信息來源:Free Buf
背景
皮爾茲是全球最大的自動化設(shè)備生產(chǎn)商之一,總部位于德國,在全球有24家子公司和眾多合作伙伴,其在中國的總部位于上海,并在北京和廣州設(shè)有子公司,國內(nèi)業(yè)務(wù)非常廣泛。
從2019年10月13日起,由于受到了BitPaymer勒索病毒的攻擊,該公司在全球范圍內(nèi)的所有服務(wù)器和PC工作站,包括通信設(shè)施,都受到了影響。
為預(yù)防起見,該公司切斷了所有的網(wǎng)絡(luò)連接,并阻止外部對公司網(wǎng)絡(luò)的訪問,同時(shí)Pilz員工花了三天時(shí)間才恢復(fù)電子郵件服務(wù)的訪問,又花了三天才恢復(fù)其國際電子郵件服務(wù),直到21日才恢復(fù)對產(chǎn)品訂單和交貨系統(tǒng)的訪問。
據(jù)悉其生產(chǎn)能力沒有收到太大的影響,但是其訂單系統(tǒng)無法正常工作,無法提交訂單和檢查客戶狀態(tài),在全球76個(gè)國家或地區(qū)的所有業(yè)務(wù)都收到了影響,截止到發(fā)稿為止,接受訂單信息依然是通過電子郵件按照順序進(jìn)行人工處理。
鑒于此事件對工業(yè)界影響較大,奇安信病毒響應(yīng)中心在對BitPaymer勒索軟件進(jìn)行分析后,結(jié)合以往其背后的團(tuán)伙攻擊事件時(shí)間線進(jìn)行總結(jié),同時(shí)對勒索代碼進(jìn)行簡單分析。
攻擊歷史
把時(shí)間線向后推,這并不是BitPaymer第一次搞出大新聞,自從2017年被發(fā)現(xiàn)以來其團(tuán)伙主要針對大型公司,行業(yè)涉及金融,農(nóng)業(yè)、科技和工控等多個(gè)行業(yè)。主要攻擊各個(gè)行業(yè)的供應(yīng)鏈解決方案提供商:
2017年通過RDP爆破的方式攻擊蘇格蘭醫(yī)院,導(dǎo)致業(yè)務(wù)系統(tǒng)癱瘓。
2018年通過Dridex僵尸網(wǎng)絡(luò)攻擊美國阿拉斯加自治市馬塔努斯卡-蘇西塔納。導(dǎo)致政府網(wǎng)絡(luò)癱瘓,打字機(jī)等相關(guān)設(shè)備無法使用。
到了2019年,從四月份開始活躍,一直持續(xù)至今,投遞方式依然依賴于Dridex僵尸網(wǎng)絡(luò),且這幾起勒索事件發(fā)生的事件都在周末。
四月份時(shí)攻擊美國最大的飲料供應(yīng)商之一,亞利桑那飲料公司,有數(shù)百臺服務(wù)器收到了感染,同時(shí)還感染了Exchange服務(wù)器導(dǎo)致電子郵件服務(wù)出現(xiàn)了問題,一周之內(nèi)無法處理客戶訂單,只能人工處理。
八月份,該團(tuán)伙還使用Windows版iTunes的Bonjour更新程序中的一處0day漏洞對某汽車企業(yè)進(jìn)行攻擊,值得一提的是Bonjour更新器是在系統(tǒng)上進(jìn)行獨(dú)立安裝的,卸載iTunes和iCloud并不會刪除Bonjour更新器。該漏洞通過將包含空格但是未包含引號的文件路徑植入父路徑,從而誘騙合法的進(jìn)程來執(zhí)行BitPaymer勒索軟件,進(jìn)而規(guī)避殺軟檢測,目前蘋果已經(jīng)發(fā)布補(bǔ)丁。
根據(jù)上述相關(guān)線索,結(jié)合皮爾磁被勒索的時(shí)間是13號,推測此次皮爾磁勒索事件的投遞方式極有可能是通過釣魚郵件釋放Dridex,成功入侵之后并不會立即投放勒索病毒,而是經(jīng)過一個(gè)長時(shí)間的偵察階段并竊取域賬號,等到周末再投放BitPaymer勒索軟件。
勒索代碼分析
外層loader經(jīng)過復(fù)雜的混淆,經(jīng)過對多個(gè)樣本進(jìn)行分析,我們發(fā)現(xiàn)該團(tuán)伙應(yīng)該開發(fā)了一套自用的混淆框架,內(nèi)嵌了大量的無用代碼和無效函數(shù):
加載BitPaymer:
內(nèi)存加載:
整體執(zhí)行流程如下圖:
一開始就會檢測C:\\aaa_TouchMeNot_.txt文件是否存在:
aaa_TouchMeNot_.txt是在Windows Defender Emulator虛擬機(jī)中放置的文件,通過檢測該文件是否存在來判斷當(dāng)前運(yùn)行環(huán)境是否在Windows Defender虛擬機(jī)中,以此來繞過Windows Defender的檢測。
RC 4算法解密出勒索信和要加密的后綴:
通過尋找自身名稱中是否含有“:”,以此來判斷當(dāng)前是否作為ADS流執(zhí)行
如果不是則將自身復(fù)制到%APPDATA%/隨機(jī)名稱:Bin,創(chuàng)建新進(jìn)程,該ADS流會執(zhí)行以下操作:
1、刪除原始操作。
2、將自身從ADS拷貝到%APPDATA%目錄下,并隱藏。
3、在臨時(shí)目錄創(chuàng)建一個(gè)BAT文件。
有趣的是,該樣本還會通過HKCR\mscfile\shell\open\command注冊表鍵值來繞過UAC,實(shí)現(xiàn)持久化,路上指向上述的BAT文件。
如果該操作未成功,則退出不加密文件系統(tǒng),調(diào)用以下命令,刪除卷影:
vssadmin.exe Delete Shadows /All/ Quiet
diskshadow.exe / s%TEMP%\
并加密文件,彈出勒索信。
總結(jié)
工業(yè) 4.0 帶動制造業(yè)、流程控制、基礎(chǔ)設(shè)施和不計(jì)其數(shù)的其他工業(yè)控制系統(tǒng)(ICS)取得了巨大進(jìn)步,但隨之而來的是針對這些系統(tǒng)的威脅也在日益上漲。系統(tǒng)連接程度越高,風(fēng)險(xiǎn)相對也越大。今年早些時(shí)候,思科宣布收購法國ICS網(wǎng)絡(luò)安全廠商Sentryo,Sentryo是專門為企業(yè)工業(yè)控制系統(tǒng)提供網(wǎng)絡(luò)安全解決方案的,其業(yè)務(wù)涵蓋能源、制造、石油、天然氣和運(yùn)輸行業(yè)。
最近幾年,工業(yè)安全受到了各個(gè)國家的重視,國外各大廠商如賽門鐵克,CheckPoint相繼發(fā)布針對工業(yè)控制系統(tǒng)的安全解決方案,在18日開幕的2019工業(yè)互聯(lián)網(wǎng)全球峰會中提出了“感知+互聯(lián)+智能”的未來工業(yè)化的目標(biāo)和前景,對于安全人員來講這無疑是巨大的挑戰(zhàn)。