深度分析成功入侵Garmin的WastedLocker勒索軟體 為何會如此刁鑽?

今年5月初首次被揭露WastedLocker,出自惡名昭彰的俄羅斯駭客集團「Evil Group」之手,短短時間內已經造成多家美國企業均遭受此勒索軟體攻擊,受駭企業中也包含美國財星500大的企業;美國資安廠商VMware Carbon Black針對WastedLocker樣本提出分析研究。

由於近期發生的Garmin資安大事件而讓國內注意到WastedLocker這隻勒索軟體的威脅,WastedLocker是在今年5月初首次被揭露,短短時間內已經造成多家美國企業(包括美國財星500大)均遭受此勒索軟體攻擊。

WastedLocker勒索軟體來自於惡名昭彰的俄羅斯駭客集團「Evil Group」之手,美國資安廠商VMware Carbon Black 威脅研究員指出,該組織利用Windows作業系統內建的遠端工具「PsExec」執行多種惡意活動,例如關閉資安應用程式/服務,並啟動WastedLocker勒索軟體。WastedLocker會以受駭的目標企業名稱縮寫並加上字串「wasted」作為加密文件的副檔名,如「Veridian Dynamics」文件會被命名為「.veridianwasted」,並以該名稱後加上「_info」,如「test.doc.veridianwasted_info」,作為加密勒索的贖金記錄。以Garmin事件為例,即可見到被加密的檔案附檔名為「.GARMINWASTED」。

WastedLocker勒索軟體贖金記錄樣本快照。圖片來源:VMware Carbon Black

WastedLocker運作行為剖析

WastedLocker利用Windows內建系統工具具備可執行權限的條件下,藉由alternate data stream(ADS)原生機制寄生在系統工具上執行加密勒索,大致分為以下流程:

  1. 從Windows System32文件夾中隨機選擇一個二進位檔案(EXE或DLL)複製到目錄「%AppData%」,並將該檔案重新命名為沒有副檔名的檔案名稱。
  2. 在名為「bin」的文件中建立alternate data stream(ADS),並將勒索軟體複製到其中。
  3. 惡意軟體將執行以下指令,以將其文件屬性從「隱藏」更改為「顯示」,並在執行完成後將其自身刪除。
  • cmd /c choice /t 10 /d y & attrib -h “C:\Users\[用戶名]\AppData\Roaming\{惡意程式}” & del “C:\Users\[用戶名]\AppData\Roaming\{惡意程式}”
  • cmd /c choice /t 10 /d y & attrib -h “C:\Windows\SysWOW64\{惡意程式}.exe” & del “C:\Windows\SysWOW64\{惡意程式}.exe”
  • cmd /c choice /t 10 /d y & attrib -h “C:\Users\[用戶名]\Desktop\{惡意程式}.exe” & del “C:\Users\[用戶名]\Desktop\{惡意程式}.exe”
  1. 該惡意程式還會將自身複製到System32文件夾,利用exe和icacls.exe來獲取自身的所有權,並使用以下命令重置存取控制列表(ACL)權限:
  • C:\Windows\system32\icacls.exe C:\Windows\system32\{惡意程式}.exe /reset
  • C:\Windows\system32\takeown.exe /F C:\Windows\system32\{惡意程式}.exe
  1. 使用以下指令刪除磁碟區陰影複製(volume shadow copy)以確保無法輕鬆還原所有資料:
  • exe Delete Shadows /All /Quiet

強化威脅可視性,建立新威脅回應機制

從WastedLocker勒索軟體大量利用電腦內建的合法工具執行,以達到「合法掩飾非法」,傳統端點防毒機制幾乎無法即時阻攔攻擊,更別說防毒系統無從產生資安事件紀錄提供至資安監控中心進行威脅分析。

所幸,次世代端點安全防護系統(NGAV)則能夠更精準的偵測與分析這些「非常態的行為模式」,提早反應以中斷或隔離,也能避免內部網路橫向擴散的機會。以VMware Carbon Black Cloud Endpoint Standard的防護機制為例,原廠建議的防護政策至少阻止所有類型的惡意軟體執行已知的「可疑多餘軟體(Potentially unwanted program, PUP)」,並執行VMware Carbon Black Cloud信譽服務雲掃描機制獲得最大收益。

WastedLocker 勒索軟體觸發非常態行為 by Cloud Endpoint Standard。圖片來源:VMware Carbon Black

此外,VMware Carbon Black針對該攻擊提供以下策略建議進行阻擋,但由於各企業單位對於應用程序的路徑會有差異,因此需於確認後進行調整。

處理操作嘗試行動
未知的應用程序或過程執行類似勒索軟件的行為終止執行序
未列出的應用執行類似勒索軟件的行為終止執行序
路徑下的應用程序:
** \ AppData \ Roaming \ *
執行類似勒索軟件的行為終止執行序
路徑中的應用程序:
** \ psexec.exe, ** \ psexesvc.exe
調用不受信任的流程拒絕操作

