爱尔兰卫生部遭Conti勒索软件攻击说明与建议

• 事件简介

爱尔兰健康服务管理署（HSE）于5月14日遭到Conti勒索软件攻击后，迫使其网络中断，也造成至少一家医院关闭所有门诊。5月17日Conti又针对HSE主管机关爱尔兰卫生部（DoH）发动袭击，爱尔兰政府警告，在勒索软件攻击DoH之后，有可能泄露机敏的医疗信息与其他患者个人资料。

新闻来源网址：

https://www.bleepingcomputer.com/news/security/conti-ransomware-also-targeted-irelands-department-of-health/

• 事件说明
  • 一、 爱尔兰卫生部遭攻击事件概述

1.  5月13日下午，爱尔兰国家网络安全中心（National Cyber Security Centre，NCSC）被告知卫生部（Department of Health，DoH）网络上存在可疑的攻击活动后，立即与美国卫生部及第三方安全厂商一起进行了一项调查，以确认任何可能威胁的性质与程度。
2. 初步调查显示怀疑存在远程访问工具cobalt strike Beacon，恶意攻击者经常使用该工具在执行勒索软件有效负载前，于环境中进行横向移动。
3.  5月14日大约早上7 点，NCSC被告知有严重事件影响爱尔兰健康服务管理署（Health Service Executive，HSE）系统。最初的报告表明，受到人为操控的Conti勒索软件攻击，严重破坏了许多系统，因此必须关闭大多数HSE系统。
4.  5月14日清晨，在DoH网络上也检测到恶意的网络活动，但由于在调查过程中结合了防病毒软件与其他工具的部署，检测到并停止了勒索软件的尝试执行。
5. 为了评估与限制影响，HSE决定关闭其所有IT系统，以作为预防措施。
6. NCSC已启动其紧急应变措施，并正对HSE与DoH提供支持及协助，以快速从攻击事件恢复正常运作。
7. NCSC还继续监控其他网络，以解决进一步攻击的风险。
8. 进一步分析此网络攻击之后，NCSC已向各单位发布了适当的建议。
9. HSE限制了与其他医疗保健提供商的网络连接，以做为预防措施。
10. 在HSE勒索软件事件发生后，Conti组织声称可以存取HSE的网络超过两个星期，并且能够窃取700 GB的未加密档案，包括员工与患者的信息、财务报表、薪资单及合约等。
11. 要求HSE需要支付2,000万美元的赎金，以从其服务器中删除所有被盗的数据并提供解密程序。
    • 二、 Conti勒索软件简介

Conti勒索软件是使用一种勒索软件即服务（RaaS）运作，自2020年以来，Conti背后的组织已建立了一个站点，可以从该站点泄漏勒索软件窃取得到之档案，而该组织被认为是Ryuk勒索软件家族的继承者被称为WizardSpider，总部设在俄罗斯。去年11月，国内工业计算机大厂研华科技（Advantech）即遭Conti勒索软件之攻击。

Conti勒索软件之攻击方式大致如以下方式：

1. 初始存取

该勒索软件可能是由于受到BazarLoader感染而进入系统，这可能是透过网络钓鱼电子邮件导致，其中包含与Google Drive连接，进而下载恶意软件。

1. 横向运动与防御规避

攻击者还透过排程以及使用批处理文件来停用安全工具，且在获得网域管理者的凭证后，攻击者就可以自由地在网络上进行横向移动。

1. 凭证存取

获得有关网域帐户的信息之后，攻击者便使用ntdsutil转存域控制器之凭证。

1. 资料转出

攻击者使用名为RClone的工具来执行数据转出，该工具是一个开放式程序代码工具，用于将档案同步到指定的云端储存。

1. 影响

在勒索软件转出数据并派送到目标端点后，档案并未被加密，且还透过使用WMI删除阴影复制（shadow copy）来禁止系统还原。

• • 三、 NCSC提供之相关信息
    • （一） 攻击策略（TTPs）

NCSC观察到了Conti勒索软件的一变种，并且在初始分析中显示了以下数据：

1. 在系统上发现Cobalt Strike beacons说明在执行Conti勒索软件有效负载之前，曾被用于在环境中横向移动。
2. 使用WMIC.exe删除阴影复制：

cmd.exe /c C:\Windows\System32\wbem\WMIC.exe shadowcopy  where "ID=’{REDACTED}’" delete

