导语:在勒索软件入侵事件中,滥用合法远程管理与监控工具已愈发普遍,因为这类工具可让攻击者的流量隐藏在正常业务流量中,不易被发现。
Crazy 勒索软件团伙成员正滥用合法的员工监控软件与 SimpleHelp 远程支持工具,在企业网络中维持持久化控制、规避检测,并为部署勒索软件做准备。
安全研究人员在调查多起安全事件时发现了上述入侵行为:攻击者会在攻陷的网络中部署 Net Monitor for Employees Professional 员工监控软件,并配合 SimpleHelp 实现远程访问,同时将自身行为伪装成正常的管理员操作。
在其中一起入侵事件中,攻击者通过 Windows 安装程序 msiexec.exe 安装了该员工监控工具,直接从开发者官网向受感染系统下发监控代理。
工具安装后,攻击者可远程查看受害者桌面、传输文件并执行命令,实质上获得了受侵系统的完整交互式控制权限。
攻击者还通过以下命令尝试启用本地管理员账户:
net user administrator /active:yes
为实现冗余持久化,攻击者通过 PowerShell 命令下载并安装 SimpleHelp 远程访问客户端,使用的文件名模仿了合法的 Visual Studio 进程 vshost.exe。载荷随后被执行,即便员工监控工具被清除,攻击者仍可通过该渠道保持远程访问。
SimpleHelp 二进制文件有时还会使用伪装成 OneDrive 相关的文件名:
C:\ProgramData\OneDriveSvc\OneDriveSvc.exe
攻击者利用这款监控软件远程执行命令、传输文件,并实时监控系统活动。
研究人员还观察到,攻击者会尝试停止并删除相关服务,以此禁用 Windows Defender。
禁用 Windows Defender
在某起事件中,攻击者在 SimpleHelp 中配置了监控规则:当设备访问加密货币钱包或使用远程管理工具时立即告警,为部署勒索软件和窃取加密货币做准备。
日志显示,代理程序持续针对加密货币相关关键词循环触发与重置监控规则,包括钱包服务(MetaMask、Exodus、wallet、blockchain)、交易平台(Binance、Bybit、KuCoin、Bitrue、Poloniex、bc.game、Noones)、区块链浏览器(Etherscan、Bscscan)以及支付平台 Payoneer。
除此之外,代理还会监控远程访问工具关键词,包括 RDP、AnyDesk、UltraView、TeamViewer、VNC 等,目的大概率是检测是否有人正在连接受控机器。
SimpleHelp 代理所监控的关键词
同时使用多款远程访问工具为攻击者提供了访问冗余,确保即便其中一款被发现或删除,仍能掌控目标系统。
尽管只有一起事件最终部署了 Crazy 勒索软件,但研究人员认为两起事件背后是同一威胁组织所为。据观察,两起事件复用了相同文件名(vhost.exe)与重叠的 C2 基础设施,强烈表明入侵由同一操作者或团伙实施。
在勒索软件入侵事件中,滥用合法远程管理与监控工具已愈发普遍,因为这类工具可让攻击者的流量隐藏在正常业务流量中,不易被发现。为此,企业应严密监控未经授权的远程监控与支持工具安装行为。此外,由于两起入侵均始于 SSL VPN 凭证泄露,需对所有用于访问内网的远程服务强制启用多因素认证(MFA)。
文章来源自:https://www.bleepingcomputer.com/news/security/crazy-ransomware-gang-abuses-employee-monitoring-tool-in-attacks/如若转载,请注明原文地址
