了解 FortiEDR 如何防止 HermeticWiper 新型惡意軟體病毒
FortiEDR 透過即時協調的事件回應功能自動防禦高級威脅,包括執行前和執行後。
FortiEDR 透過即時協調的事件回應功能自動防禦高級威脅,包括執行前和執行後。
2022 年 2 月 23 日,烏克蘭境內的許多組織都成為了使用 “KillDisk” 或 “HermeticWiper” 等惡意軟體攻擊的目標。一旦部署,該惡意軟體就會使用各種驅動程式來破壞目標端點的主引導記錄 (MBR)。 FortiEDR 客戶受到對於此惡意軟體變種的保護。使用這些獨特樣本的背景很特殊,因為它似乎不是在獲得商業成果,並且除了目的在不可挽回地破壞端點上的資料之外沒有其他功能。同樣特殊的是,報告表明勒索軟體與 wiper 清除惡意軟體一同部署的,明顯的 DDoS 攻擊也是如此,兩者都可能被部署為誘餌,以在惡意軟體清除在目標環境中執行時消耗事件回應和安全資源。
本文將強調 FortiEDR 如何檢測和阻止與這種惡意清除活動有關的行為,以及如何確保 FortiEDR 提供保護。目前該樣本的攻擊鏈的資訊仍然有限,因此本篇文章將單純研究各種 HermeticWiper 樣本,隨著更多資訊的驗證,未來的文章將陸續更新。
HermeticWiper 樣本的行為觸發了 FortiEDR 安全性原則中的許多規則。這些規則可以在下面看到。由於 FortiEDR 自動豐富 FortiGuard 威脅情報,已知樣本被標記為“KillDisk.NCV!tr”。由於此標記,此可執行檔的讀取嘗試將在執行前被阻止。執行此範例期間產生的事件如下圖 1
為了展示 FortiEDR 如何檢測具有未知檔案,我們在檔案中附加了一些隨機字元並重新執行。我們可以從這個檢測中看到,哈希值已經改變,與已知的簽名不匹配。儘管如此,FortiEDR 仍將此檔標記為可疑檔,因為它被 Fortinet 雲服務機器學習引擎評估為很可能是惡意的。這種評估可以在下面的圖 2 看到:
一旦以適當的授權(管理員存取)來執行,惡意清除軟體將根據目標的體系結構從其嵌入式資源之一中提取驅動程式的副本,並將其簡要寫入磁碟。檔案以 “ms-compressed” 格式儲存。一旦寫入磁碟,位於“C:\Windows\System32\Drivers\.sys”,驅動程式將由惡意清除軟體載入。 FortiEDR 在下面圖 3 所示的事件中可以觀察到這種行為,並標記為“修改作業系統設置”。
此驅動程式是“empntdrv.sys”或“EaseUS”驅動程式的副本,它是用於資料恢復的合法驅動程式。編寫此驅動程式是非標準行為,可作為高置信度指標,可用于透過本文後面部分介紹的 FortiEDR 的威脅搜尋功能進行搜索。驅動程式的名稱在每次執行時都是隨機的。
此驅動程式由 wiper 惡意清除軟體載入,然後執行以提供對所有已掛載磁碟的原始磁碟存取。 wiper 惡意清除軟體使用此驅動程式授予的存取權限來存取每個驅動器的主引導記錄 (MBR),並用隨機產生的資料覆蓋它,從而損壞驅動器並使其無法使用。 FortiEDR 將檢測並阻止惡意進程直接存取磁碟作為惡意“檔存取”事件。這可以在下面圖 4 中描述的事件中觀察到。
寫入 MBR 後,驅動程式將被卸載並刪除。由於 MBR 損壞而重新開機時,受害端點將顯示如下圖 5 所示的螢幕。
如上所述,即使由於整合了 FortiGuard 威脅情報、線上沙箱和機器學習引擎而發佈了新變種,FortiEDR 也將檢測並阻止執行這一系列惡意軟體預執行。除此之外,FortiEDR 將檢測並阻止該惡意軟體家族執行的後續行為,即使執行樣本,也可以防止其破壞目標端點。
根據檔案建立事件(驅動程式)識別 wiper 惡意清除軟體。請注意,每次執行時檔案名都會更改(變為四個字母的檔案名),因此採用較通用的搜索內容。此查詢需要根據環境進行過濾。通常驅動程式僅由安裝程式透過 msiexec 安裝,但安全軟體通常依靠驅動程式常駐,因此也需要過濾安全軟體更新的驅動程式。
Type:”File Create” AND Target.File.Path:”Windows\System32\Drivers” AND Target.File.Ext:”sys” AND Target.File.Name:????.sys NOT Source.Process.Name:”msiexec.exe”
