信息來(lái)源:Free Buf
背景
皮爾茲是全球最大的自動(dòng)化設(shè)備生產(chǎn)商之一��,總部位于德國(guó)���,在全球有24家子公司和眾多合作伙伴���,其在中國(guó)的總部位于上海���,并在北京和廣州設(shè)有子公司��,國(guó)內(nèi)業(yè)務(wù)非常廣泛��。
從2019年10月13日起���,由于受到了BitPaymer勒索病毒的攻擊����,該公司在全球范圍內(nèi)的所有服務(wù)器和PC工作站��,包括通信設(shè)施����,都受到了影響。
為預(yù)防起見(jiàn)�����,該公司切斷了所有的網(wǎng)絡(luò)連接��,并阻止外部對(duì)公司網(wǎng)絡(luò)的訪問(wèn)���,同時(shí)Pilz員工花了三天時(shí)間才恢復(fù)電子郵件服務(wù)的訪問(wèn)����,又花了三天才恢復(fù)其國(guó)際電子郵件服務(wù)����,直到21日才恢復(fù)對(duì)產(chǎn)品訂單和交貨系統(tǒng)的訪問(wèn)����。
據(jù)悉其生產(chǎn)能力沒(méi)有收到太大的影響�����,但是其訂單系統(tǒng)無(wú)法正常工作���,無(wú)法提交訂單和檢查客戶狀態(tài),在全球76個(gè)國(guó)家或地區(qū)的所有業(yè)務(wù)都收到了影響���,截止到發(fā)稿為止���,接受訂單信息依然是通過(guò)電子郵件按照順序進(jìn)行人工處理。
鑒于此事件對(duì)工業(yè)界影響較大���,奇安信病毒響應(yīng)中心在對(duì)BitPaymer勒索軟件進(jìn)行分析后�����,結(jié)合以往其背后的團(tuán)伙攻擊事件時(shí)間線進(jìn)行總結(jié)����,同時(shí)對(duì)勒索代碼進(jìn)行簡(jiǎn)單分析�����。
攻擊歷史
把時(shí)間線向后推,這并不是BitPaymer第一次搞出大新聞����,自從2017年被發(fā)現(xiàn)以來(lái)其團(tuán)伙主要針對(duì)大型公司,行業(yè)涉及金融���,農(nóng)業(yè)�����、科技和工控等多個(gè)行業(yè)����。主要攻擊各個(gè)行業(yè)的供應(yīng)鏈解決方案提供商:
2017年通過(guò)RDP爆破的方式攻擊蘇格蘭醫(yī)院��,導(dǎo)致業(yè)務(wù)系統(tǒng)癱瘓��。
2018年通過(guò)Dridex僵尸網(wǎng)絡(luò)攻擊美國(guó)阿拉斯加自治市馬塔努斯卡-蘇西塔納��。導(dǎo)致政府網(wǎng)絡(luò)癱瘓����,打字機(jī)等相關(guān)設(shè)備無(wú)法使用��。
到了2019年�����,從四月份開(kāi)始活躍,一直持續(xù)至今�����,投遞方式依然依賴于Dridex僵尸網(wǎng)絡(luò)����,且這幾起勒索事件發(fā)生的事件都在周末。
四月份時(shí)攻擊美國(guó)最大的飲料供應(yīng)商之一���,亞利桑那飲料公司�����,有數(shù)百臺(tái)服務(wù)器收到了感染�����,同時(shí)還感染了Exchange服務(wù)器導(dǎo)致電子郵件服務(wù)出現(xiàn)了問(wèn)題��,一周之內(nèi)無(wú)法處理客戶訂單�����,只能人工處理�����。
八月份���,該團(tuán)伙還使用Windows版iTunes的Bonjour更新程序中的一處0day漏洞對(duì)某汽車企業(yè)進(jìn)行攻擊���,值得一提的是Bonjour更新器是在系統(tǒng)上進(jìn)行獨(dú)立安裝的,卸載iTunes和iCloud并不會(huì)刪除Bonjour更新器��。該漏洞通過(guò)將包含空格但是未包含引號(hào)的文件路徑植入父路徑����,從而誘騙合法的進(jìn)程來(lái)執(zhí)行BitPaymer勒索軟件,進(jìn)而規(guī)避殺軟檢測(cè)���,目前蘋果已經(jīng)發(fā)布補(bǔ)丁�����。
