摘要

本報告提供對 Qilin 勒索軟體運作的全面技術分析,重點探討其聯盟成員所使用的工具、技術和程序(Tools, Techniques, and Procedures, TTPs)。透過洩露的聯盟面板(Affiliate panel)及其相關 artifacts,本研究深入探討了 Themida 封裝的 Mimikatz 樣本、初始入侵中執行父檔案的角色,以及 NetExec(一個強大的網路滲透測試工具)所提供的先進功能。本研究的目標是揭示勒索軟體即服務(Ransomware-As-A-Service,RaaS)模型的技術複雜性,以及其對現代企業構成的日益演進的威脅環境。

探索Plague:Linux系统中PAM後門的隐密技術與持久性 | 資訊安全新聞

1. 簡介

勒索軟體在網路安全環境中仍然是一個普遍且不斷演變的威脅,勒索軟體即服務(RaaS)模型顯著降低了 Malicious actor 的進入門檻。Qilin 作為一個主要的 RaaS 團體,自2022年起活躍,影響了全球眾多組織[1]。本報告透過洩露的聯盟面板及相關惡意軟體樣本和工具的分析,檢視 Qilin 運作的技術基礎。重點在於理解使 Qilin 聯盟成員能夠執行其攻擊活動的技術機制和能力,為防禦策略和威脅情報提供寶貴見解。本分析旨在促進對當代勒索軟體策略的深入理解,超越表面觀察,詳細闡述由複雜 Threat actors 所使用的工具和方法。

2. Qilin勒索軟體組件的技術分析

2.1 Themida封裝器檢測與YARA規則分析

在調查Qilin勒索軟體運作過程中,一個關鍵發現是使用了Themida,一個強大的商業封裝器,用於混淆惡意可執行檔案。Themida被合法軟體開發者廣泛用於保護其智慧財產權並防止逆向工程。然而,threat actors也利用其功能來阻礙安全解決方案的分析和檢測。Themida封裝樣本的存在需要進階的檢測機制,例如以下YARA規則[1]: 

 Yara
                 
rule INDICATOR_EXE_Packed_Themida {
    meta:
        author = "ditekSHen"
        description = "Detects executables packed with Themida"
        snort2_sid = "930067-930069"
        snort3_sid = "930024"
    strings:
        $s1 = ".themida" fullword ascii
    condition:
        uint16(0) == 0x5a4d and all of them or
                 for any i in (0 .. pe.number_of_sections) : (
            (
                pe.sections[i].name == ".themida"
            )
        )
}

此YARA規則, INDICATOR_EXE_Packed_Themida ,旨在識別使用Themida保護的可執行檔案。其有效性來自於基於字串和結構性指標的結合。 meta 部分提供了必要的metadata,包括作者和Snort SID,這對於將規則整合到更廣泛的安全框架中以及在威脅情報平台內進行適當歸因和管理至關重要。 strings 部分專門尋找ASCII字串 .themida 作為完整單詞。此字串是Themida封裝二進制檔案中常見的artifact,作為其存在的強烈指標。 condition 部分定義了匹配邏輯。它首先檢查檔案開頭的 MZ 魔術位元組( 0x5a4d ),這是Windows可執行檔案的標誌。這與要求所有定義的字串(在此例中為 $s1 )必須存在相結合。此外,還包含一個 OR 條件,檢查可執行檔案的PE區段。它尋找所有區段,如果任何區段名為 .themida ,則觸發匹配。這種雙管齊下的方法,結合字串匹配與PE區段分析,大幅提高了規則的穩健性,使其更能抵禦Themida可能使用的各種混淆和反分析技術。Qilin聯盟成員使用這種複雜的封裝技術,凸顯了其規避檢測和複雜化取證分析的意圖,強調需要同樣先進的防禦措施。

2.2 Mimikatz樣本與執行父檔案

對Qilin勒索軟體運作的調查顯示,聯盟成員 hastalamuerte 使用了Mimikatz樣本,一個強大的後滲透工具(post-exploitation tool)。Mimikatz以其從Windows作業系統中提取敏感資訊的能力而聞名,包括明文密碼、hash值、Kerberos票據和記憶體中的憑證。識別的Mimikatz樣本使用Themida封裝,顯示出規避檢測和複雜化分析的努力。與此樣本相關的特定hash值如下:

  • MD5 : 740bcca20cf9b4adb7e68fff4d51fc39
  • SHA-1 : 0312f6e6cbb37d44da3e15d528a21fe14f621095
  • SHA-256 : 97f9b989c3b3d6f87120e7f550b29b205d23d052bf455379d8bb5b9a01b7d92f
  • 檔案名稱 : mimikatz.exe

Qilin聯盟成員部署Mimikatz顯示了在被滲透網路內提升權限、促進橫向移動和建立持久性的明確意圖。透過提取認證,攻擊者可以存取額外的系統和敏感資料,擴大其入侵範圍。Themida封裝進一步複雜化了此關鍵工具的檢測和分析,需要進階的行為分析和記憶體取證技術來識別和緩解其存在。

此外,分析發現了兩個負責投放Mimikatz樣本的執行父檔案。這些檔案, mido_template.html what.htm ,表明初始入侵向量可能來自基於網頁的攻擊向量,例如釣魚攻擊或驅動式下載。這些HTML檔案可能利用了網頁瀏覽器或其他客戶端應用程式的漏洞來執行惡意程式碼,導致下載和執行Themida封裝的Mimikatz payload。觀察到的投放檔案路徑, C:\Users\user\Downloads\file2.exe (copy) ,強化了分階段攻擊的概念,其中初始投放器促進了主要惡意payload的傳遞。這種多階段方法是複雜threat actors常用的策略,以繞過安全控制並增加成功入侵的可能性。