識別與 wiper 惡意清除軟體執行相關的異常註冊表操作。 ‘showCompColor’ 切換壓縮和加密的 NTFS 檔在透過資源管理器顯示時是否以彩色顯示,’showInfoTip’ 值切換是否在滑鼠懸停時顯示提示訊息。這些修改只對GUI輸出有影響而這些行為只是有限的實際效果。
Type:”Value Set” AND Registry.Path:”HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced” AND Registry.Name:(“ShowInfoTip” OR “ShowCompColor”) AND Registry.Data:”0″
TA0005 – Defense Evasion
技術標識 | 技術說明 | 觀察到的活動 |
T1070.001 | 主機上的指示器刪除:文件刪除 | HermaticWiper 將驅動程式從其內部資源之一寫入磁碟,然後載入並執行驅動程式以存取原始磁碟。清除過程完成後,將刪除此驅動程式。 |
技術標識 | 技術說明 | 觀察到的活動 |
T1026 | 經過模糊處理的文件或資訊 | HermaticWiper 將所需的驅動程式作為資源包含在主可執行檔中,並在執行時根據需要寫入磁碟 |
技術標識 | 技術說明 | 觀察到的活動 |
T1553.002 | 顛覆信任控制:代碼簽名 | 到目前為止,觀察到的 HermaticWiper 樣本已由”Hermetica Digital Ltd” 簽署,並附有合法證書。在攻擊發生時,證書尚未與合法公司或合法軟體相關聯。 |
技術標識 | 技術說明 | 觀察到的活動 |
T1561.002 | 磁碟清除:磁碟結構清除 | HermaticWiper 覆蓋連接到目標端點的所有磁碟的主啟動記錄 (MBR)。這會使啓動器無用,並將導致端點無法啟動。 |
技術標識 | 技術說明 | 觀察到的活動 |
---|---|---|
T1070.001 | 主機上的指示器刪除:文件刪除 | HermaticWiper 將驅動程式從其內部資源之一寫入磁碟,然後載入並執行驅動程式以存取原始磁碟。清除過程完成後,將刪除此驅動程式。 |
指標描述 | 指示器 | 指標類型 | 相關戰術 | 筆記 |
惡意可執行檔 | 0d8cc992f279ec45e8b8dfd05a700ff1f0437f29 | SHA1 哈希 | Impact | HermeticWiper 可執行檔 |
惡意可執行檔 | d9a3596af0463797df4ff25b7999184946e3bfa2 | SHA1 哈希 | Impact | HermeticWiper 可執行檔 |
惡意可執行檔 | 912342f1c840a42f6b74132f8a7c4ffe7d40fb77 | SHA1 哈希 | Impact | HermeticWiper 可執行檔 |
惡意可執行檔 | 61b25d11392172e587d8da3045812a66c3385451 | SHA1 哈希 | Impact | HermeticWiper 可執行檔 |
指標描述 | 指示器 | 指標類型 | 相關戰術 | 筆記 |
---|---|---|---|---|
惡意可執行檔 | 0d8cc992f279ec45e8b8dfd05a700ff1f0437f29 | SHA1 哈希 | Impact | HermeticWiper 可執行檔 |
惡意可執行檔 | d9a3596af0463797df4ff25b7999184946e3bfa2 | SHA1 哈希 | Impact | HermeticWiper 可執行檔 |
惡意可執行檔 | 912342f1c840a42f6b74132f8a7c4ffe7d40fb77 | SHA1 哈希 | Impact | HermeticWiper 可執行檔 |
惡意可執行檔 | 61b25d11392172e587d8da3045812a66c3385451 | SHA1 哈希 | Impact | HermeticWiper 可執行檔 |