根據(jù)上述相關(guān)線索����,結(jié)合皮爾磁被勒索的時(shí)間是13號(hào),推測(cè)此次皮爾磁勒索事件的投遞方式極有可能是通過(guò)釣魚郵件釋放Dridex����,成功入侵之后并不會(huì)立即投放勒索病毒���,而是經(jīng)過(guò)一個(gè)長(zhǎng)時(shí)間的偵察階段并竊取域賬號(hào)���,等到周末再投放BitPaymer勒索軟件。
勒索代碼分析
外層loader經(jīng)過(guò)復(fù)雜的混淆����,經(jīng)過(guò)對(duì)多個(gè)樣本進(jìn)行分析,我們發(fā)現(xiàn)該團(tuán)伙應(yīng)該開(kāi)發(fā)了一套自用的混淆框架����,內(nèi)嵌了大量的無(wú)用代碼和無(wú)效函數(shù):
加載BitPaymer:
內(nèi)存加載:
整體執(zhí)行流程如下圖:
一開(kāi)始就會(huì)檢測(cè)C:\\aaa_TouchMeNot_.txt文件是否存在:
aaa_TouchMeNot_.txt是在Windows Defender Emulator虛擬機(jī)中放置的文件,通過(guò)檢測(cè)該文件是否存在來(lái)判斷當(dāng)前運(yùn)行環(huán)境是否在Windows Defender虛擬機(jī)中����,以此來(lái)繞過(guò)Windows Defender的檢測(cè)��。
RC 4算法解密出勒索信和要加密的后綴:
通過(guò)尋找自身名稱中是否含有“:”���,以此來(lái)判斷當(dāng)前是否作為ADS流執(zhí)行
如果不是則將自身復(fù)制到%APPDATA%/隨機(jī)名稱:Bin,創(chuàng)建新進(jìn)程��,該ADS流會(huì)執(zhí)行以下操作:
1���、刪除原始操作����。
2��、將自身從ADS拷貝到%APPDATA%目錄下�����,并隱藏��。
3�����、在臨時(shí)目錄創(chuàng)建一個(gè)BAT文件。
有趣的是��,該樣本還會(huì)通過(guò)HKCR\mscfile\shell\open\command注冊(cè)表鍵值來(lái)繞過(guò)UAC���,實(shí)現(xiàn)持久化���,路上指向上述的BAT文件。
如果該操作未成功����,則退出不加密文件系統(tǒng)�����,調(diào)用以下命令����,刪除卷影:
vssadmin.exe Delete Shadows /All/ Quiet
diskshadow.exe / s%TEMP%\
并加密文件,彈出勒索信�����。
總結(jié)
工業(yè) 4.0 帶動(dòng)制造業(yè)��、流程控制、基礎(chǔ)設(shè)施和不計(jì)其數(shù)的其他工業(yè)控制系統(tǒng)(ICS)取得了巨大進(jìn)步��,但隨之而來(lái)的是針對(duì)這些系統(tǒng)的威脅也在日益上漲��。系統(tǒng)連接程度越高��,風(fēng)險(xiǎn)相對(duì)也越大���。今年早些時(shí)候���,思科宣布收購(gòu)法國(guó)ICS網(wǎng)絡(luò)安全廠商Sentryo,Sentryo是專門為企業(yè)工業(yè)控制系統(tǒng)提供網(wǎng)絡(luò)安全解決方案的���,其業(yè)務(wù)涵蓋能源��、制造����、石油�����、天然氣和運(yùn)輸行業(yè)����。
最近幾年��,工業(yè)安全受到了各個(gè)國(guó)家的重視����,國(guó)外各大廠商如賽門鐵克���,CheckPoint相繼發(fā)布針對(duì)工業(yè)控制系統(tǒng)的安全解決方案�����,在18日開(kāi)幕的2019工業(yè)互聯(lián)網(wǎng)全球峰會(huì)中提出了“感知+互聯(lián)+智能”的未來(lái)工業(yè)化的目標(biāo)和前景����,對(duì)于安全人員來(lái)講這無(wú)疑是巨大的挑戰(zhàn)��。