2.3 NETEXECRU – NetExec速查表

Qilin勒索軟體運作的另一個重要發現是threat actor使用NetExec,一個為網路滲透測試設計的開源工具,特別是在Active Directory(AD)環境中。threat actor上傳了一個標題為“Шпаргалка по NetExec”(NetExec速查表)的GitHub儲存庫,顯示其對此工具的深入理解和依賴[1]。

NetExec的功能廣泛,突顯了Qilin聯盟成員攻擊方法的複雜性。這些功能包括:

  • 網路偵察與漏洞掃描: NetExec可以掃描各種網路服務的漏洞,為攻擊者提供對目標網路潛在入口點和弱點的全面理解。
  • Active Directory列舉: 該工具擅長列舉使用者、群組、網域、信任關係和SCCM設定。這種詳細的列舉使攻擊者能夠繪製AD環境圖,識別特權帳戶,並了解可用於橫向移動的信任關係。
  • 認證攻擊: NetExec支援多種協議的密碼噴灑(Password spraying),允許攻擊者對大量帳戶測試大量認證。它還可以dump認證和敏感資料,例如gMSA(群組管理服務帳戶)密碼資訊,這對於權限提升和持久存取至關重要。
  • 遠端執行與橫向移動: 該工具促進認證和遠端命令執行,允許攻擊者在被滲透系統上運行任意命令。它還可以spider和存取SMB共享,實現檔案傳輸和網路內進一步的偵察。
  • Active Directory攻擊: NetExec包含用於利用各種AD漏洞和錯誤設定的模組,例如Active Directory憑證服務(ESC8)、本機管理員密碼解決方案(LAPS)繞過和委派錯誤設定。這些功能對於提升權限和保持對網域的控制至關重要。
  • Kerberos攻擊: 該工具支援多種Kerberos攻擊,包括ASREPRoast、Kerberoasting和TGT(票據授予票據)生成。這些攻擊針對Kerberos認證協議的弱點,以獲取認證或偽造票據,使攻擊者能夠冒充使用者並存取資源。
  • 與BloodHound整合: NetExec能夠與BloodHound(一個用於視覺化AD環境中攻擊路徑的流行開源工具)整合,進一步增強了其實用性。這種整合使攻擊者能夠識別和利用複雜的攻擊路徑,使其橫向移動更有效率且隱密。
  • MSSQL和其他協議攻擊: 除了AD,NetExec還可以列舉和攻擊MSSQL伺服器,並通過FTP、SSH和NFS等協議促進檔案傳輸。這種廣泛的協議支援使攻擊者能夠適應不同的網路服務和環境。
  • 後滲透工具: 通過RDP進行螢幕截圖和通過NFS逃逸到根檔案系統的功能,展示了NetExec在後滲透階段的實用性,實現資料外洩和進一步的系統入侵。

NetExec功能的全面性,如速查表所示,突顯了Qilin聯盟成員針對Windows環境並利用複雜技術進行網路滲透的焦點。Mimikatz用於認證採集與NetExec用於網路偵察、橫向移動和權限提升的結合,形成了一個執行高效勒索軟體活動的強大武器庫。這種技術熟練度強調了需要強大的防禦措施,包括持續監控AD環境、強大的認證機制和主動的漏洞管理。

3. 結論

對Qilin勒索軟體運作的分析揭示了一個複雜且適應性強的threat actor,利用現有工具和先進技術的組合。使用Themida進行混淆、Mimikatz進行認證採集以及NetExec進行全面的網路滲透測試,凸顯了Qilin聯盟成員的技術熟練度。初始入侵向量可能涉及惡意HTML檔案,突顯了使用者教育和強大電子郵件與網頁安全措施的持續重要性。

了解這些TTPs對於制定有效的防禦策略至關重要。組織必須實施多層安全控制,包括進階端點檢測與回應(EDR)解決方案、網路分割、強大的認證機制和定期的安全意識培訓。主動威脅狩獵,利用如Themida檢測的YARA規則和已識別的Mimikatz hash等入侵指標(IoCs),可以顯著增強組織檢測和回應Qilin勒索軟體攻擊的能力。持續監控Active Directory環境和及時修補漏洞對於減輕此類進階持續威脅的風險同樣至關重要。隨著勒索軟體團體不斷演變其策略,主動且適應性的網路安全姿態對於保護關鍵資產和維持運營韌性仍然不可或缺。

4. 參考文獻

  1. INSIDE QILIN RANSOMWARE AFFILIATE’s PANEL – THE RAVEN FILE
  2. Qilin Ransomware (Agenda): A Deep Dive - Check Point Software
  3. Qilin Ransomware: Detection and Analysis - Darktrace
  4. [PDF] qilin-threat-profile-tlpclear.pdf - HHS.gov
  5. Lessons from Qilin: What the Industry’s Most Efficient Ransomware …
  6. Techniques of the recent Qilin ransomware attacks | Group-IB Blog
  7. Qilin Ransomware: Exposing the TTPs Behind One of the Most Active..
  8. Qilin ransomware is growing, but how long will it last?
  9. Qilin Ransomware: Tactics & Attack Methods - CybelAngel
  10. The Qilin Ransomware: Analysis and Protection Strategies - Group-IB
  11. Qilin Ransomware Group - Threat Actor Profile - Cyble