首頁 > 安全研究 > 研究報告 > 攻擊與威脅分析

美國油氣管道運營商勒索攻擊分析

發布時間 2021-05-12

事件背景

2021年5月7日,全美最大油氣輸送管道運營商Colonial Pipeline遭到勒索軟件定向攻擊,此次勒索攻擊由于涉及到國家級關鍵基礎設施,故而引起了全球的震動和廣泛關注。攻擊事件一方面造成美東油氣短缺以及國際原油期貨價格的大幅波動,給疫情下的全球經濟復蘇帶來惡劣影響;另一方面,“美國進入緊急狀態”的相關新聞頻頻發酵并沖上熱搜,也在大眾群體內引起一定程度的恐慌擔憂。不過,事實上該緊急狀態是5月9日美國交通運輸部聯邦汽車運輸安全管理局(FMCSA)發布的區域緊急狀態聲明,以便豁免使用汽車運輸油料的方式(先前規定只能通過管道運輸),且緊急狀態限于受到斷油影響的美國三個區域(涉及17個州)。


在遭受攻擊后,油氣輸送管道運營商Colonial Pipeline被迫暫停了其美國東岸的關鍵輸送業務。此次事件充分暴露出關鍵基礎設施體系網絡安防的脆弱性,也被視為對美國白宮的挑釁——而就在2021年4月下旬,拜登政府才剛剛出臺了一項提振能源供應體系網絡安全的“百日計劃”。由于Colonial Pipeline每天通過其5500英里的管道輸送250萬桶石油,占東海岸所有燃料消耗的45%,致使美國東海岸的天然氣和柴油供應受到了嚴重影響。


1.jpg

圖1:Colonial Pipeline輸油管線


目前據多家美媒報道以及美聯邦調查局(FBI)的證實,此次攻擊的幕后黑手確認為DarkSide勒索團伙,FBI稱還在繼續與Colonial Pipeline以及政府合作伙伴展開進一步的調查。


2.jpg

圖2:FBI證實DarkSide勒索團伙是幕后黑手


在事件不斷發酵的過程時,DarkSide終于5月10日發布了最新聲明,撇清自已與政治因素的關聯。其表示該組織的目標是“賺錢”,而并非給社會“制造麻煩”。結合其以往的攻擊活動歷史,可以初步認定此次攻擊為經濟犯罪活動,而非地緣政治因素的攻擊事件。目前已知該組織竊取了Colonial Pipeline公司100GB的內部數據,而事件涉及的具體攻擊細節和樣本暫未公開。啟明星辰ADLab根據關聯情報數據,針對DarkSide勒索團伙的歷史活動、技術手段以及最新樣本進行追蹤分析,并對此次攻擊事件進行研究和復盤。


3.jpg

圖3:DarkSide發布聲明


勒索組織分析


DarkSide首次出現在2020年8月,是一支非?;钴S的新興勒索團伙。該組織在其暗網官網中宣稱:他們只會針對大型有利可圖的公司,并且將部分收到的贖金捐給慈善機構。除此之外,他們還會避免攻擊以下目標,包括殯葬服務行業、醫藥行業(僅限于醫院、姑息治療組織、療養院以及一些參與新冠疫苗分配和研發的公司)、教育行業、非營利組織以及政府部門。但如果受害者拒絕付款,他們將會把受害者的所有數據公開并且將受害者添加到官網發布的受害公司列表,“殺一儆百”。


4.jpg

圖4:DarkSide公開的部分受害者數據


● 歷史活動


DarkSide勒索軟件團伙在近一年的時間里開展非常頻繁的勒索攻擊,此前該組織的部分私鑰泄露使得部分老版本病毒加密的文件能夠得以解密。


5.png

圖5:DarkSide解密工具


在我們統計了該組織自2020年8月起在暗網泄露的受害者組織名單??梢钥闯?,該團伙在過去已經持續定向攻擊了大量企業,包括法律、電子、IT服務、建筑、商務、能源等行業。


6.jpg

 圖6:DarkSide團伙泄露的受害者名單


DarkSide的攻擊活動自2020年8月開始逐漸遞增,在今年2月達到頂峰,而在今年5月7日攻擊Colonial Pipeline后,由于引起了巨大的轟動和FBI等調查機構的關注,該組織近期未再繼續發動勒索攻擊。


7.png

圖7:受害組織數量(依據DarkSide泄露信息統計,單位:月)


