在过去的几个月里,NCC Group 观察到越来越多的数据泄露勒索案件,如果受害者决定不付款,攻击者会窃取数据并威胁要在网上发布这些数据。鉴于当前的威胁形势,最值得注意的是没有勒索软件或任何破坏受害者操作的技术尝试。
在数据泄露勒索调查中,NCC Group 确定了一系列活动,这些活动定义了本文中描述的相对恒定的作案手法。NCC Group 将这个对手作为 SnapMC 进行跟踪,但尚未能够将其与任何已知的威胁行为者联系起来。SnapMC这个名字来源于攻击者的快速攻击,一般在30分钟内完成,以及它使用的渗漏工具mc.exe。
随着时间的推移,威胁收件人的勒索电子邮件已成为一种趋势。其中很大一部分是肇事者发出的空洞威胁,希望在不投资于实际攻击的情况下轻松获利。然而,SnapMC 已经证明自己有能力进行实际的数据泄露攻击.NCC Group 从 SnapMC 看到的勒索电子邮件给了受害者 24 小时的联系和 72 小时的谈判时间。即便如此,NCC Group 已经看到这个演员在倒计时为零之前就开始增加压力。SnapMC 包含一份被盗数据的列表,作为他们已访问受害者基础设施的证据。如果组织没有在给定的时间范围内做出回应或协商,行为者就会威胁(或立即)发布被盗数据,并通知受害者的客户和各种媒体。
作案手法
在撰写本文时,NCC Group 的安全运营中心 (SOC) 已经看到 SnapMC 扫描网络服务器应用程序和 VPN 解决方案中的多个漏洞。NCC Group 观察到该攻击者成功地利用和窃取服务器中的数据,这些服务器易受 Telerik UI 中用于 ASPX.NET 的远程代码执行以及 SQL 注入的攻击。
成功利用网络服务器应用程序后,攻击者执行有效载荷以通过反向外壳获得远程访问。根据观察到的有效载荷和特征,攻击者似乎使用了公开可用的概念验证 Telerik Exploit。
紧接着,PowerShell 开始执行一些标准的侦察活动。观察到的命令包括:whoami;whoami /priv;wmic logicaldisk 获取标题、描述、提供商名称;和网络用户/priv。
请注意,在最后一个命令中,对手使用了 /priv 选项,这对于 net users 命令来说不是一个有效选项。
在大多数情况下,NCC Group 分析说,威胁行为者没有执行权限提升。然而,在一个案例中,它确实观察到 SnapMC 试图通过运行一些 PowerShell 脚本来提升权限:Invoke-Nightmare;调用-JuicyPotato;调用服务滥用;调用-EventVwrBypass;和 Invoke-PrivescAudit。
NCC Group 通过检索支持数据收集的各种工具(例如 7zip 和 Invoke-SQLcmd 脚本)观察到攻击者准备进行渗透。这些以及与这些工具的执行或使用相关的工件存储在以下文件夹中:C:\Windows\Temp\;C:\Windows\Temp\Azure;和 C:\Windows\Temp\Vmware。
SnapMC 使用 Invoke-SQLcmd PowerShell 脚本与 SQL 数据库通信并导出数据。演员将导出的数据本地存储在 CSV 文件中,并使用 7zip 存档实用程序压缩这些文件。
攻击者使用 MinIO 客户端来窃取数据。使用 PowerShell 命令行,攻击者配置了存储在 config.json 文件中的 exfil 位置和要使用的密钥。在渗漏过程中,MinIO 在工作目录中创建一个临时文件,文件扩展名为 […].par.minio。
缓解措施
首先,初始访问通常是通过已知漏洞实现的,存在补丁。及时修补并保持(互联网连接)设备处于最新状态是防止成为此类攻击的受害者的最有效方法。确保通过(定期执行)漏洞扫描来确定易受攻击的软件在您的网络中的位置。
此外,提供软件包的第三方也可以将易受攻击的软件用作组件,从而使您无法直接接触到该漏洞。因此,在您的组织和软件供应商之间就补丁管理和保留政策达成明确的相互理解和明确定义的协议非常重要。后者也适用于让您的供应商为您提供系统以在发生事故时进行取证和根本原因分析的可能义务。
值得一提的是,当参考测试 Telerik 特定版本的可利用性时,很明显,当软件组件驻留在配置良好的 Web 应用程序防火墙 (WAF) 后面时,漏洞利用将不成功。最后,正确实施检测和事件响应机制和流程会大大增加成功减轻对组织的严重影响的机会。及时的检测和有效的响应将在损害发生之前减少损害。
结论
NCC Group 的威胁情报团队预测,数据泄露勒索攻击将随着时间的推移而增加,因为与全面的勒索软件攻击相比,它需要的时间和技术深入的知识或技能更少。在勒索软件攻击中,攻击者需要在窃取数据和部署勒索软件之前实现持久性并成为域管理员。在数据泄露勒索攻击中,大部分活动都可以自动化,花费的时间更少,同时仍会产生重大影响。因此,确保您能够检测到此类攻击,并结合准备好在短时间内执行的事件响应计划,对于高效且有效地减轻 SnapMC 对您的组织构成的威胁至关重要。