一、概述

工業(yè)企業(yè)網(wǎng)絡(luò)環(huán)境主要由工業(yè)控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)組成。通常企業(yè)信息網(wǎng)絡(luò)會(huì)接入互聯(lián)網(wǎng)，因此會(huì)受到互聯(lián)網(wǎng)環(huán)境中勒索軟件的攻擊。如果企業(yè)信息網(wǎng)與工業(yè)控制網(wǎng)絡(luò)直接或間接連接，勒索軟件可能會(huì)通過(guò)企業(yè)信息網(wǎng)絡(luò)或擺渡方式傳播到工控網(wǎng)絡(luò)中，從而感染工業(yè)控制系統(tǒng)。勒索軟件加密計(jì)算機(jī)磁盤中的文件，就會(huì)影響到工業(yè)企業(yè)中信息系統(tǒng)和工業(yè)控制系統(tǒng)的正常運(yùn)行，最終造成企業(yè)企業(yè)經(jīng)濟(jì)層面和信譽(yù)上的損失。所以工業(yè)企業(yè)應(yīng)當(dāng)重視對(duì)勒索軟件的防護(hù)。

近年來(lái)，針對(duì)工業(yè)控制系統(tǒng)的勒索軟件增長(zhǎng)迅速，其中以Sodinokibi、Ryuk和Maze為首的勒索軟件家族最為猖獗。近日，安天CERT發(fā)現(xiàn)一起入侵工業(yè)控制系統(tǒng)并最終投放勒索軟件的攻擊事件，此次事件影響了歐洲一些國(guó)家的工業(yè)企業(yè)，其工業(yè)控制環(huán)境的服務(wù)器被加密，導(dǎo)致工控業(yè)務(wù)系統(tǒng)臨時(shí)關(guān)閉。經(jīng)過(guò)分析，該起攻擊事件歸屬于一個(gè)新的勒索軟件家族Cring（也被稱為Crypt3r，Vjiszy1lo，Ghost，Phantom等）。該勒索軟件最早出現(xiàn)于2020年末，使用AES256+RSA8192算法加密受害者的數(shù)據(jù)，要求支付2個(gè)比特幣作為贖金才能恢復(fù)數(shù)據(jù)。攻擊者利用CVE-2018-13379漏洞進(jìn)行攻擊，一旦獲取系統(tǒng)中的訪問(wèn)權(quán)限后，會(huì)下載Mimikatz和Cobalt Strike進(jìn)行橫向移動(dòng)和遠(yuǎn)程控制，最終下載Cring勒索軟件并執(zhí)行。工業(yè)控制系統(tǒng)是國(guó)家基礎(chǔ)設(shè)施的重要組成部分，也是工業(yè)基礎(chǔ)設(shè)施的核心，被廣泛用于煉油、化工、電力、電網(wǎng)、水廠、交通、水利等領(lǐng)域，其可用性和實(shí)時(shí)性要求高，系統(tǒng)生命周期長(zhǎng)，一旦受到勒索軟件的影響，不僅會(huì)導(dǎo)致大面積停產(chǎn)，也會(huì)產(chǎn)生更廣泛的負(fù)面社會(huì)效應(yīng)。

