事件背景
2021年5月7日至12日,美国最大的天然气和柴油运输管道公司科罗奈尔公司Colonial Pipeline遭到勒索软件定向攻击,此次勒索攻击由于涉及到国家级关键基础设施,故而引起了全球的震动和广泛关注。
因遭受勒索软件攻击,暂停其在美国东岸的关键输送业务。此次事件暴露了美国关键基础设施体系网络安全防护的严重不足,迫使美政府迅速采取行动。5月9日,美国交通部下属联邦汽车运输安全管理局发布区域紧急状态声明,临时给予18个州汽油、柴油、航空燃料和其他成品油的临时运输豁免(按照此前规定只能通过管道运输),以确保通过公路运输维持燃料供应。12日colonial公司宣布燃油运输管理系统逐步恢复运行。
该攻击并非史上针对关键基础设施的首次网络攻击,但却是第一次导致主干能源管道暂时完全停止运营,对于美国乃至全球关键基础设施的网络安全将产生不可忽视的影响。
事件影响
攻击事件一方面造成美东油气短缺以及国际原油期货价格的大幅波动,给疫情下的全球经济复苏带来恶劣影响。另一方面,“美国进入紧急状态”的相关新闻频频发酵并冲上热搜,也在大众群体内引起一定程度的恐慌担忧.
总统乔·拜登5月9日宣布紧急状态,取消陆路运输燃油限制,缓解潜在短缺问题。5月10日,乔治亚州州长布莱恩·坎普宣布紧急状态,同时临时免征燃油税。5月12日,美国交通部长彼得·布蒂吉格和能源部长珍妮弗·格兰霍姆警告民众不要囤积汽油,重申美国正面临“供应紧缩”,石油不存在短缺.
colonial运营着美国最大的成品油,每天输送原油多达250万桶,占东海岸消耗燃料总量的45%左右,堪称美国东部最重要的油气大动脉。消息一出,美东地区的加油站前大排长龙,汽油价格升至2014年来新高,期货价格随之飞涨,创下2018年5月以来最高水平。美国天然气与电网之间关系密切,2020年约40%的电力系通过燃烧天然气产生,民用电网因此也面临重大威胁.
事后处理
攻击者索要65 比特币(约 750 万美元)的赎金,但协商后金额降至 440 万美元。于 5 月 11 日支付。
美国司法部表示已经追回大部分的赎金,并且披露联邦调查局掌握一个私人密钥,解锁了收取大部分赎金的账号,合计7个比特币,市值230万美元。账号的地址位于加州北部。DarkSide的博客 、支付服务器,以及SDN服务器,已遭到执法机关扣押。
乔治亚州州长布莱恩·坎普宣布紧急状态,同时临时免征燃油税[24]。5月12日,美国交通部长彼得·布蒂吉格和能源部长珍妮弗·格兰霍姆警告民众不要囤积汽油,重申美国正面临“供应紧缩”,石油不存在短缺。
5月12日,经过六天的关闭,经过网络安全专家的评估,科洛尼尔管道公司重启系统,但服务恢复正常还需要几天。公司表示会尽可能提高燃油运输量,直至市场恢复稳定。5月13日,科洛尼尔管道宣布供油全线恢复运营。5月15日,科洛尼尔管道公司宣布燃油运输系统恢复正常运营。
攻击链条
经过联邦调查局对病毒分析和情报证实黑客犯罪组织DarkSide策划了此次袭击,DarkSide最早被发现是在2020年8月,是运营勒索软件即服务 (RaaS) 的组织,其分支机构网络的攻击已经感染了全球许多能源、电力公司。其下属代理数不胜数。该团伙在5月6日入侵Colonial的网络,并窃取近100GB的数据,Colonial安全专家发现公司计算机网络被勒索软件入侵后,立刻关停管道系统,防止黑客利用可能已获取的信息,进一步攻击系统管道系统。
通过的样本历史统计,从2020-11到2022-01月该组织共更新过65个不同种类功能的勒索病毒:
此次攻击当中,有国外安全公司认为是:工程师因疫情原因在家办公,通过远程访问管道控制系统而导致攻击的发生,但这只是其中一种推测。
通过模拟历史中所有被DarkSide攻击中招后的受害者统计,分析推演出该组织大概率使用的攻击手段:
关于加密后的文件是否可以解密?DarkSide组织一直使用RSA-1024的加密方式,该加密方式是属于公钥密码体制的一种算法,是一种非对称加密方法,如果密钥长度越长越复杂全世界任何一家机构组织短时间内都无法破解。
样本分析
0x1背景
病毒Hash:
5da3e6b4bea1eaceddb048a4a6bd702291189f42d15c4b2670de78984329b0a9
0x1病毒分析
得到样本后第一时间进行了分析:
DarkSide 勒索软件首次在受感染主机上执行时,它会检查系统上的语言是否为俄语,使用GetSystemDefaultUILanguage() 和 GetUserDefaultLangID() 函数来避免位于前苏联集团国家的系统被加密:
该勒索病毒不会加密安装了以下语言的操作系统:
俄语-419 | 拉丁语-42C | 西里尔文-843 | 乌克兰语-422 |
格鲁吉亚语-437 | 鞑靼-444 | 叙利亚-2801 | 白俄罗斯-423 |
哈萨克语-43F | 摩尔多瓦-818 | 塔吉克语-428 | 亚美尼亚语-42B |
土尔曼-422 |
获取操作系统版本、用户、电脑名称:
停止与安全备份解决方案相关的服务:VSS、SQL
遍历以下进程发现就杀死进程,其目的为了防止拥有数据备份的时间和占用数据库文件导致加密失败的情况:
msftesql.exe | sqlagent.exe | sqlbrowser.exe | sqlwriter.exe | oracle.exe |
ocssd.exe | dbsnmp.exe | synctime.exe | agntsvc.exe | isqlplussvc.exe |
xfssvccon.exe | sqlservr.exe | mydesktopservice.exe | ocautoupds.exe | agntsvc.exe |
firefoxconfig.exe | tbirdconfig.exe | msaccess.exe | mspub.exe | onenote.exe |
outlook.exe | powerpnt.exe | steam.exe | sqlservr.exe | thebat.exe |
thebat64.exe | thunderbird.exe | visio.exe | winword.exe | wordpad.exe |
根据用户uid写入Readme[uid].txt和赎金信息
勒索病毒连接C2网络地址
防护措施
周期性的进行数据备份(按天增量、按周/月全量),并做好多副本异地存储(按月/季度);
搭建具有容灾能力的架构,发生问题可以切换至备份系统保障系统连续性;
定期对系统进行漏洞扫描和渗透测试,及时发现问题并进行解决;
对主机进行安全加固,关闭135、137、138、139、445以及不必要的服务端口。主机上运行服务的默认端口号更改至非周知端口;
周期性检查并更新云主机操作系统的补丁以及应用软件的补丁。