相關受害組織主要分布在美國、德國、英國、加拿大、法國等歐美國家,其中美國的受害者占比高達64.37%。


8.jpg

圖8:受害組織所屬國家分布(依據DarkSide泄露信息統計)


● 技術分析


(1)技術特點分析

通過對收集到的DarkSide家族的IOC進行分析和整理,我們從中提取到15個暗網URL地址,見IOC部分。該勒索軟件會自定義加密文件的圖標,早期版本ico圖標文件會被釋放到%LOCALAPPDATA%目錄下,新版本釋放到%ALLUSERSPROFILE%目錄下。圖標文件名稱是被感染機器的MachineGuid經過Crc32處理后的結果,同時這個結果也作為被勒索軟件加密后的文件名后綴。目前收集到所有ICO圖標文件的HASH均為:4f57d54d01ccbdaf3ebfac3ec0ac3fd7。ICO圖標如下圖所示:


 9.png

圖9:ICO圖標


DarkSide勒索軟件運行之后,會解密RSA-1024的公鑰信息和配置信息到內存中。公鑰信息包括RSA-1024用到的e和n,配置文件包括其在加密受害用戶文件前需要排除的文件后綴名、文件路徑、需要殺死的系統進程、服務以及CC地址等相關信息。


此外,勒索病毒會通過動態調用GetUserDefaultLangID和GetUserDefaultUILanguage函數判斷系統語言。排除系統語言為俄語的國家。


10.jpg

圖10:檢測系統語言


(2)解密配置文件

勒索軟件在加密受害用戶文件之前會解密其配置信息到內存中。這些配置信息包括加密Salas20密鑰時用到的RSA-1024公鑰信息(包括e和n)、CC地址以及勒索配置相關的其他信息。

勒索軟件會加密除以下后綴名之外的其他后綴文件:


11.png

圖11:排除文件后綴名


同時,配置文件中也列出了其加密用戶文件時,排除的文件名稱和文件路徑。下表是勒索軟件不加密的文件名稱:


12.jpg


勒索軟件不加密如下文件路徑:


13.jpg


勒索軟件會檢查受害者主機是否存在以下進程,如果存在就殺死目標進程(防止加密文件被占用,導致加密失?。?/p>


14.jpg


同時勒索軟件不會殺死如下進程,防止系統死機導致文件加密中斷:



15.jpg


勒索軟件會嘗試殺死以下系統服務,防止相關的文件被占用而導致加密失?。?/p>


16.jpg


此外,解密的C2地址如下,勒索軟件會將收集到的感染主機設備敏感信息回傳到其C&C服務器地址。


17.jpg


(3)勒索加密算法

相較于使用標準的Salsa20密鑰矩陣格式,勒索軟件選擇使用自定義的Salsa20密鑰矩陣對受害用戶文件進行加密。下圖為勒索軟件隨機生成的Salsa20矩陣密鑰:


18.png

圖12:Salsa20密鑰


勒索軟件使用RSA-1024算法對Salsa20的密鑰矩陣進行加密,將加密后的密文存儲在加密文件的末尾。下圖是勒索軟件使用的RSA1024的公鑰信息(e,n):


19.png

圖13:RSA公鑰


● 復盤和思考


從本次勒索事件來看,這是一次非政治因素引起,但涉及關鍵基礎設施安全隱患的重大攻擊事件。我們從本次攻擊事件可以引出幾個方面的思考:


首先,此次攻擊暴露出美國關鍵基礎設施行業的網絡脆弱性,已有的基建系統根本無法應對突發的網絡攻擊。此攻擊事件為基建行業的安全保障敲響了警鐘,相關基建企業和政府部門需要加強網絡安全防護并且保持高度警惕。


其次,勒索攻擊已經呈現出逐漸向定向攻擊發展的新趨勢。從近年的勒索攻擊事件來看,勒索團伙的攻擊形式已經從過去蠕蟲式傳播,及廣撒網式的攻擊逐漸轉向定向化、高效化的攻擊發展,黑客們偏向于利用滲透攻擊的手段進入重要實體的內部網絡植入勒索病毒;這種以勒索目標價值為導向的高度定向攻擊已經和APT攻擊無異,APT的攻擊手段皆有可能成為勒索病毒入侵的入口。


