趨勢科技發現了一起RA World攻擊瞄準了拉丁美洲地區的多家醫療機構,該攻擊採用多重階段元件來確保其行動能順利執行並造成最大衝擊。本文透過實際被入侵的經驗來了解RA World多重階段攻擊的程序,然後分析其特性來制訂資安建議與有效的解決辦法。
趨勢科技發現了一起RA World勒索病毒攻擊使用了多重階段元件來確保能造成最大衝擊。
RA World勒索病毒(原名RA Group)自2023年4月首度現身以來已在世界各地成功入侵了多家機構。儘管駭客集團的攻擊範圍頗大,許多攻擊目標都集中在美國境內,少數分布在其他國家,如德國、印度和台灣。在產業方面,該集團主要瞄準醫療與金融機構,如圖1、圖2所示。
圖1 RA World勒索病毒的受害產業(根據該集團的資料外洩網站)。
圖2 RA World勒索病毒的受害國家(根據該集團的資料外洩網站)。
此外,還發現了一起RA World攻擊瞄準了拉丁美洲地區的多家醫療機構,該攻擊採用多重階段元件來確保其行動能順利執行並造成最大衝擊。RA World多重階段攻擊的程序如圖3所示,接著分別加以說明。
圖3 RA World攻擊程序。
突破防線
RA World一開始會透過已遭入侵的網域控制器來進入受害機構,然後將惡意元件植入SYSVOL共用資料夾以方便群組原則物件(Group Policy Object,簡稱GPO)使用。
提升權限
接下來,RA World將提升權限。
修改群組原則
根據趨勢科技內部監測資料顯示,駭客使用PowerShell在網路內部執行Stage1.exe程式,這顯示群組原則(Group Policy)的設定應該已經被修改成允許PowerShell腳本執行:
$systemdir$\WindowsPowerShell\v1.0\ powershell.exe \\ \ SYSVOL\\Policies\\ MACHINE\Microsoft\Stage1.exe
由於惡意程式是植入到群組原則機制當中,因此很可能駭客已經篡改了群組原則設定或腳本來散播惡意檔案。如此一來,就能趁著群組原則套用到目標電腦時執行惡意程式,所以網域上可能會有多台電腦受害。
橫向移動
然後,RA World會進行橫向移動。
橫向工具傳輸
Stage1.exe會先列出當前網域的所有網域控制器,再檢查當前的網域名稱,並逐一查看每一台網域控制器,若滿足特定條件就停止(圖4)。
圖4 Stage1.exe先檢查是否滿足某些條件之後再繼續往下執行。
這些條件包括檢查網域控制器名稱的第一部分是否為本機電腦的主機名稱。此外,Stage1.exe還會檢查Finish.exe和Exclude.exe這兩個檔案是否存在於「%WINDIR%\Help」目錄當中。若Finish.exe存在,代表該電腦之前已經遭到入侵,若Exclude.exe存在,則代表該電腦可能已被排除在外。
在初步檢查之後,勒索病毒接著檢查Stage2.exe是否存在於本機電腦的「%WINDIR%\Help」目錄中。若不存在,就會將pay.txt和Stage2.exe從程式寫死的SYSVOL路徑複製到本機電腦(圖5),接著執行Stage2.exe。
圖5 Stage1.exe將惡意檔案複製到本機電腦。
從這段分析可以看出這是一起針對性攻擊,因為其二進位檔案含有寫死的公司網域名稱與SYSVOL路徑。同時也可看到,惡意檔案一開始就存在於某台已遭入侵的電腦,然後再透過群組原則在其他電腦上執行,所以顯然這是一起多重階段攻擊,其目的是要入侵目標網路內的多台電腦。
Stage2.exe負責植入勒索病毒檔案。與stage1.exe一樣,它的程式內部也含有目標企業網域名稱的字串(圖6)。
圖6 Stage2.exe程式內部有個「args」變數記載著目標企業的名稱。
常駐
再來,該惡意程式將進行常駐動作。
建立或修改系統處理程序(Windows服務)
此程式一開始會評估系統是否在安全模式中執行。若不是,就會執行類似Exclude.exe和Finish.exe的檢查程序。接著,它會建立一個新的服務,名為「MSOfficeRunOncelsls」,並且設定讓Stage2.exe以服務方式在安全模式(含網路功能)下執行。
躲避防禦
然後,進行躲避防禦動作。
降低防禦(以安全模式開機)並修改系統登錄
首先,建立一個服務並新增系統登錄機碼來進入安全模式(圖7)。
圖7 建立一個服務並新增系統登錄機碼來進入安全模式。
