在2023年8月,Sophos XOps事件响应团队介入了一起发生在澳大利亚的Money Message勒索病毒事件。该病毒因其隐蔽性而闻名,不会给加密数据附加任何文件扩展名,使得受害者很难仅通过文件扩展名识别被加密的文件。本文将分析事件的攻击流程,展示威胁行为者如何部署Money Message勒索病毒,以及在MITRE ATTampCK链的不同阶段可以采取哪些措施来应对攻击者的努力。
勒索病毒将一份名为“moneymessagelog”的赎金通知直接放置于C盘的根目录。目标系统上的赎金通知内容如下:
您的文件已被“Money Message”盈利组织加密,无法再访问。
如果您支付赎金,您将获得解密工具以恢复文件。请不要尝试自行解密文件这样会导致文件损坏且无法恢复。
有关进一步的谈判,请打开此 onion/。
使用Tor浏览器:https//wwwtorprojectorg/download/
如果您拒绝支付,我们将把从您的内部网络偷来的文件发布到我们的博客:
onion
没有我们的解密软件,文件无法被解密。
onion/
调查结果显示,攻击者通过目标的VPN获得了初始访问权限,该VPN使用了单因素认证。这是 MITRE 的 T1078 有效账户 技术的一个示例。
为VPN连接实施多因素认证MFA至关重要,以增强安全性并阻止潜在的未授权访问。此外,应持续监控VPN日志和用户活动,以及时发现任何可疑的登录尝试或异常情况。升级至更强大和分层的认证方法如MFA是加强潜在威胁行为者寻求利用单因素漏洞、获取未授权VPN访问的首要防线。
威胁行为者利用GPO策略禁用Windows Defender的实时保护。这是 MITRE的 T1562001 损害防御:禁用或修改工具 子技术的一个示例。
[HKEYLOCALMACHINESoftwarePoliciesMicrosoftWindows Defender]DisableAntiSpyware [REGDWORDLE] 1 [HKEYLOCALMACHINESoftwarePoliciesMicrosoftWindows DefenderRealtime Protection] DisableRealtimeMonitoring [REGDWORDLE] 1
狂飙加速器手机版组织的首要防御措施是使用具有强大防篡改保护的安全代理。在监控此活动时,这些是就绪检测的事件来源。尽管在故障排除时系统管理员可能暂时禁用这些保护,但考虑到这一活动的风险,如果没有相应的支持工单,则应迅速进行调查。
威胁行为者利用psexec运行批处理脚本,以便开启RDP端口,随后使用远程桌面协议RDP在网络中横向移动。这是MITRE的 T1021001:远程服务:远程桌面协议 子技术的一个示例。RDP在2023年上半年处理的事件响应案例中是常见问题之一。
图1:2023年上半年事件响应案例中的RDP滥用检测
批处理脚本的内容如下:
reg add HKEYLOCALMACHINESYSTEMCurrentControlSetControlTerminal Server /v fDenyTSConnections /t REGDWORD /d 0 /fEnableNetFirewallRule DisplayGroup Remote Desktopnetsh advfirewall firewall add rule name=Open Remote Desktop protocol=TCP dir=in localport=3389 action=allow
保护RDP访问对许多公司来说都很困难,但这是一个值得投资的项目。首先要检查的点是通过角色限制哪些账户可以使用RDP访问其他系统。绝大多数用户并不需要此访问权限。其次,采用仅
