Scattered Spider Ransomware Attack
Scattered Spider 是一个老练且攻击性极强的网络犯罪组织,其针对 VMware ESXi 虚拟机管理程序的攻击力度不断加大。该组织以北美零售、航空和交通运输等关键行业为目标,其行动经过精心策划,且极具破坏力。他们的成功并非源于软件漏洞,而是源于对社会工程学和可信系统操控的精通。
目录
不利用漏洞的策略:以社会工程学为核心
Scattered Spider 并非利用软件漏洞,而是采用一种久经考验的策略:基于电话的社会工程。该组织经常联系 IT 服务台,冒充合法人员,包括高权限管理员。这些电话是其更广泛的攻击策略的一部分,这使得他们的攻击绝非随机。他们精心策划行动,以组织内最敏感的系统和数据为目标。
Scattered Spider 攻击者以注册欺骗性域名而闻名,这些域名与目标的基础设施或登录门户高度相似。常见的命名模式包括:
- 受害者名称-sso.com
- 受害者姓名-okta.com
- 受害者名称-servicedesk.com
- sso-victimname.com
- servicenow-victimname.com
从服务台到虚拟机管理程序:多阶段攻击链
Scattered Spider 的攻击方法分为五个战略阶段,每个阶段都旨在提升访问权限并最大限度地减少检测:
初始访问和权限提升
攻击者首先会利用社会工程学手段冒充员工,窃取凭证并收集内部文件。他们通常会从 HashiCorp Vault 等密码管理器中提取数据,并利用 IT 支持流程重置管理员密码。
横向移动到 vSphere
通过利用映射到 VMware 环境的 Active Directory 凭据,攻击者可以访问 vCenter Server Appliance (vCSA)。攻击者部署了一个名为 teleport 的工具,用于创建加密的反向 Shell,从而绕过防火墙规则并建立持久访问。
虚拟机管理程序操作和数据提取
在 ESXi 主机上启用 SSH,重置 root 密码,并执行“磁盘交换”攻击。此攻击包括关闭域控制器虚拟机、分离其虚拟磁盘、将其连接到攻击者控制的虚拟机,以及提取 NTDS.dit 数据库,然后再逆转该过程。
禁用恢复机制
删除备份作业、快照和存储库,以消除恢复选项并放大攻击的影响。
勒索软件部署
自定义勒索软件二进制文件通过 SCP 或 SFTP 推送到受感染的 ESXi 主机,加密整个虚拟环境中的关键系统。
散落蜘蛛的速度与隐秘
Scattered Spider(别名包括 0ktapus、Muddled Libra、Octo Tempest 和 UNC3944)与传统勒索软件攻击者的区别在于其行动速度快、隐蔽性强。专家指出,从最初的访问到勒索软件部署,整个攻击过程可能在短短几个小时内完成。在某些情况下,超过 100 GB 的数据在不到 48 小时内就被窃取。该组织还与 DragonForce 勒索软件程序有关联,这进一步增强了其攻击能力。
转变防御策略:从 EDR 到以基础设施为中心的安全
鉴于这些攻击的性质,标准的端点检测和响应 (EDR) 工具可能不够用。防御 Scattered Spider 需要采取整体的、以基础设施为中心的方法。强烈建议采用以下分层防御策略:
第 1 层:vSphere 和 Hypervisor 强化
- 在 vSphere 上启用锁定模式
- 强制执行 execInstalledOnly
- 使用虚拟机加密
- 淘汰未使用或过时的虚拟机。
- 确保服务台的安全并对其进行培训,防止其遭受冒充攻击。
第 2 层:身份和访问保护
- 实施防网络钓鱼的多因素身份验证 (MFA)。
- 隔离关键身份基础设施。
- 避免攻击者可以利用的循环身份验证依赖关系。
第三层:监控与备份隔离
- 集中监控关键基础设施的日志。
- 将备份与 Active Directory 访问隔离。
- 确保即使被入侵的管理员帐户也无法访问备份。
结论:勒索软件风险的新时代
针对 vSphere 生态系统(尤其是 ESXi 主机和 vCenter Server)的勒索软件因其可能造成迅速且大规模的破坏而构成严重威胁。Scattered Spider 的行动经过精心策划,凸显了企业需要重新思考其防御策略。忽视这些风险或延迟实施建议的应对措施可能会导致灾难性后果,包括严重的宕机、数据丢失和财务损失。
