帮助中心 >  行业资讯 >  工业互联网 >  针对工控的勒索软件Cring样本分析

针对工控的勒索软件Cring样本分析

2021-05-13 15:09:36 2805

一、概述

工业企业网络环境主要由工业控制网络和信息网络组成。通常企业信息网络会接入互联网,因此会受到互联网环境中勒索软件的攻击。如果企业信息网与工业控制网络直接或间接连接,勒索软件可能会通过企业信息网络或摆渡方式传播到工控网络中,从而感染工业控制系统。勒索软件加密计算机磁盘中的文件,就会影响到工业企业中信息系统和工业控制系统的正常运行,最终造成企业企业经济层面和信誉上的损失。所以工业企业应当重视对勒索软件的防护。

近年来,针对工业控制系统的勒索软件增长迅速,其中以Sodinokibi、Ryuk和Maze为首的勒索软件家族最为猖獗。近日,安天CERT发现一起入侵工业控制系统并最终投放勒索软件的攻击事件,此次事件影响了欧洲一些国家的工业企业,其工业控制环境的服务器被加密,导致工控业务系统临时关闭。经过分析,该起攻击事件归属于一个新的勒索软件家族Cring(也被称为Crypt3r,Vjiszy1lo,Ghost,Phantom等)。该勒索软件最早出现于2020年末,使用AES256+RSA8192算法加密受害者的数据,要求支付2个比特币作为赎金才能恢复数据。攻击者利用CVE-2018-13379漏洞进行攻击,一旦获取系统中的访问权限后,会下载Mimikatz和Cobalt Strike进行横向移动和远程控制,最终下载Cring勒索软件并执行。工业控制系统是国家基础设施的重要组成部分,也是工业基础设施的核心,被广泛用于炼油、化工、电力、电网、水厂、交通、水利等领域,其可用性和实时性要求高,系统生命周期长,一旦受到勒索软件的影响,不仅会导致大面积停产,也会产生更广泛的负面社会效应。

二、Cring勒索软件对应的ATT&CK的映射图谱

该勒索软件技术特点分布图:


1.jpg

图 2‑1技术特点对应ATT&CK的映射


具体ATT&CK技术行为描述表:


表 2‑1 ATT&CK技术行为描述表

2.jpg


三、样本分析

1. 样本标签


表3‑1二进制可执行文件

3.jpg


2.攻击流程

攻击者利用FortiGate VPN服务器中的CVE-2018-13379漏洞获取访问工控网络的权限,如未打补丁的FortiGate VPN设备会受到目录遍历攻击,攻击者可以利用该遍历攻击访问FortiGateSSL VPN设备上的系统文件。未经身份验证的攻击者可以通过互联网连接到该设备,从而远程访问文件“sslvpn_websession”,该文件中包含用于访问VPN的用户名和密码(均以明文形式存储)。在攻击者拿到访问VPN的用户名和密码并获取工控网络的第一个系统权限后,会下载Mimikatz工具并使用该工具窃取以前登录的Windows用户的账户凭据 。通过此种方法可以获取到域控管理员的凭据,然后通过该凭据将Cobalt Strike框架的PowerShell脚本分发到其他系统中。PowerShell脚本解密有效载荷为Cobalt Strike Beacon后门,该后门为攻击者提供了对受感染系统的远程控制能力。在获得对受感染系统的控制后,攻击者使用cmd脚本将Cring勒索软件下载到系统中,并使用PowerShell启动加密整个系统。


4.jpg

图 3‑1攻击流程


3. 样本分析

该样本首先会使用名为“kill.bat”的批处理脚本执行一系列系统命令,其中包括暂停BMR Boot和NetBackup BMR服务,配置SQLTELEMETRY和SQLWriter等服务为禁用状态,结束mspub.exe、mydesktopqos.exe和mydesktopservice.exe进程,删除特定扩展名的备份文件,并且如果文件和文件夹的名称以“Backup”或“backup”开头,则还会删除位于驱动器根文件夹中的文件和文件夹,该脚本在执行后会删除自身。


5.jpg

图 3‑2 kill.bat文件


表3‑2结束相关进程和服务

6.jpg


样本检测带参数执行,如未带参数执行,则执行完kill.bat后退出。如带参数“cc”执行,则开始全盘遍历文件并加密,最后释放勒索信并使用批处理脚本删除自身。

7.jpg

图 3‑3样本带参数执行

加密以下扩展名文件:

.vhdx、.ndf、.wk、.xlsx、.txt、.doc、.xls、.mdb、.mdf、.sql、.bak、.ora.pdf、.ppt、.dbf、.zip、.rar  、.aspx、.php 、.jsp、.bkf、.csv。全盘遍历目录获取文件。


8.jpg

图 3‑4全盘遍历


使用AES算法加密受害者系统上的文件。


9.jpg

图 3‑5 AES算法加密文件


使用RSA公钥加密AES私钥。


10.jpg

图 3‑6加密文件


RSA公钥大小为8192位,具体公钥值如下。


11.jpg

图 3‑7 RSA公钥


被加密的文件会在原文件名后追加后缀".cring"。


12.jpg

图 3‑8追加后缀名


创建名为“deReadMe!!!.txt”的勒索信,大致内容为需要支付2个比特币才能解密文件,攻击者在勒索信中还提供了邮箱作为联系的唯一手段。


13.jpg

图 3‑9创建勒索信


勒索后使用名为“killme.bat”批处理文件删除自身。


14.jpg

图 3‑10删除自身


四、IoCs

MD5c5d712f82d5d37bb284acd4468ab3533(Cring可执行程序)

317098d8e21fa4e52c1162fb24ba10ae(Cring可执行程序)

44d5c28b36807c69104969f5fed6f63f(downloader脚本)


提交成功!非常感谢您的反馈,我们会继续努力做到更好!

这条文档是否有帮助解决问题?

非常抱歉未能帮助到您。为了给您提供更好的服务,我们很需要您进一步的反馈信息:

在文档使用中是否遇到以下问题: