古老但仍然危险的——通过RDP intrusionMax Heinemeyer，Threat Hunting主管的Dharma勒索软件2020年5月6日星期三执行摘要在过去几周中，大淘客推广，云服务器比较，Darktrace观察到针对面向互联网的系统（如RDP）的攻击有所增加。最初的入侵通常是通过现有的漏洞或被盗的合法凭证进行的。在这篇博文中描述的达摩勒索软件攻击就是这样一个例子例子。旧的威胁可能是有害的——达摩及其变体已经存在了四年。这是一个典型的例子'遗留'勒索软件变形和适应绕过传统防御措施入侵显示出威胁参与者意识到并积极利用COVID-19的迹象情况。在目前COVID-19周围的威胁情况，Darktrace建议密切监视面向internet的系统和关键服务器—跟踪管理凭据，并在快速部署面向internet的系统时仔细考虑安全性基础设施介绍4月中旬，Darktrace检测到一家英国公司遭到有针对性的达尔玛勒索软件攻击。入侵的起始点是通过RDP——这代表了一种非常常见的感染攻击方法，Darktrace在过去几年观察到的更广泛的威胁情况几周。这个博客文章强调了攻击生命周期的每个阶段，并详细介绍了攻击者的技术，工具和程序（TTP）–所有检测黑暗种族。达摩–CrySIS恶意软件家族的一个变种–首次出现在2016年，使用多种入侵载体。它通过将恶意软件伪装成合法软件的安装文件，或通过面向internet的服务器利用开放的RDP连接，以垃圾邮件附件的形式分发其恶意软件。当达尔玛完成对文件的加密后，它会在加密的SMB中放入带有联系人电子邮件地址的勒索通知档案。暗黑种族具有强大的、实时的攻击检测能力-但是，在加密活动之前，用户界面上没有眼睛，并且没有在活动模式下部署自主响应，这些警报仅在勒索软件被释放后被起诉。幸运的是，由于攻击高峰时的人为干预，它无法在组织内传播。然而，暗黑种族的安提瓜在活跃模式下会显著减慢攻击时间线下面的时间线提供了五天内主要攻击阶段的大致概述活动图1： 攻击技术分析的时间表darktrace检测到被攻击的主要设备是面向互联网的RDP服务器（"RDP服务器"）。达尔玛在这里使用了网络级加密：勒索软件活动通过网络协议进行SMB.以下是在这次攻击中触发的所有Darktrace检测的时间顺序概述：Darktrace检测并报告了RDP上发生的每一个异常或可疑事件服务器。图2： 黑暗种族概述4月7日，RDP服务器开始接收来自互联网。开4月7日，RDP服务器开始接收来自internet上罕见IP地址的大量传入连接。这意味着internet上很多通常不连接到该公司的IP地址开始通过RDP进行连接尝试。用于验证的前五个cookie显示源IP位于俄罗斯、荷兰、韩国、美国和德国。它很可能此攻击中使用的RDP凭据在攻击之前已被破坏-通过常见的暴力方法、凭据填充攻击或网络钓鱼。事实上，越来越受欢迎的TTP是在市场上购买RDP凭证并跳到初始访问。已尝试权限升级第二天，恶意行为体滥用SMB版本1协议，该协议以提供未经验证的用户有关计算机的信息（如密码策略）而臭名昭著，用户名、组名、计算机名、用户和主机SID。接下来的情况非常不寻常：服务器外部连接到位于摩洛哥。下一个，攻击者试图通过异常端口与外部IP进行失败的SMB会话。暗黑种族的异常活动，正如它之前了解到的那样，SMB通常不会在这个组织中以这种方式使用，当然也不会用于外部通信港口。图3： 暗黑竞赛检测罕见的外部IP地址图4：SMB会话故障和端口1047上的罕见连接命令和控制流量发生整个攻击在五天内，这与一个粉碎和抓取的方法，而不是一个高度隐蔽，低和缓慢操作。2数小时后，服务器启动了大量异常和罕见的连接，这些连接到位于印度、中国和意大利的外部目的地，以及服务器以前从未与之通信的其他目的地。攻击者现在试图建立持久性，并为指挥和控制（C2）创建更强的通道。由于整个攻击发生在五天内，这与一个粉碎和抓取的方法，而不是一个高度隐蔽，低和缓慢行动。