標籤: CVE-2018-13379

Play 勒索軟體利用用戶存取惡意網站時的檔案下載形式進入系統,加密勒索軟體猖獗,請加強系統/應用程式更新與資料備份作業!

風險等級: 高度威脅
摘 要: 病毒通告:Play 勒索軟體利用用戶存取惡意網站時的檔案下載形式進入系統,加密勒索軟體猖獗,請加強系統/應用程式更新與資料備份作業!
解決辦法: 若不慎已感染此病毒,建議處理方式如下:
1、阻擋所有外部可疑連線
2、使用密碼將檔案加密
3、不要給予使用者與程式過高的權限來執行工作
4、取消自動撥放 (AutoPlay) 避免在網路上自動執行檔案
5、關閉藍芽與檔案分享功能,如需要則使用權限控管名單 (Access Control List) 或 密碼 (password) 來存取:
6、一旦有電腦被感染,立刻將其隔離
7、如果以上步驟仍無法順利清除病毒,建議您參考以下防毒廠商提供之步驟處理:
https://blog.trendmicro.com.tw/?p=74797
細節描述: 攻擊過程
Play 勒索病毒是使用已遭入侵的合法帳號、或經由未修補的 Fortinet SSL VPN 漏洞來進入受害機構的網路。就像大多數現代化勒索病毒一樣,Play 也會在攻擊時使用一些合法工具,例如,它會使用遠端檔案傳輸工具 WinSCP 來將資料外傳、使用 Windows 工作管理員 (Task Manager) 來傾印 Local Security Authority Server Service (LSASS) 處理程序的記憶體以取得登入憑證。
此外,Play 勒索病毒也使用雙重勒索技巧來威脅受害者。在攻擊時,它會先將資料外傳,然後再植入勒索病毒,並使用 WinRAR 將受害者的檔案壓縮之後上傳到分享網站。勒索病毒的執行檔是透過群組原則物件 (GPO) 散布,然後再透過排程工作、PsExec 或 wmic
來執行。

突破防線
Play 勒索病毒集團通常利用一些在多個平台上重複使用、或是先前已遭入侵、或是經由非法方式取得的合法帳號,其中也包括虛擬私人網路 (VPN) 帳號,而非只有網域或本機帳號。此外,暴露在外的遠端桌面 (RDP) 伺服器也是他們建立灘頭堡的方式之一。另一個 Play
勒索病毒使用的技巧是攻擊 FortiOS 的漏洞: CVE-2018-13379 和 CVE-2020-12812。
CVE-2018-13379 是 FortiOS SSL VPN 網頁入口的一個路徑瀏覽漏洞,可讓未經認證的駭客利用一個特製的 HTTP 資源請求來下載作業系統檔案。至於 CVE-2020-12812 則是 FortiOS SSL VPN 一個認證程序上的漏洞,可讓使用者在修改使用者名稱大小寫的情況下避開 FortiToken 雙重認證。

執行攻擊
Play 勒索病毒的執行檔是透過排程工作和 PsExec 來執行。另一個 Play 使用的技巧是透過群組原則物件 (GPO) 來執行勒索病毒,因為 GPO 可用控制 AD 環境中的使用者與電腦設定。這個 GPO 會在整個 AD 環境套用一個排程工作,此工作會在特定日期和時間執行勒索病毒。
勒索病毒還會利用批次檔來執行 PsExec,這是 Windows 官方疑難排解工具套件「SysInternals」當中的一個工具。此工具可在其他系統上執行處理程序,因此可用來快速散播勒索病毒,並有助於 Play 執行偵查行動。

常駐系統
當 Play 勒索病毒集團利用合法帳號進入企業之後,接下來會繼續利用同樣的帳號在系統內常駐。如果受害系統的遠端桌面協定 (RDP) 被關閉,駭客會先使用「netsh」指令來將它開啟,以便從遠端連線到受害系統。勒索病毒執行檔會下載到網域控制器 (Domain Controller) 的共用資料夾 (NETLOGON 或 SYSVOL),然後再經由排程工作或 PsExec 來將它執行,接下來受害者的檔案就會被加密。

提升權限
Play 勒索病毒使用 Mimikatz 來從記憶體當中擷取高權限的登入憑證。接著,勒索病毒會增加一些帳號到特權群組當中,其中一個群組就是 Domain Administrators (網域系統管理員) 群組。它會利用一個專門用來搜尋權限提升途徑的腳本:Windows Privilege Escalation Awesome Scripts (WinPEAS) 來搜尋系統上的漏洞。

躲避防禦
此勒索病毒會使用 Process Hacker、GMER、IOBit 和 PowerTool
之類的工具來停用惡意程式防護與系統監控軟體。此外,還會使用 Windows 內建的「wevtutil」工具或批次檔來清除自己的足跡,刪除它曾經留下的所有痕跡,例如:Windows 事件記錄或一些惡意檔案。它會使用 PowerShell 或「命令提示字元」來停用 Windows  Defender 的防護功能。Play 勒索病毒使用的 PowerShell 腳本都經過 base64 編碼,就像 Cobalt Strike 信標 (Cobeacon) 或 Empire 代理程式一樣。

存取登入憑證
Play 勒索病毒還會使用 Mimikatz 來擷取登入憑證。此工具會被直接植入目標主機或當成一個模組並使用幕後操縱 (C&C) 工具(如 Empire 或 Cobalt Strike) 來加以執行。我們也發現此勒索病毒會使用 Windows 的工作管理員來傾印 LSASS 處理程序的記憶體。

探索
在探索階段,此勒索病毒會蒐集有關 AD 環境的更多詳細資訊。我們觀察到一些針對遠端系統的 AD 查詢,分別來自不同工具,如:ADFind、Microsoft Nltest 和 Bloodhound。另外,駭客還會蒐集主機名稱、共用資料夾、網域等等的系統資訊。

橫向移動
Play 勒索病毒會使用幾種不同工具在受害機構內橫向移動:
Cobalt Strike SMB 信標是一個可當成 C&C 信標、橫向移動方法,以及下載與執行檔案的工具。
SystemBC 是一個 SOCKS5 代理器殭屍 (proxy bot),這是一個具備 TOR 通訊能力的後門程式,用來提供後門讓駭客進出。
Empire 是一個開放原始碼漏洞攻擊後續工具框架,用來執行 Play 勒索病毒的漏洞攻擊後續活動。
Mimikatz 可用來傾印登入憑證和取得受害網路的網域系統管理員權限,以便執行橫向移動。

資料外傳
Play 勒索病毒在將受害者資料外傳之前,會先將資料切割成多個部分
(而非完整的檔案),這是為了避免資料在網路傳輸時被發現。傳輸時,駭客使用的是 WinSCP 程式,這是一個 Microsoft Windows 適用的 SFTP 用戶端及 FTP 用戶端。此外,駭客也使用 WinRAR 來將檔案壓縮成「.RAR」格式以方便傳輸。同時,我們也找到了一個採用 PHP 撰寫的網頁,專門用來接收駭客外傳的檔案。

衝擊
正如前面提到,勒索病毒在將檔案加密之後,會在檔案名稱末端加上一個「.play」副檔名。同時還會在本機硬碟 (C:) 根目錄產生一個名為「ReadMe.txt」的勒索訊息檔案。在所有研究的案例中,勒索訊息當中都包含一個以下格式的電子郵件地址:[7 個隨機字元]@gmx[.]com
參考資訊: TrendMicro