完整还原Maze勒索软件的勒索过程

Maze勒索软件以前也被称为“ChaCha勒索软件”，于2019年5月29日被Jerome Segura发现。从历史上看，该恶意软件使用不同的技术来获取进入权限，主要是利用漏洞利用工具包，具有弱密码的远程桌面连接或通过电子邮件模拟，或通过不同的代理机构或公司。这些电子邮件带有Word附件，该附件使用宏在系统中运行恶意软件。其中，最常用的漏洞利用工具包是Fallout和Spelevo。Maze的开发者很聪明，增加了防止其反转和静态分析的难度。

Maze的最重要特征是，如果受害者不付款，他们将在互联网上发布受害者信息。

自2019年11月以来， MAZE勒索软件就开始发起攻击了，本文会根据许多Mandiant事件响应活动来进行讲解。

目前，Mandiant确定了MAZE勒索软件有多名说俄语的攻击者参与，这些攻击者声称使用MAZE勒索软件，并正在寻找合作伙伴以在其团队中发挥不同的功能。

MAZE最初通过开发工具包和垃圾邮件活动进行传播 

直到2019年末，MAZE勒索软件都是直接通过漏洞利用工具包和垃圾邮件活动进行传播的。例如，光在2019年11月，Mandiant就观察到多次电子邮····件活动，主要向德国和美国组织传播Maze勒索软件。

2019年11月6日至7日，一个针对德国的MAZE活动发送了大量标题为 “Wichtige informationen uber Steuerruckerstattung”和“1&1 Internet AG - Ihre Rechnung 19340003422 vom 07.11.19” 的文档。收件人包括各行各业的组织中的个人，其中，金融服务、医疗保健和制造业是最常见的目标。这些电子邮件是使用许多恶意域名发送的，这些恶意域名的注册人地址为gladkoff1991@yandex.ru。

2019年11月8日， MAZE又对位于美国的金融服务和保险组织发起了攻击。

2019年11月18日至19日，MAZE攻击者又使用含有电话账单和包裹递送主题的宏文档，针对在美国和加拿大多个行业发起攻击。这些电子邮件使用“包裹遗失”和“您的AT＆T无线账单已准备好查看”主题，并使用多个恶意域进行发送，其注册地址为abusereceive@hitler.rocks。值得注意的是，该注册人地址还被用于在2019年11月底之前创建多个意大利语域。

AT＆T恶意电子邮件

伪造的加拿大邮政电子邮件

MAZE的攻击影响

使用MAZE的攻击者除了在攻击目标中进行部署外，还可以在受害者的环境中感染更多的主机并窃取数据

尽管MAZE勒索软件的攻击方法非常相似，但是这些方法之间还存在显着的差异，表明攻击是来自不同的团队。即使对于相同的攻击组织，在面对不同的攻击任务时，所选用的方法也不同，甚至在同一任务中的不同阶段，攻击方法也不同。

攻击的开始阶段

通过分析MAZE勒索软件事件，研究人员发现攻击者很少在攻击中使用相同的攻击模式。以下是来自几个Mandiant事件响应的观察样本：

1. 用户下载了一个与简历相关的Microsoft Word文档，该文档包含启动了IcedID有效载荷的宏，该宏最终用于执行BEACON实例。

2. 攻击者通过RDP登录到面向互联网的系统，用于授予初始访问权限的帐户是通用支持帐户。目前尚不清楚攻击者是如何获该帐户密码的。

3. 攻击者利用了面向Internet的系统上的错误配置，这种访问使攻击者能够部署工具以隐藏到内部网络。

4. 攻击者使用弱密码登录到Citrix Web门户帐户，通过身份验证的访问，攻击者可以在内部系统上启动Meterpreter有效载荷。

建立攻击点并保持持续性攻击

在攻击环境中使用合法凭证和广泛传播信标似乎是攻击者在受害者网络中建立立足点和持续性攻击的一贯做法，因为他们希望实现部署MAZE勒索软件的最终目标。。尽管存在这些常见的行为，但我们已经观察到一个攻击者创建了自己的域帐户以支持后期操作。

