試圖竊取用戶信息,例如帳戶憑據。如果我們查看該惡意軟體的現有簽章,則會發現大量的NIDS 特徵碼 和YARA規則,它們試圖檢測樣本中存在的某些危害指標。

ursnif.jpg

另一方面,關聯規則可用於檢測行為中的惡意模式,並從上面討論的優點中受益。以下關聯規則可以檢測到Ursnif惡意軟體,而無需在出現新指標時進行更新或建立新特徵碼 。

  • 從外部公司收到的具有相同發件人,主題或附件名稱的多個電子郵件,發給多個不同的收件人,並且附件的文件擴展名應包含在要監視的文件類型列表中。(與第一個示例相同)
  • Microsoft Office應用程式建立一連串的可疑過程。
  • 一個合理的系統進程名由一個錯誤的父級進程建立(explorer.exe)。
  • 添加了具有自動啟動功能的註冊表項。
  • 刪除的文件帶有可疑的雙擴展名。

例子3:沒有現有特徵的新惡意軟體或攻擊

關聯規則優點的是,當新的惡意軟體或攻擊開始出現且沒有 特徵碼 可檢測到時,便會出現這種情況。在這些情況下,尋找關聯的常規規則,以查找通常不會在系統中發生的可疑行為即可。

為了解釋此例子,我們將討論影響Microsoft Windows系統的ALPC 0-day漏洞。此漏洞已公開發布,沒有任何補丁,許多系統都容易受到此漏洞的影響。由於這是本地特權升級(LPE),並且只有概念驗證(PoC)可用,因此網路和端點特徵碼不存在並且不足以檢測可能的利用。通過對用於執行特權提升的方法進行快速研究,可以檢測到威脅的關聯規則列表:

  • 從用戶可寫文件夾中刪除並以SYSTEM用戶身份執行的文件。
  • 將硬連結建立到文件並插入Task目錄,然後更改了同一文件的權限。
  • 建立新的可疑計劃任務。

重要事項

我們已經討論了當我們要創建檢測方法時關聯規則提供的好處和優點。但是,還需要考慮一些重要事項:安全性上沒有萬靈藥,最好保守一些,並補充各種方法和技術以提高檢測能力。盡可能使用常規特徵碼和IOC,因為它們的編寫和部署速度很快,並且具有很高的信心。

使用關聯規則的一些弊端是:

  • 如果設計不當,關聯規則很可能會產生誤報,因此您的團隊將需要時間和專業知識來對它們進行及時分類。
  • 花費的時間比特徵碼更多。
  • 僅提供例子是不夠的-您需要了解如何在入侵中使用它們。您需要了解行為並研究來自不同來源的大量事件。

Source: https://cybersecurity.att.com/blogs/labs-research/why-should-you-use-correlation-rules-on-top-of-traditional-signatures?Source=ESSZsPSPR00gensEM&wtExtndSource=20200204210000_attcyber_TWITTER_Business_N%2FA_Evergreen_N%2FA_APS+%E2%80%93+Cybersecurity_20200204_Organic_Brand_N%2FA_N%2FA_N%2FA_Awareness_No_attcyber_tw_

Open Threat Exchange(OTX)的新功能

AT & T Cyber​​security一直在努力持續開發Open Threat ExchangeOTX)平台。 以下是最新消息和下一步的消息

OTX的新功能

AT&T Alien LabsOpen Threat Exchange (OTX)開發團隊一直在努力工作,持續對OTX平台進行的開發。你們可能已經注意到,去年我們增加了一些令人興奮的新功能,使OTX社區對不斷發展的威脅和新出現的威脅有更多的了解。

惡意軟體分析使所有人受益

OTX中最大(也是最新)的新功能是能夠提交到我們的後端AT&T Alien Labs系統中進行分析樣本的功能。(Alien LabsAT&T網路安全的威脅情報部門。)您現在可以上傳文件和URL進行分析,並在幾分鐘之內得到結果,可以通過OTX Portal(如下所示)或以程式通過API進行提交。

a.png

在“ Submit Sample提交樣本”頁面上,您將能夠看到所有提交的內容以及指向結果的鏈接。而且,如果您擔心包含敏感信息的示例,您可使用OTX的交通燈號協議(TLP)將提交的文件和URL設為私有。

Pulse的增強功能

您可以通過單擊按鈕輕鬆地將result indicator 新增到新的Pulse中。實際上,您也可以從任何indicator的詳細信息頁面使用新的“Add to Pulse”按鈕。

b.png

談到Pulse,我們已經將OTX可以自動提取IOC的文件類型添加到列表中,現在也包括PCAP和電子郵件。

newpulse.png

您還可以一次編輯多個indicator,從而使Pulse的建立更加容易。

aa.png

我們還通過針對惡意軟體家族和威脅參與者的自動建議,使Pulse在添加更多詳細信息變得更容易。只需在associated fields(相關領域)進行輸入,OTX將提供建議列表。此外,OTX也會從資源(例如Blog或威脅報告)中識別MITER ATT& CK ID,並將此信息自動添加到Pulse中。

bb.png

CVSS v3嚴重性分數

我們還新增了對CVSS v3的支援,因此您現在可以引用和參考CVSS v2v3嚴重性信息。

cc.png

And more

我們還對Passive DNS data進行了改進,並增加了Linux沙箱對ARMx86x64的支援。

What’s coming next…..

  • 重新設計並增強了文件indicator的詳細信息頁面
  • 改進的IoC搜索功能
  • 能夠從Pulse電子郵件中啟動端點掃描

請持續關注,因為我們還有更多很棒的東西要來!

Source: http://spr.ly/60151EaFN

Alien Labs研究團隊發現了類似StrongPity的新惡意軟體樣本…

 

根據AT&T Alien Labs的研究,研究人員充滿信心並公開報導,表示被稱為StrongPity的對手已經參與了未經報導並持續的惡意軟體活動。

 

研究人員表示,威脅行為者正在使用新的惡意軟體和基礎設施來控制受感染的

機器,並部署惡意版本的WinBox路由器管理軟體,以及其他受信任的WinRAR軟體來破壞目標。

 

StrongPity201610月首次被公開報導,並詳細介紹了2016年中期對比利時和意大利用戶的被攻擊情況。研究人員在Blog中寫道,在這次活動中,StrongPity利用水坑式攻擊來提供惡意版本的WinRARTrueCrypt文件加密軟體的傳送。

 

Strong Pity2017年和2018年再次被報導, 20197月初再次確定了新的惡意樣本與Strong Pity非常相似的。 研究人員表示,這些最新的惡意軟體樣本至今尚未報告。該惡意軟體的版本安裝了StrongPity,沒有任何明顯的跡象在受害者的主機,然後就像可信任軟體的標準一樣運行。”

 

雖然研究人員無法確定有關惡意安裝程式的具體細節,但他們指出,“以前在StrongPity報告中記錄的方法很可能仍在發生,例如從ISP 重定向的區域下載。根據用作安裝程式的軟體類型(WinRARWinBoxIDM等),目標類型可能繼續以技術為導向,再次類似於過去的報告。相信Alien Labs的評估和披露會促使該惡意軟體的背後組織在策略上發生變化。

 

Source: ow.ly/yFjw50v5ewB