最后,此次攻擊事件導致美國東部重要的油氣管道關閉并且使美國進入緊急狀態,再此證明了基建設施對一個國家的重要性。網絡空間已經成為繼陸、海、空、天之后的第五大主權領域空間,各個國家間的網絡攻防對抗愈演愈烈;基建設施作為網絡安全的薄弱環節,已經成為國家間網絡攻防博弈的激烈戰場,關鍵基礎設施涉及能源、通信、金融、交通、公共事業等重要行業運行的信息系統或工業控制系統,此類系統一旦發生遭到網絡攻擊,會對國家政治、經濟、科技、人民生命財產等造成重大損失,保證關鍵基礎設施網絡安全尤為重要。


20.png

 圖14:近年來針對關鍵基礎設施安全的勒索攻擊事件


在面對此類安全威脅時,全面的防御體系至關重要。以此次攻擊為例,Colonial Pipeline在部分系統受到勒索攻擊時需要被迫關停其它業務系統,說明其缺少有效的防護措施,且很可能未將核心網絡進行安全隔離和數據備份,這也給相關行業以重要警示。企業需要做好事前預防、事中控制、事后處置的全面準備,只有構建全系統防御體系和完善的應急響應機制,才能更好的應對各類頻發的網絡攻擊。


● 防護建議


1.針對核心業務系統做好數據備份與災難恢復方案(3-2-1規則)

(1)至少準備三種副本;

(2)兩種不同保存形式:進行多存儲類型保存,如服務器、移動硬盤、云端、光盤等;

(3)至少一份異地備份(脫機):防止勒索病毒將聯機的備份系統加密。

2.提高安全意識,不要點擊來源不明的郵件以及附件。

3.定期檢查操作系統和軟件漏洞,及時更新安全補丁。

4.定期更換登陸口令,避免空口令或弱口令。

5.如無必要,盡可能不將產品直接暴露在互聯網中,如必須聯網應將設備連接至防火墻、IDS、IPS等安全設備以加強防護。

6.加強網絡邊界入侵防范和管理,關閉非必要網絡服務和端口,如445、135、139、3389、5900。

7.針對核心業務系統進行安全隔離


● IOC


C2:

catsdegree[.]com

securebestapp20[.]com

temisleyes[.]com


 ICO圖標文件MD5:

4f57d54d01ccbdaf3ebfac3ec0ac3fd7


勒索URL地址:

http://darksidfqzcuhtk2.onion/2AHUVJ3VGS97NUG5J5EYMQM5PJO77V9V0GDT3UYIJGFZUTOQRLUX593CQ2EZ2ZEH

http://darksidfqzcuhtk2.onion/3NQA47J490NLKJVB1FI43HHCEJO62CE3E440J4H4K564VRQ8AFONVJQOM8158NR3

http://darksidfqzcuhtk2.onion/45FYQLKAX0QTR144EDUI3VOVH2B3SQ0TZM0G7MXX3YUGDSA3AZA9XNNTCMD1H4CN

http://darksidfqzcuhtk2.onion/61XCW6PKCUTDV5AZD8WK1JWU84BJBWSI25DGLKZ6O6STDBITLAFAH3X1MSRQGRBS

http://darksidfqzcuhtk2.onion/B69Q1UI7FTR7GBNM08Y61RV3YKYIE62POYGBVE93EYFTPQZLWTXR4X7ZHS3U24ZJ

http://darksidfqzcuhtk2.onion/DZYNTXY9RP5P8DQ96EFKV2YTOVAMA3VVHL5V0RASUBLBWZGLG51U4LOOBSHV9R0Y

http://darksidfqzcuhtk2.onion/FNKSGXL6YM3ZOHUB9WRBMPZDFXUG0DSF5M61SMYGU4V8R8OOJ6AKQ2VF4BGHSE1O

http://darksidfqzcuhtk2.onion/GM0CG8TNZ83ZPUD15TL76BLDCG0ST24TR6NXG1J2AVXSKF8KS4KFIIN2ON5GRWD4

http://darksidfqzcuhtk2.onion/K71D6P88YTX04R3ISCJZHMD5IYV55V9247QHJY0HJYUXX68H2P05XPRIR5SP2U68

http://darksidfqzcuhtk2.onion/KB0LXKYKN6E96Z7RFYWCEI6NM03TX93VZCL5EDA4IVPXUIQQZBG2ZEG269ZIFSFM

http://darksidfqzcuhtk2.onion/O7ADVDV5LR24AMM1KAYU5IJO4MMIBYA22RXI2K2EPNIAKZGNHUZNT933I6WBWPTN

http://darksidfqzcuhtk2.onion/OBB5DDMR8RB9DI2RYYF376YGBJAV2J4F2NXFEWPBSXY709MAA0MY7PMBBQJ0HVG3

http://darksidfqzcuhtk2.onion/SN8W532EY9MVOD09H4HBVZ1RI9RS4AATPO11NCDX0JKZ7GAPU6K6CV3CVLSS2NMH

http://darksidfqzcuhtk2.onion/VGBU8VAXXW7EYB5U4KQJXUGU5NT5FP8208W6UXVSKQDAE3CNBR4JTZQCXEZFZWF2

http://dark24zz36xm4y2phwe7yvnkkkkhxionhfrwp67awpb3r3bdcneivoqd.onion/0UGH4S3ASFAVY4P2TQZ6VNB0U65Y731LJ5SNZXC1AHEZFFY1JCIJV6PVHV0R0V2C


樣本SHA256:

022d2c08a0980d3b12d311a9272d4c767226b635e94814cccb3fb92e6663bbf1

0298198a359602e6e1cb794daa26e604796372ad18e75e62e3782c0a80c59515

17139a10fd226d01738fe9323918614aa913b2a50e1a516e95cced93fa151c61

1ef8db7e8bd3aaba8b1cef96cd52fde587871571b1719c5d40f9a9c98dd26f84

27214dcb04310040c38f8d6a65fe03c14b18d4171390da271855fdd02e06768f

3061fc5b71dfb36798af5a5934733ef431f94c8477c7f34410b1f5f37a1a62e9

3dabd40d564cf8a8163432abc38768b0a7d45f0fc1970d802dc33b9109feb6a6

43e61519be440115eeaa3738a0e4aa4bb3c8ac5f9bdfce1a896db17a374eb8aa

4bdf20303b614b7035b01ac96177f0a631c798a4237fc978cd5bcfc4969bb2d2

508dd6f7ed6c143cf5e1ed6a4051dd8ee7b5bf4b7f55e0704d21ba785f2d5add

533672da9d276012ebab3ce9f4cd09a7f537f65c6e4b63d43f0c1697e2f5e48d

665afa26d6110bb35ec8a60878068a0e69e1c805d9073bef71a48a3404c164e9

68872cc22fbdf0c2f69c32ac878ba9a7b7cf61fe5dd0e3da200131b8b23438e7

691515a485b0b3989fb71c6807e640eeec1a0e30d90500db6414035d942f70a5

8cfd28911878af048fb96b6cc0b9da770542576d5c2b20b193c3cfc4bde4d3bc

9cee5522a7ca2bfca7cd3d9daba23e9a30deb6205f56c12045839075f7627297

ac092962654b46a670b030026d07f5b8161cecd2abd6eece52b7892965aa521b

ad4c5f91571cbc62923d2484f871a1600e97a694ec96eaf748fe08a7259d94fc

adcb912694b1abcdf9c467b5d47abe7590b590777b88045d10992d34a27aa06e

bac2149254f5ce314bab830f574e16c9d67e81985329619841431034c31646e0

c3e0c14cd901265dd0468b025edef94423d4432adabe0a85b497a9cd105b1ee2

d0e685ddcdcd135d0165d7d93db78c70f8c351800f6d3e89eb536d2cca0c7049

ec368752c2cf3b23efbfa5705f9e582fc9d6766435a7b8eea8ef045082c6fbce

f42bcc81c05e8944649958f8b9296c5523d1eb8ab00842d66530702e476561ef

f764c49daffdacafa94aaece1d5094e0fac794639758e673440329b02c0fda39


啟明星辰積極防御實驗室(ADLab)


ADLab成立于1999年,是中國安全行業最早成立的攻防技術研究實驗室之一,微軟MAPP計劃核心成員,“黑雀攻擊”概念首推者。截止目前,ADLab已通過CVE累計發布安全漏洞近1100個,通過 CNVD/CNNVD累計發布安全漏洞1000余個,持續保持國際網絡安全領域一流水準。實驗室研究方向涵蓋操作系統與應用系統安全研究、智能終端安全研究、物聯網智能設備安全研究、Web安全研究、工控系統安全研究、云安全研究。研究成果應用于產品核心技術研究、國家重點科技項目攻關、專業安全服務等。


adlab.jpg

上一篇 下一篇