Check Point取证报告：SandBlast客户端能够监测到无文件GandCrab

一、背景

2018年1月，GandCrab勒索软件首次亮相。这是一个很出名的恶意软件，分布在暗网上，主要针对斯堪的纳维亚和英语国家。

此外，GandCrab关联计划为低水平威胁行为者提供了运行他们自己的勒索软件的机会。它主要通过电子邮件垃圾邮件引擎进行传播，还向相关人员提供建议和鼓励，确定区域来确保最高利润。

虽然可以在我们之前的博客文章（ previous blog post ）中阅读有关GandCrab的更多信息，但在本系列中，我们使用基于交互式Web的报告提供最近及新攻击的更好描述，展示攻击流程。我们还将使用交互式取证报告来说明，尽管GandCrab使用了无文件技术，但SandBlast Agent仍然能够监控和检测其操作。

二、GandCrab操作

GandCrab勒索软件系列由于其独特的功能而迅速被网络犯罪分子采用：根据加密文件的类型和数量定制赎金，而范围从数百美元到数千美元不等。为了增加其多功能性，GandCrab还使用了几个攻击向量来穿透受害者的机器。可以在Check Point的研究博客（ Check Point’s Research blog. ）上阅读有关GandCrab操作的更多信息。

三、GandCrab的特别之处

无文件勒索软件攻击操作的方法之一是使用Windows默认的工具，特别是PowerShell和Windows Management Instrumentation（WMI），并将它们用于恶意活动，例如横向移动到其他计算机而不在磁盘上写入任何文件或历史记录。可以在此处（ here ）阅读我们之前博客中有关无文件恶意软件的详细信息。

Check Point SandBlast团队最近发现了这种针对一系列充当Web服务器的Windows 10计算机的攻击。在此情形中，机器的RDP端口打开并可公开访问。

结果，攻击者设法远程登录到机器，很有可能是通过尝试多种常见的用户名/密码组合（一种称为“暴力破解”的方法），并且已成功做到，执行一个简单的命令从而触发勒索软件进程。

然后攻击继续，使用Windows命令行调用PowerShell（一个使用命令行 shell 来管理任务的本机Windows框架），下载恶意脚本。当然，值得注意的是，使用PowerShell可以避免将文件写入磁盘，并将恶意软件与计算机上的合法活动融为一体。

图1：攻击链（单击打开  interactive report ）

第一阶段PowerShell脚本实际上是一个混淆的脚本，它确定系统的处理器体系结构，并下载适用于相应操作系统的第二阶段脚本。可以在此处（ here ）生成的相应SandBlast取证报告中查看流程参数。

图2：第一阶段PowerShell

第二阶段脚本使用了一种称为反射DLL注入（ Reflective DLL Injection ）的技术。使用该方法，攻击者省略了Windows通常为DLL做的一些事情，这使得该技术更加秘密，更难以调查。在此之后，PowerShell进程基本上被GandCrab劫持，并作为GandCrab内部函数的便携式二进制文件。

这里关注的进程是ID号为6448的Powershell.exe的第二个实例，它在报告中标记为具有业务影响和数据篡改（加密用户文档），参见其图标后面的火焰说明。该进程本是Microsoft Signed PowerShell.exe的正常实例，随所有Windows版本一起提供或更新。

图3：第二个PowerShell进程

该进程是使用内联参数启动的，这些参数基本上被PowerShell理解为要运行的脚本。但是，在下面的例子中，攻击者要求PowerShell从流行的文本存储网站pastebin.com下载原始文本并执行。

然而，PowerShell脚本被SandBlast Behavioral Guard去混淆，并添加到报告中以增加透明度，更方便理解脚本的意图。可以单击报告中的流程以查看脚本的解码内容。

图4：内容选项卡将显示已解码和去混淆的PowerShell脚本

在报告中，“网络”选项卡显示进程的网络活动以及Check Point信誉服务为访问的URL提供的结论。实际上，Bot图标表示URL是一个命令和控制站点或URL，用于传递新指令或接收恶意数据。此外，在加密后Windows的影子文件备份被删除，如交互式报告（ interactive report ）中所示。 

图5：“网络”选项卡显示勒索软件的网络活动

四、总结

尽管GandCrab是一种恶意软件，通常会通过混淆其在受害者机器合法进程背后的操作来逃避检测，但Check Point的行为保护引擎和SandBlast取证报告阐述了简明、可操作的情报，允许事件响应者确定上下文、安全事件期间发生的范围及潜在影响。

虽然像GandCrab这样的恶意软件试图利用Windows默认工具（如PowerShell和Windows Management Instrumentation（WMI））的合法功能，并将其用于恶意活动，但Check Point的行为保护引擎（如上述案例研究所示）采用了尖端技术，能够了解这些 工具 的合法使用和非法使用之间的区别，能够防止恶意代码运行影响机构的业务运营。