在實務作業上,建議可先於小範圍部屬以進行評估,並且定義權限來減少誤報,隨後再進行大規模的部署配置。

對於已經確認或疑似遭受WastedLocker的情況,則需要進一步藉由EDR(Endpoint Detection and Protection)強化可視性,即時記錄並分析端點運行的每一個應用行為,結合最新威脅情資,演化出可「預測」最新型態威脅的「視野」,進而回應該威脅;甚者,企業需要進一步的資安專家介入協助,進行ERS緊急應變處理的進階程序,以精確地獵捕出存在的WastedLocker惡意軟體活動。

從下圖WastedLocker Ransomware的攻擊流程圖可清楚發現,除了WastedLocker勒索軟體自身功能外,大量運用Windows內建工具與機制執行包含隱匿攻擊及權限提升等非常態手段。

WastedLocker勒索軟體攻擊流程圖by Cloud Enterprise EDR。圖片來源:VMware Carbon Black

儘速提升資安實力,以因應日益嚴峻的資安威脅

除具備新世代防護工具外,IT資安能力亦需同步提升。國內除政府機關、金融業及重大基礎建設相關產業依據規範或及自身需求等成立專責資安單位外,為數眾多的中小企業多半未配置資安專才,難以應對當前專業駭客組織的威脅。以共享資安專業能力精神成立的資安委外託管服務商(Managed Security Services Provider, MSSP),讓企業以合理的資安投資,立即建立虛擬資安團隊,享有如大型企業般的資安代管能量,即時回應資安威脅。

威脅情資指標(IOC)

97a1e14988672f7381d54e70785994ed45c2efe3da37e07be251a627f25078a7 SHA256 WastedLocker勒索軟體
5cd04805f9753ca08b82e88c27bf5426d1d356bb26b281885573051048911367 SHA256 WastedLocker勒索軟體
887aac61771af200f7e58bf0d02cb96d9befa11deda4e448f0a700ccb186ce9d SHA256 WastedLocker勒索軟體
8897db876553f942b2eb4005f8475a232bafb82a50ca7761a621842e894a3d80 SHA256 WastedLocker勒索軟體
bcdac1a2b67e2b47f8129814dca3bcf7d55404757eb09f1c3103f57da3153ec8 SHA256 WastedLocker勒索軟體
e3bf41de3a7edf556d43b6196652aa036e48a602bb3f7c98af9dae992222a8eb SHA256 WastedLocker勒索軟體
ed0632acb266a4ec3f51dd803c8025bccd654e53c64eb613e203c590897079b3 SHA256 WastedLocker勒索軟體
aa05e7a187ddec2e11fc1c9eafe61408d085b0ab6cd12caeaf531c9dca129772 SHA256 WastedLocker勒索軟體
817704ed2f654929623d9d3e4b71ce0082ef4eadb3fe2d80c726e874dc6952a3 SHA256 WastedLocker勒索軟體
023f1ef0cc2c1e055b05ae1ff5bcc6bf2421003dea227aeb6d70c8a525fa3b82 SHA256 WastedLocker勒索軟體
85f391ecd480711401f6da2f371156f995dd5cff7580f37791e79e62b91fd9eb SHA256 WastedLocker勒索軟體
bceb4f44d73f1a784e0af50e233eb1b4 MD5 WastedLocker勒索軟體
572fea5f025df78f2d316216fbeee52e MD5 WastedLocker勒索軟體
6b20ef8fb494cc6e455220356de298d0 MD5 WastedLocker勒索軟體
ecb00e9a61f99a7d4c90723294986bbc MD5 WastedLocker勒索軟體
0ed2ca539a01cdb86c88a9a1604b2005 MD5 WastedLocker勒索軟體
f67ea8e471e827e4b7b65b65647d1d46 MD5 WastedLocker勒索軟體
edbf07eaca4fff5f2d3f045567a9dc6f MD5 WastedLocker勒索軟體
13e623cdfb75d99ea7e04c6157ca8ae6 MD5 WastedLocker勒索軟體
58ffddb4b62cc757a99d35174a3d084e MD5 WastedLocker勒索軟體
fb95561e8ed7289d015e945ad470e6db MD5 WastedLocker勒索軟體
3208a14c9bad334e331febe00f1e9734 MD5 WastedLocker勒索軟體

參考資料來源

[威脅研究文件] Carbon Black- WastedLocker勒索軟體威脅分析

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416