此外,它還會設定開機設定資料(Boot Configuration Data,BCD)來啟用安全模式(含網路功能),接著重新開機來進入該模式(圖8)。
圖8 啟用安全模式。
如果電腦已經進入安全模式,Stage2.exe同樣還是會檢查Exclude.exe和Finish.exe是否「不存在」於系統上。
接下來,它會使用Base64和AES演算法解開pay.txt的內容並寫入Stage3.exe,這就是勒索病毒的惡意檔案(圖9)。
圖9 解開勒索病毒的惡意檔案。
清除痕跡(刪除檔案)
當勒索病毒惡意檔案執行完成後,它會進行一些清除的工作,此時會刪除惡意程式的殘留痕跡,並建立系統登錄機碼,如圖10所示。
圖10 負責清除工作的程式碼。
造成衝擊
RA World勒索病毒一旦入侵得逞,將會造成以下的衝擊。
將資料加密造成衝擊
最後,它會部署RA World勒索病毒的惡意檔案(Stage3.exe)。這個勒索病毒使用了外流的Babuk原始程式碼,會在系統植入Finish.exe這個文字檔,裡面只有「Hello, World」這串字。此外,還會建立一個名為「For whom the bell tolls, it tolls for thee」的mutex。它在先前版本中使用的是與Babuk勒索病毒相同的mutex名稱。
在勒索訊息中,駭客也列出了一份近期未支付贖金的受害者名單,藉此製造壓力來逼迫受害者就範,如圖11所示。
圖11 RA World的勒索訊息。
反制防毒軟體技巧
此外,它還會採取以下的反制防毒軟體技巧來躲避追查。
破壞資料
RA World集團還會在系統植入一個名為SD.bat的腳本(圖12),此腳本會試圖清除趨勢科技產品的資料夾。此外,還會使用WMI指令列工具(WMIC)來蒐集磁碟相關的資訊,並留下一份記錄檔(C:\DISKLOG.TXT)。
圖12 SD.bat腳本。
清除痕跡
在刪除了趨勢科技資料夾之後,勒索病毒會將先前從Windows預設開機設定中建立的安全模式(含網路功能)選項移除。
將系統關機/重新開機
最後,它會強迫被入侵的電腦立即重新開機。
資安洞見
儘管Babuk早在2021年就已「退役」,但由於該集團的原始程式碼遭到外流,使得多個新的駭客集團能夠輕鬆進入勒索病毒這個領域,RA World勒索病毒集團就是一例。除了勒索病毒服務(RaaS)的出現之外,像這樣原始碼外洩的案例,也讓勒索病毒集團的進入門檻變低,就連缺乏必要技術能力和知識的網路犯罪集團也能開發自己的勒索病毒家族來經營不法事業。
根據趨勢科技的分析指出,RA World勒索病毒所涉及的案件以及遭到攻擊的醫療機構都是預先經過挑選的,這一點從其使用的元件當中含有受害機構名稱即可證明。
建議與解決方案
企業可考慮採取以下最佳實務原則來盡量減少遭到勒索病毒攻擊的機會:
‧唯有必要的員工才能取得系統管理員的存取權限。
‧定期更新資安產品並定期執行掃描。
‧定期備份重要資料來防範任何可能的損失。
‧在操作電子郵件與網站、下載附件、點選網址以及執行程式時,應小心謹慎。
‧提醒使用者在遇到可疑電子郵件和檔案時應向資安團隊舉報。
‧定期向使用者宣導社交工程詐騙的風險與徵兆。
採用一套多層式資安方法,讓企業強化其系統所有可能的入侵點,包括端點、電子郵件、網站介面以及網路。以下幾個資安解決方案能發掘惡意元件與異常行為,進而提升企業安全:Trend Vision One提供多層式防護與行為偵測來攔截可疑行為和工具,不讓勒索病毒有機會造成破壞,而Trend Micro Apex One可進一步提供自動化威脅偵測及回應,防範無檔案式威脅與勒索病毒等進階攻擊,保障端點安全。
入侵指標資料
如須本文提到的入侵指標完整清單,請至「https://prod-author.we.trendmicro.com/content/dam/trendmicro/global/en/research/24/c/multistage-ra-world-ransomware-uses-anti-av-tactics,-exploits-gpo/ioc-ra-world.txt」。相關的MITRE ATT&CK手法與技巧,可參考表1的說明。
<本文作者:Trend Micro Research 趨勢科技威脅研究中心本文出自趨勢科技資安部落格,是由趨勢科技資安威脅研究員、研發人員及資安專家全年無休協力合作,發掘消費者及商業經營所面臨層出不窮的資安威脅,進行研究分析、分享觀點並提出建議。>