1. 在多个事件中，部署MAZE的攻击者通过在许多服务器和工作站上安装信标有效载荷，在攻击环境中建立了立足点。

2. Web shell被部署到面向internet的系统上，这些web shell授予的系统级访问权限用于启用初始特权升级和后门执行。

3. 攻击者会定期获得并维护对具有多个权限的多个域和本地系统帐户的访问权限，这些权限会在整个操作过程中一直被使用。

4. 参与者创建了一个新的域帐户并将其添加到域管理员组。

升级特权

尽管Mandiant已经观察到MAZE的攻击者已经会使用Mimikatz收集凭据以启用特权升级的多种示例，但在许多示例中，通过使用Bloodhound以及更多手动搜索包含凭据的文件，这些升级特权的情况确实存在。

1. 初次访问后不到两周，攻击者就下载了一个名为mimi.zip的压缩文件并与之互动，该压缩文件包含与凭证收集工具Mimikatz相对应的文件。在接下来的几天中，在受影响的环境中的两个域控制器上识别出了相同的mimi.zip压缩文件。

2. 攻击者试图在环境中查找带有 “password” 单词的文件。此外，还创建了一些压缩文件，其文件名暗示了凭证收集活动的存在。

3. 攻击者试图识别运行KeePass密码安全软件的主机；

4. 在多个事件中，使用了Bloodhound实用程序，大概是用来评估使用域管理员特权获取凭据的可能方法。

5. 攻击者主要使用Procdump和Mimikatz收集凭证，以用于以后的攻击。值得注意的是，攻击者还使用了Bloodhound和PingCastle，大概是为了使攻击者能够了解受影响的组织的Active Directory配置。在这种情况下，负责任的攻击者还尝试将收集的凭据泄漏到多个不同的云文件存储服务。

侦察

Mandiant在观察到的MAZE事件中观察到了大量的网络、主机、数据和Active Directory侦查方法。

1. 在某些攻击中，侦察活动在获得对受害者网络的初始访问权限后的三天内发生。负责的攻击者通过Cobalt Strike执行了大量侦察脚本，以收集与网络，主机，文件系统和域相关的信息。

2. 尽管攻击者还提供并使用了Advanced IP Scanner和Adfind来支持其这一阶段的操作，但使用了多个内置的Windows命令来对受影响的环境进行网络、帐户和主机侦察。

3. 初步的网络侦查是使用名为“2.bat”的批处理脚本进行的，该脚本包含一系列nslookup命令，该脚本的输出被复制到名为“2.txt”的文件中。

4. 攻击者通过编码的PowerShell脚本将与IT环境相关的侦察命令输出数据和文档传输到攻击者控制的FTP服务器。

5. 在几天的时间里，一个攻击者使用Bloodhound，PowerSploit / PowerView（Invoke-ShareFinder）和旨在枚举内部主机目录的侦察脚本进行了侦察活动。

6. 攻击者使用adfind工具和批处理脚本来收集有关其网络、主机、域和用户的信息。此批处理脚本（2adfind.bat）的输出使用名为7.exe的7zip压缩实用程序的实例保存到名为“ad.7z”的文件中。

7. 攻击者使用工具smbtools.exe评估帐户是否可以登录整个环境中的系统。

8. 攻击者从受影响环境中的文件服务器收集了目录列表，大约一个月后，就观察到数据泄露的证据，这表明创建这些目录清单可能是先驱活动，为攻击者提供了他们可能用来识别敏感数据以供将来泄露的数据。

横向渗透活动

在大多数MAZE勒索软件事件中，横向移动是通过Cobalt Strike BEACON并使用先前收集的凭据来完成的。尽管如此，研究者还是观察到了一些替代工具和方法。

1. 攻击者在很大程度上依靠Cobalt Strike BEACON在受影响的环境中横向移动，尽管他们也使用ngrok实用程序通过隧道传输RDP，并使用tscon劫持合法的rdp会话以实现横向移动和特权提升。

2. 攻击者利用从最初获得立足点的系统获得的受损服务和用户帐户，在某些网络中横向移动。这使他们能够立即访问其他系统。然后使用被窃取的凭证通过RDP在网络上横向移动并安装信标有效载荷，从而使攻击者获取访问近一百台主机的权限。

