背景
皮尔兹是全球最大的自动化设备生产商之一,总部位于德国,在全球有24家子公司和众多合作伙伴,其在中国的总部位于上海,并在北京和广州设有子公司,国内业务非常广泛。
从2019年10月13日起,由于受到了BitPaymer勒索病毒的攻击,该公司在全球范围内的所有服务器和PC工作站,包括通信设施,都受到了影响。
为预防起见,该公司切断了所有的网络连接,并阻止外部对公司网络的访问,同时Pilz员工花了三天时间才恢复电子邮件服务的访问,又花了三天才恢复其国际电子邮件服务,直到21日才恢复对产品订单和交货系统的访问。
据悉其生产能力没有收到太大的影响,但是其订单系统无法正常工作,无法提交订单和检查客户状态,在全球76个国家或地区的所有业务都收到了影响,截止到发稿为止,接受订单信息依然是通过电子邮件按照顺序进行人工处理。
鉴于此事件对工业界影响较大,奇安信病毒响应中心在对BitPaymer勒索软件进行分析后,结合以往其背后的团伙攻击事件时间线进行总结,同时对勒索代码进行简单分析。
攻击历史
2018年通过Dridex僵尸网络攻击美国阿拉斯加自治市马塔努斯卡-苏西塔纳。导致政府网络瘫痪,打字机等相关设备无法使用。
到了2019年,根据我们监控,从四月份开始活跃,一直持续至今,投递方式依然依赖于Dridex僵尸网络,且这几起勒索事件发生的事件都在周末。
四月份时攻击美国最大的饮料供应商之一,亚利桑那饮料公司,有数百台服务器收到了感染,同时还感染了Exchange服务器导致电子邮件服务出现了问题,一周之内无法处理客户订单,只能人工处理。
勒索代码分析
在此,我们对今年流行的BitPaymer进行分析:
外层loader经过复杂的混淆,经过对多个样本进行分析,我们发现该团伙应该开发了一套自用的混淆框架,内嵌了大量的无用代码和无效函数。
加载BitPaymer:
内存加载:
整体执行流程如下图:
一开始就会检测C:\aaa_TouchMeNot_.txt文件是否存在:
aaa_TouchMeNot_.txt是在Windows Defender Emulator虚拟机中放置的文件,通过检测该文件是否存在来判断当前运行环境是否在Windows Defender虚拟机中,以此来绕过Windows Defender的检测。
RC4算法解密出勒索信和要加密的后缀:
通过寻找自身名称中是否含有“:”,以此来判断当前是否作为ADS流执行:
如果不是则将自身复制到%APPDATA%/随机名称:Bin,创建新进程,该ADS流会执行以下操作
1、 删除原始操作。
2、 将自身从ADS拷贝到%APPDATA%目录下,并隐藏。
3、 在临时目录创建一个BAT文件。
有趣的是,该样本还会通过HKCRmscfileshellopencommand注册表键值来绕过UAC,实现持久化,路上指向上述的BAT文件:
如果该操作未成功,则退出不加密文件系统,调用以下命令,删除卷影:
vssadmin.exe Delete Shadows / All / Quiet
diskshadow.exe / s%TEMP%
并加密文件,弹出勒索信。
总结
工业 4.0 带动制造业、流程控制、基础设施和不计其数的其他工业控制系统(ICS)取得了巨大进步,但随之而来的是针对这些系统的威胁也在日益上涨。系统连接程度越高,风险相对也越大。今年早些时候,思科宣布收购法国ICS网络安全厂商Sentryo,Sentryo是专门为企业工业控制系统提供网络安全解决方案的,其业务涵盖能源、制造、石油、天然气和运输行业。
最近几年,工业安全受到了各个国家的重视,国外各大厂商如赛门铁克,CheckPoint相继发布针对工业控制系统的安全解决方案,在18日开幕的2019工业互联网全球峰会中提出了“感知+互联+智能”的未来工业化的目标和前景,对于安全人员来讲这无疑是巨大的挑战。
奇安信在此次大会上提出了工业互联网安全需要进化到“内生安全”,必须把安全能力构建在业务系统上,从而保证业务系统能生长出安全能力,在这个将要迎接万物互联的时代,奇安信严阵以待,目前奇安信旗下工业主机安全防护系统、工业安全监测系统、工业防火墙等多款工业安全产品,已经成功应用于汽车、烟草、能源、水利、航空等多个行业,并且获得了客户的一致好评。
目前奇安信全系产品已经可针对该勒索进行检测和查杀。
原文始发于微信公众号(奇安信病毒响应中心):披露:导致一个自动化设备生产商全球的系统宕机一周的罪魁祸首