二、Cring勒索軟件對(duì)應(yīng)的ATT&CK的映射圖譜

該勒索軟件技術(shù)特點(diǎn)分布圖：

圖 2?1技術(shù)特點(diǎn)對(duì)應(yīng)ATT&CK的映射

具體ATT&CK技術(shù)行為描述表：

表 2?1 ATT&CK技術(shù)行為描述表

三、樣本分析

1. 樣本標(biāo)簽

表3?1二進(jìn)制可執(zhí)行文件

2.攻擊流程

攻擊者利用FortiGate VPN服務(wù)器中的CVE-2018-13379漏洞獲取訪問(wèn)工控網(wǎng)絡(luò)的權(quán)限，如未打補(bǔ)丁的FortiGate VPN設(shè)備會(huì)受到目錄遍歷攻擊，攻擊者可以利用該遍歷攻擊訪問(wèn)FortiGateSSL VPN設(shè)備上的系統(tǒng)文件。未經(jīng)身份驗(yàn)證的攻擊者可以通過(guò)互聯(lián)網(wǎng)連接到該設(shè)備，從而遠(yuǎn)程訪問(wèn)文件“sslvpn_websession”，該文件中包含用于訪問(wèn)VPN的用戶名和密碼（均以明文形式存儲(chǔ)）。在攻擊者拿到訪問(wèn)VPN的用戶名和密碼并獲取工控網(wǎng)絡(luò)的第一個(gè)系統(tǒng)權(quán)限后，會(huì)下載Mimikatz工具并使用該工具竊取以前登錄的Windows用戶的賬戶憑據(jù) 。通過(guò)此種方法可以獲取到域控管理員的憑據(jù)，然后通過(guò)該憑據(jù)將Cobalt Strike框架的PowerShell腳本分發(fā)到其他系統(tǒng)中。PowerShell腳本解密有效載荷為Cobalt Strike Beacon后門，該后門為攻擊者提供了對(duì)受感染系統(tǒng)的遠(yuǎn)程控制能力。在獲得對(duì)受感染系統(tǒng)的控制后，攻擊者使用cmd腳本將Cring勒索軟件下載到系統(tǒng)中，并使用PowerShell啟動(dòng)加密整個(gè)系統(tǒng)。

圖 3?1攻擊流程

3. 樣本分析

該樣本首先會(huì)使用名為“kill.bat”的批處理腳本執(zhí)行一系列系統(tǒng)命令，其中包括暫停BMR Boot和NetBackup BMR服務(wù)，配置SQLTELEMETRY和SQLWriter等服務(wù)為禁用狀態(tài)，結(jié)束mspub.exe、mydesktopqos.exe和mydesktopservice.exe進(jìn)程，刪除特定擴(kuò)展名的備份文件，并且如果文件和文件夾的名稱以“Backup”或“backup”開頭，則還會(huì)刪除位于驅(qū)動(dòng)器根文件夾中的文件和文件夾，該腳本在執(zhí)行后會(huì)刪除自身。

圖 3?2 kill.bat文件

表3?2結(jié)束相關(guān)進(jìn)程和服務(wù)

樣本檢測(cè)帶參數(shù)執(zhí)行，如未帶參數(shù)執(zhí)行，則執(zhí)行完kill.bat后退出。如帶參數(shù)“cc”執(zhí)行，則開始全盤遍歷文件并加密，最后釋放勒索信并使用批處理腳本刪除自身。

圖 3?3樣本帶參數(shù)執(zhí)行

加密以下擴(kuò)展名文件：

.vhdx、.ndf、.wk、.xlsx、.txt、.doc、.xls、.mdb、.mdf、.sql、.bak、.ora.pdf、.ppt、.dbf、.zip、.rar  、.aspx、.php 、.jsp、.bkf、.csv。全盤遍歷目錄獲取文件。

圖 3?4全盤遍歷

使用AES算法加密受害者系統(tǒng)上的文件。

圖 3?5 AES算法加密文件

使用RSA公鑰加密AES私鑰。

圖 3?6加密文件

RSA公鑰大小為8192位，具體公鑰值如下。

圖 3?7 RSA公鑰

被加密的文件會(huì)在原文件名后追加后綴".cring"。

圖 3?8追加后綴名

創(chuàng)建名為“deReadMe!!!.txt”的勒索信，大致內(nèi)容為需要支付2個(gè)比特幣才能解密文件，攻擊者在勒索信中還提供了郵箱作為聯(lián)系的唯一手段。

圖 3?9創(chuàng)建勒索信

勒索后使用名為“killme.bat”批處理文件刪除自身。

圖 3?10刪除自身

四、IoCs

MD5c5d712f82d5d37bb284acd4468ab3533(Cring可執(zhí)行程序)

317098d8e21fa4e52c1162fb24ba10ae(Cring可執(zhí)行程序)

44d5c28b36807c69104969f5fed6f63f（downloader腳本）