3. 调查中发现一名攻击者使用Metasploit横向移动，然后使用本地管理员帐户将Cobalt Strike有效载荷部署到系统中。

4. 2019年初和后期，至少有一位攻击者尝试使用EternalBlue进行横向移动，但是，目前还没有证据表明这些尝试是成功的。

攻击过程

有证据表明，在大多数分析过的MAZE勒索软件事件中，都存在着数据泄漏。尽管恶意攻击者可以通过各种方式（例如在地下论坛中出售、欺诈）利用被盗数据获利，但众所周知，如果受害者组织不支付赎金，雇用MAZE的攻击者会威胁受害者泄漏这些被盗数据。

1. 研究人员已经观察到有一个攻击者使用base64编码的PowerShell脚本将数据泄露到FTP服务器，该脚本设计为使用硬编码的用户名和密码将带有.7z文件扩展名的任何文件上传到预定义的FTP服务器。该脚本似乎与2013年首次发布到Microsoft TechNet的脚本略有不同。

2. 还使用了不同的base64编码的PowerShell命令在单独的事件中启用此功能。

3. 部署MAZE勒索软件的攻击者也使用WinSCP实用程序将数据泄漏到攻击者控制的FTP服务器。

4. 已经观察到有攻击者使用文件复制实用程序并将盗窃的数据复制到云文件托管/共享服务。

5. 在部署MAZE勒索软件之前，攻击者已经使用7zip实用程序将来自盗窃的各种数据进行压缩。然后，使用WinSCP实用程序通过FTP将这些压缩文件传输到攻击者控制的服务器中。

除了盗窃数据外，行动者还部署MAZE勒索软件来加密那些在受害者网络上识别的文件。值得注意的是，前面提到的MAZE面板具有一个选项，可以指定赎金需求翻倍的日期，这可以会给攻击者带来紧迫感。

1. 从受害环境中窃取数据五天后，攻击者将MAZE勒索软件二进制文件复制到受害环境中的15台主机上，并成功地在部分系统上执行了勒索软件。

2. 攻击者使用批处理脚本以及一系列包含主机名的txt文件来在受害环境中的许多服务器和工作站上传播和执行MAZE勒索软件。

3. 攻击者将MAZE勒索软件部署到数十台主机，并使用在攻击中较早创建的域管理员帐户登录到每个系统。

4. 敏感数据泄露后，攻击者立即开始将MAZE勒索软件部署到整个网络的主机上，在某些情况下，攻击者还加密了数千台主机。加密过程如下：

4.1 使用名为start.bat的批处理脚本来执行一系列名称为xaa3x.bat或xab3x.bat的辅助批处理脚本。

4.2 这些批处理脚本中的每个脚本都包含一系列命令，这些命令使用copy命令，WMIC和PsExec在受影响的主机上复制并执行kill脚本（windows.bat）和MAZE勒索软件实例（sss.exe）。