1. 列举内部网络之子网段，并保存结果到档案。
2. 使用多个批处理文件（.bat）将恶意软件复制到端点。
3. 透过psexec.exe利用受感染的使用者凭证，于受感染的使用者端点上执行恶意负载。
4. 发现32位可执行文件的Conti勒索软件。
5. 恶意软件尝试加密除了以下檔名以外的所有档案：

CONTI_LOG.txt、readme.txt、* .FEEDC、* .msi、* .sys、* .lnk、* .dll及* .exe

1. 恶意软件开始是透过使用无效参数呼叫许多伪造的WinAPI来刻意引发异常，这些是由恶意软件处理，以使用反仿真/沙盒逃避（anti-emulation/sandbox evasion）技术。
2. 加密的档案以.FEEDC的附檔名重新被命名。
   • • （二） 对应到MITRE ATT&CK框架
3. T1047：Windows管理规范（Windows Management Instrument）
4. T1106：原始API（Native API）
5. T1129：共享的模块（Shared Modules）
6. T1027.002：软件封装（Software Packing）
7. T1036：伪装（Masquerading）
8. T1564.003：隐藏窗口（Hidden Window）
9. T1497.001：虚拟化/沙盒：系统检查（Virtualization/Sandbox Evasion：System Checks）
10. T1124：侦测系统时间（System Time Discovery）
11. T1083：侦测档案与目录（File and Directory Discovery）
12. T1049：侦测系统网络连接（System Network Connections Discovery）
13. T1057：侦测程序（Process Discovery）
14. T1016：侦测系统网络组态配置（System Network Configuration Discovery）
15. T1135：侦测网络共享（Network Share Discovery）
16. T1486：受加密影响的数据（Data Encrypted for Impact）
17. T1490：禁止系统还原（Inhibit System Recovery）
    • • （三） 入侵威胁指标（IoCs）
      • （四） 相关防范措施

项次	Hash 256	备注
1	d21c71a090cd6759efc1f258b4d087e82c281ce65a9d76f20a24857901e694fc	Conti
2	234e4df3d9304136224f2a6c37cb6b5f6d8336c4e105afce857832015e97f27a	Cobalt Strike
3	1429190cf3b36dae7e439b4314fe160e435ea42c0f3e6f45f8a0a33e1e12258f	Cobalt Strike
4	8837868b6279df6a700b3931c31e4542a47f7476f50484bdf907450a8d8e9408	Cobalt Strike
5	a390038e21cbf92c36987041511dcd8dcfe836ebbabee733349e0b17af9ad4eb	Cobalt Strike
6	d4a1cd9de04334e989418b75f64fb2cfbacaa5b650197432ca277132677308ce	Cobalt Strike
7	5a2e947aace9e081ecd2cfa7bc2e485528238555c7eeb6bcca560576d4750a50	Lazagne
8	_EXE.bat	檔名
9	_COPY.bat	檔名

NCSC建议包括：

• • • • 1. 隔离域控制器
      • 2. 管制进出因特网之联机
      • 3. 建立用于重建与恢复运作的干净VLAN
      • 4. 阻挡恶意IP及网域
      • 5. 保护特权账户
      • 6. 强化端点防护
      • 7. 抹除、重建及更新所有被感染的设备
      • 8. 确保防病毒软件在所有系统上皆为最新状态
      • 9. 确保所有硬设备之漏洞均已修补，并且已更新到最新
      • 10. 使用异地备份来还原系统，在还原之前，请确认备份未受到恶意软件的攻击。
      • 11. 还原端点设备
      • 12. 根据需要重新映像设备
      • 13. 重置密码凭证
      • 14. 重新整合受隔离的系统
      • 15. 还原服务