专家表示,被装有Clop勒索软件的黑客组织攻击的公司通常有几次机会在有效载荷部署之前捕捉到攻击。
Clop勒索软件集团声明狼藉,因其通过MOVEit管理文件传输平台中的三个零日漏洞对公司和政府机构进行广泛攻击。
受影响的数据不断增加,包括投资于加州公务员退休基金(CalPERS)的数百万员工的个人数据,英国广播公司(BBC)和英国航空(British Airways)逾10万名员工的员工信息,美国能源部(US Department of Energy)的敏感数据,以及新斯科舍省公民的个人信息。
网络安全和合规服务公司Exabeam的安全研究主管 Steve Povolny表示,此次攻击的广泛影响充分说明了该组织的技术能力。
他说:“我认为这些大型攻击者,特别是勒索病毒团伙的转变是,他们有充足的资金和资源,有庞大的组织,他们不再只是在GitHub上寻找零日漏洞了。他们发起的都是谨慎、专注、有计划的袭击,其目的是不鸣则已,一鸣惊人。”
由于战术的变化,对于确定任何攻击背后的对手的技术指标一直都很棘手。以下指标为组织提供了一个起点,以调查Clop组是否利用了MOVEit文件传输实用程序中的漏洞并且可能存在于网络中。
▍MOVEit攻击:“Human2”指纹
Clop背后的组织利用了文件传输服务中的许多漏洞,例如1月份的GoAnywhere MFT (CVE-2023-0669),以及5月底和6月初的MOVEit管理的文件传输平台(CVE-2023-34362)。
最初,攻击者使用名称“ human2.aspx ”安装了一个名为 LEMURLOOT 的 Web shell,并使用通过 HTTP 请求发送的命令,并将标头字段设置为“ X-siLock-Comment ”。以下YARA规则,用于检测MOVEit的违规行为。
▍用于检测MOVEit攻击的YARA规则
这种攻击还会在关联的数据库中留下管理帐户,以便持久化——即使Web服务器已经完全重新安装,攻击者也可以恢复他们的攻击。CrowdStrike认为,“activesessions”数据库中Timeout = ‘9999’的会话或User数据库中Permission = ’30’和Deleted = ‘0’的用户可能表明攻击者的活动。
然而,MOVEit攻击的一个特点是,它通常没有留下什么技术指标。漏洞管理公司Rapid7的安全经理Caitlin Condon说,针对MOVEit管理文件传输软件的Clop 攻击取得了巨大成功,而且很难找到攻击迹象,这表明产品供应商需要花费更多的努力,以确保提供合法有用的日志记录。
她说:“这里有很多轨迹——有很多东西可以追踪。通常情况下,为了修复漏洞并根除攻击者的访问,许多公司会彻底清除应用程序,这也会清除证据。”
▍Clop勒索软件的迹象
在攻击过程中的某个时刻,Clop组织可能会部署同名勒索软件。最初,恶意软件是通过网络钓鱼攻击安装的,但越来越多的攻击针对大型组织,通常是针对文件传输或管理软件中新的或最近的漏洞。
通常,该组织使用合法的代码签名证书来逃避安全软件的检测。例如,根据Palo Alto Networks发布的一份技术咨询报告,Clop勒索软件安装程序过去使用的要么是Corsair Software Solution Inc.签发的证书(日期为2021年2月12日星期五),要么是Insite Software Inc.签发的证书(日期为2020年12月25日星期五)。
攻击者还将停止一些系统进程,包括那些属于备份程序和安全解决方案的进程。
执行之后,Clop勒索软件会向受害者的文件附加各种扩展名,包括.clop、.Ciip、.Cllp和.C_L_O_P。理想情况下,公司会希望在点文件被解密之前检测到勒索软件。
网络威胁专家表示,与任何技术指标一样,静态特征的用途有限,因为攻击者通常会自定义他们的方法,作为一种绕过基于固定规则的检测的方法。
▍其他迹象:Truebot和Raspberry Robin
Clop组织的其他常见技术指标是它们用于扩展其获得初始访问的攻击或替代方法的辅助工具。
例如,Truebot下载程序是一个流行的中介有效载荷,它经常导致Clop感染,并与Silence组织相关联。据分析,Truebot经常导致安装Cobalt Strike和/或Grace 下载器恶意软件。对于渗透,通常也会使用一种称为Teleport的自定义工具。
据微软称,Silence使用的是一种通过USB驱动器传播的蠕虫病毒,名为“Raspberry Robin”,有时也通过第三方安装付费服务传播。微软现在将该组织归为Lace Tempest。截至今年4月,微软指出,Raspberry Robin已经在近1000个组织中被近3000台设备使用,Truebot和/或Cobalt Strike也紧随其后,因为Lace Tempest试图入侵更多系统。
微软表示,可以通过使用组策略或注册表设置来防止autorun或插入USB驱动器时执行代码来阻止Raspberry Robin感染。
最后,NCC group旗下FOX-IT安全服务集团的高级威胁情报分析师Mike Stokkel表示,企业应该始终寻找大量数据被窃取的迹象,尤其是那些已知被Clop组织使用的基础设施。
他说:“标准的安全措施已经可以提供帮助,例如,在MOVEit系统或GoAnywhere系统的文件传输应用程序上部署端点检测和响应解决方案,或者使用网络传感器和跟踪出站网络流量也会有所帮助。当你看到600g的数据流出你的网络时,这是相当反常的。”
Clop勒索软件目前被大量利用,此前我们也发现,犯罪团伙FIN7通过部署Clop勒索软件有效载荷来攻击受害者。因此Clop的实力不容小觑,塞讯验证建议企业及时对自身安全体系和安全产品的防御能力进行验证,以确保自己已做好了相应的防御准备。
塞讯模拟攻击库已包含Clop勒索软件的攻击手段,您可以在塞讯安全度量验证平台中搜索关键词“Clop”获取相关攻击模拟实验,从而验证您的安全防御体系是否能够有效应对该组织所使用的各种攻击手法。