4.3 值得注意的是，对受影响环境的取证分析显示，MAZE部署脚本的目标主机数量是最终加密主机的十倍。

如上所述，即MAZE勒索软件是由多个攻击者传播的，我们预计与此勒索软件相关的整个事件中使用的TTP将会继续有所变化，特别是在初始攻击媒介方面。

Mandiant安全验证措施

企业可以使用Mandiant Security Validation针对20多种针对MAZE的操作来验证其安全控制。

A100-877 - Active Directory - BloodHound, CollectionMethod All
A150-006 - Command and Control - BEACON, Check-in
A101-030 - Command and Control - MAZE Ransomware, C2 Beacon, Variant #1
A101-031 - Command and Control - MAZE Ransomware, C2 Beacon, Variant #2
A101-032 - Command and Control - MAZE Ransomware, C2 Beacon, Variant #3
A100-878 - Command and Control - MAZE Ransomware, C2 Check-in
A100-887 - Command and Control - MAZE, DNS Query #1
A100-888 - Command and Control - MAZE, DNS Query #2
A100-889 - Command and Control - MAZE, DNS Query #3
A100-890 -  Command and Control - MAZE, DNS Query #4
A100-891 - Command and Control - MAZE, DNS Query #5
A100-509 - Exploit Kit Activity - Fallout Exploit Kit CVE-2018-8174, Github PoC
A100-339 - Exploit Kit Activity - Fallout Exploit Kit CVE-2018-8174, Landing Page
A101-033 - Exploit Kit Activity - Spelevo Exploit Kit, MAZE C2
A100-208 - FTP-based Exfil/Upload of PII Data (Various Compression)
A104-488 - Host CLI - Collection, Exfiltration: Active Directory Reconnaissance with SharpHound, CollectionMethod All
A104-046 - Host CLI - Collection, Exfiltration: Data from Local Drive using PowerShell
A104-090 - Host CLI - Collection, Impact: Creation of a Volume Shadow Copy
A104-489 - Host CLI - Collection: Privilege Escalation Check with PowerUp, Invoke-AllChecks
A104-037 - Host CLI - Credential Access, Discovery: File & Directory Discovery
A104-052 - Host CLI - Credential Access: Mimikatz
A104-167 - Host CLI - Credential Access: Mimikatz (2.1.1)
A104-490 - Host CLI - Defense Evasion, Discovery: Terminate Processes, Malware Analysis Tools
A104-491 - Host CLI - Defense Evasion, Persistence: MAZE, Create Target.lnk
A104-500 - Host CLI - Discovery, Defense Evasion: Debugger Detection
A104-492 - Host CLI - Discovery, Execution: Antivirus Query with WMI, PowerShell
A104-374 - Host CLI - Discovery: Enumerate Active Directory Forests
A104-493 - Host CLI - Discovery: Enumerate Network Shares
A104-481 - Host CLI - Discovery: Language Query Using PowerShell, Current User
A104-482 - Host CLI - Discovery: Language Query Using reg query
A104-494 - Host CLI - Discovery: MAZE, Dropping Ransomware Note Burn Directory
A104-495 - Host CLI - Discovery: MAZE, Traversing Directories and Dropping Ransomware Note, DECRYPT-FILES.html Variant
A104-496 - Host CLI - Discovery: MAZE, Traversing Directories and Dropping Ransomware Note, DECRYPT-FILES.txt Variant
A104-027 - Host CLI - Discovery: Process Discovery
A104-028 - Host CLI - Discovery: Process Discovery with PowerShell
A104-029 - Host CLI - Discovery: Remote System Discovery
A104-153 - Host CLI - Discovery: Security Software Identification with Tasklist
A104-083 - Host CLI - Discovery: System Info
A104-483 - Host CLI - Exfiltration: PowerShell FTP Upload
A104-498 - Host CLI - Impact: MAZE, Desktop Wallpaper Ransomware Message
A104-227 - Host CLI - Initial Access, Lateral Movement: Replication Through Removable Media
A100-879 - Malicious File Transfer - Adfind.exe, Download
A150-046 - Malicious File Transfer - BEACON, Download
A100-880 - Malicious File Transfer - Bloodhound Ingestor Download, C Sharp Executable Variant
A100-881 - Malicious File Transfer - Bloodhound Ingestor Download, C Sharp PowerShell Variant
A100-882 - Malicious File Transfer - Bloodhound Ingestor Download, PowerShell Variant
A101-037 - Malicious File Transfer - MAZE Download, Variant #1
A101-038 - Malicious File Transfer - MAZE Download, Variant #2
A101-039 - Malicious File Transfer - MAZE Download, Variant #3
A101-040 - Malicious File Transfer - MAZE Download, Variant #4
A101-041 - Malicious File Transfer - MAZE Download, Variant #5
A101-042 - Malicious File Transfer - MAZE Download, Variant #6
A101-043 - Malicious File Transfer - MAZE Download, Variant #7
A101-044 - Malicious File Transfer - MAZE Download, Variant #8
A101-045 - Malicious File Transfer - MAZE Download, Variant #9
A101-034 - Malicious File Transfer - MAZE Dropper Download, Variant #1
A101-035 - Malicious File Transfer - MAZE Dropper Download, Variant #2
A100-885 - Malicious File Transfer - MAZE Dropper Download, Variant #4
A101-036 - Malicious File Transfer - MAZE Ransomware, Malicious Macro, PowerShell Script Download
A100-284 - Malicious File Transfer - Mimikatz W/ Padding (1MB), Download
A100-886 - Malicious File Transfer - Rclone.exe, Download
A100-484 - Scanning Activity - Nmap smb-enum-shares, SMB Share Enumeration