行动在TARGET上，尽管采用了这种方法，但恶意的参与者仍然休眠了两天，等到4月10日，英国的一个公共假日，安全队的反应会明显减弱。这种活动停顿提供了支持性证据，证明袭击是人为的-驱动。图5： 由darktrace检测到的异常RDP连接RDP服务器随后开始接收来自荷兰、拉脱维亚和波兰。国内侦察IP地址85.93.20[.]6，淘客大联盟，托管在巴拿马进行调查时，使用管理凭据与服务器进行了两次连接。4月12日，当其他入站RDP连接扫描网络时，RDP服务器传输到该IP地址的数据量激增。网络服务器从不扫描内部RDP。黑暗种族认为这是非常不寻常的活动图6： Darktrace检测到异常的外部数据传输横向移动和负载执行最终，4月12日，攻击者在13:45执行了达尔玛负载。RDP服务器通过SMB协议编写了许多文件，附加了一个包含一次性电子邮件帐户的文件扩展名，可能会引发当前的COVID-19大流行美国在线cov2020[通信]。字符串的使用@美国在线].ROGER'和一个名为'FILES'的文件的存在加密.txt"像以前的佛法妥协。平行对于加密活动，勒索软件试图通过使用内部侦察过程中看到的相同管理员凭据启动成功的SMB身份验证来传播和感染其他计算机。但是，目标设备没有加密任何文件他们自己。它在加密活动中，内部IT人员从受损的RDP服务器上拔下插头，从而结束勒索软件活动。结论该事件支持这样一种观点，即"遗留"勒索软件可能会变形以复活自身，云服务器免，从而利用远程工作基础设施中的漏洞大流行。达摩在这里执行了一次快速、有计划、有针对性的勒索软件攻击。攻击者使用现成的工具（RDP，滥用SMB1协议）与典型管理员混合，模糊检测和属性活动。黑暗竞赛在不依赖威胁情报或规则和签名的情况下检测到攻击的每个阶段，内部安全小组对恶意活动采取了进一步的防范措施破坏。这个这起事件支持了这样一种观点，即"遗留"勒索软件可能会变形以复活自己，以利用远程工作基础设施中的漏洞。安全性差的面向公众的系统被匆忙推出，安全性被忽视，因为公司优先考虑可用性，在这一过程中牺牲了安全性。有经济动机的演员把这些弱者武装起来点。那个使用与COVID相关的电子邮件'美国在线cov2020在攻击过程中，[.]com'表示威胁参与者意识到并滥用当前的全局大流行。最近攻击，比如去年3月APT41利用Zoho Manage引擎漏洞，表明针对面向互联网的基础设施的攻击作为最初的入侵媒介越来越流行。事实上，多达85%的勒索软件攻击使用RDP作为输入向量。确保备份被隔离，配置得到加强，而且，仅仅对系统进行修补是不够的，实时检测每一个异常行为可以帮助保护潜在的受害者勒索软件.IoCs：IoCComment74.208.121[.]157传入RDP212.92.118[.]114传入RDP81.192.52[.]89外部SMBv1连接104.238.220[.]49可能的C231.46.244[.]17可能的C289.248.160[.]150可能的C280.82.77[.]212C2185.148.38[.]107可能的C237.49.230[.]95可能的C2103.145.13[.]6可能的C2185.94.111[.]1可能的C2167.56.145[.]151可能的C2212.92.106[.]106传入RDP185.209.0[.]103传入RDP85.93.20[.]6传入RDP185.202.2[.]39 RDP上检测的传入RDPSome服务器：符合性/面向Internet的RDP服务器-关键服务器的公开到非正常端口上的非正常连接/应用程序协议-使用不寻常端口到稀有端点的外部连接设备/到新端点的大量连接-表示对等或扫描活动符合性/传入远程桌面-设备从外部源远程控制，电梯物联网，在读取SMB文件/重命名文件扩展名时，发现SMB文件扩展名/文件扩展名增加，文件扩展名为SMB文件/文件扩展名，文件扩展名为SMB文件扩展名，文件扩展名为SMB文件勒索软件活动下图显示了RDP服务器上暗色跟踪检测的时间线。攻击生命周期i