勒索軟件持續在逃避檢測，并感染各個行業的企業網絡。防御者需要不斷完善其動態檢測，來檢測和阻止勒索軟件攻擊。對此，Insikt Group分析了勒索軟件運營商常用的五個MITRE ATT&CK技術，分別為：防御規避戰術的禁用或修改工具、禁用或修改系統防火墻、預引導三項技術、指揮與控制戰術的入侵工具轉移技術、以及特權提升戰術的組策略修改技術。

  MITRE ATT&CK框架是一個綜合矩陣，用于顯示網絡攻擊的生命周期。該框架分為14種高級戰術（Tactics），每種戰術都包含多種技術（Techniques）。當存在多種不同的技術方法時，高級技術也進一步分為子技術。例如，初始訪問（戰術）可以通過網絡釣魚（技術）獲得，而特定類型的網絡釣魚是通過魚叉式網絡釣魚附件（子技術）獲得的。將多個威脅行為者或惡意軟件家族映射到ATT&CK框架可以突出威脅行為者活動的趨勢，并幫助防御者集中精力進行檢測。

Insikt Group通過回顧最近備受關注的攻擊和最常見的勒索軟件家族來評估當前的勒索軟件形勢，以確定勒索軟件威脅行為者使用的技術。用于確定ATT&CK技術的勒索軟件系列包括REvil/Sodinokibi、LockBit 2.0、RansomEXX、Ryuk、Prometheus、BlackMatter、DarkSide和ProLock。

T1562.001破壞防御：禁用或修改工具

破壞防御：禁用或修改工具側重于威脅行為者用來掩蓋惡意行為檢測的技術，包括修改主機操作系統上的安全設置、禁用或終止安全工具、更改日志設置和修改注冊表項。該技術包含在防御規避(TA0005)戰術中。

勒索軟件通常會禁用或修改工具，使防御者更難檢測惡意行為或減輕攻擊的影響。REvil、RansomEXX和Ryuk勒索軟件組織在野外曾使用該T1562.001技術。

REvil在廣為人知的Kaseya事件中使用PowerShell來更改受害者系統的安全設置，包括禁用Windows Defender的實時保護功能。

RansomEXX在內存中執行，并且不會將工件放到磁盤上，這使得單獨使用文件工件更難檢測。RansomEXX使用wevtutil禁用了安全事件日志。攻擊者還使用wevtutil清除了多個事件日志，包括設置、系統、應用程序和安全。

由REvil創建的Windows勒索軟件Sodinokibi執行刪除卷影副本和禁用啟動修復的命令。Ryuk、Avaddon和FONIX勒索軟件之前使用了相同的技術。

T1562.004破壞防御：禁用或修改系統防火墻

勒索軟件運營商的共同目標是將勒索軟件傳播到網絡上每個可訪問的系統。大多數企業在其網絡上配置系統，以限制端點之間允許的交互，這迫使威脅行為者將技術集成到勒索軟件和偵察工具中，以禁用或修改這些防御。這些限制通常存在于防火墻規則中，屬于防御規避(TA0005)戰術的禁用或修改系統防火墻（T1562.004）技術。此技術在發現(TA0007)戰術的遠程系統發現(T1018)技術和橫向移動(TA0008)戰術的遠程服務：遠程桌面協議(T1021.001)技術之前使用。

用于修改Windows防火墻的常用工具是本機命令行工具netsh.exe。具有升級權限的攻擊者可以使用此工具修改防火墻。以執行使系統可發現或啟用遠程桌面協議(RDP)等任務。這種技術通常發生在攻擊的橫向移動階段，在威脅行為者部署勒索軟件之前。使用這種技術的勒索軟件系列包括ProLock、REvil和Prometheus。

ProLock使用名為rdp.bat的腳本來啟用RDP并允許遠程桌面連接。以下是腳本執行的具體步驟：

1、通過將fDenyConnections設置為0來啟用遠程桌面連接；

2、啟動微軟保護服務；

3、在Windows防火墻中設置規則以允許RDP連接；

4、修改RDP-Tcp注冊表鍵UserAuthentication值，允許用戶無需認證即可連接。

REvil在廣為人知的Kaseya事件中修改了防火墻。在這種情況下，威脅行為者修改了防火墻以啟用“網絡發現”，從而允許在網絡上發現端點。Prometheus勒索軟件（Thanos勒索軟件的較新版本）也使用了這種技術。

T1542預引導

預引導（Pre-OS Boot）機制允許攻擊者濫用在操作系統之前加載的固件和各種啟動服務。這些程序控制執行流程，并可用于在操作系統取得控制權之前建立持久性。此外，基于軟件的防御（例如防病毒程序）不會在此級別運行，從而使惡意軟件無法被發現。

2021年3月，REvil的新樣本浮出水面，能夠在Windows安全模式下加密受害者機器上的文件。在這種啟動模式下，用戶可以在操作系統上運行管理和診斷任務。該功能很可能是為了幫助勒索軟件在加密過程中避免被安全軟件檢測到。通過此功能，REvil操作員可以使用命令行參數-smode，該參數將使用bootcfg和bcdedi命令，強制受害者機器在下次Windows重新啟動時以連接網絡的安全模式重新啟動。

8月份出現的BlackMatter勒索軟件樣本具有幾乎相同的特征，使用-safe命令行選項會導致勒索軟件執行bcdedit命令，以使用網絡連接的安全模式重新啟動Windows。

T1105入侵工具轉移

入侵工具轉移（Ingress Tool Transfer）專注于將工具或實用程序傳輸到受害網絡。許多協議可用于復制工具，包括FTP或rsync。在目標系統上建立初始立足點后，勒索軟件運營商使用此技術下載后續惡意軟件。該技術還包括勒索軟件運營商在發現其他目標系統并在網絡中橫向移動后，需要返回其命令和控制來下載惡意軟件。這種技術屬于指揮和控制（TA0011）戰術。

2021年6月，REvil附屬公司使用的工具利用了Microsoft實用程序certutil，這是一種命令行工具，可用于轉儲或顯示證書頒發機構(CA)配置信息，以及其他配置實用程序，以供下載惡意軟件到受害者系統。

同樣，DarkSide勒索軟件使用certutil（以及PowerShell）下載并執行勒索軟件。

T1484.001域策略修改：組策略修改

組策略（Group Policy）是在Microsoft Active Directory(AD)環境中使用的系統，用于提供對操作系統、應用程序和用戶設置的集中管理。組策略對象(Group Policy Objects, GPO)包含這些配置。GPO存儲在域控制器上，通常對所有用戶都是可讀的，但不是可寫的。GPO的一些示例包括強制密碼策略、限制使用Windows功能（如控制面板或命令提示符）、或運行登錄或注銷腳本。

一旦攻擊者在AD環境中擁有足夠級別的權限，組策略強大且集中的特性使其成為一種有吸引力的工具。它已被用于傳播包括勒索軟件在內的有效載荷，并通過禁用整個環境的安全軟件來削弱防御能力。

一些出于經濟動機的威脅組織濫用組策略來削弱防御或傳播有效載荷。據報道，Egregor勒索軟件的運營商使用組策略在受害者環境中禁用Windows Defender和其他安全產品。Ryuk運營商通過GPO創建計劃任務來分發勒索軟件有效負載。檢測此技術的公開可用的Sigma規則檢查是否有數據寫入SYSVOL網絡共享上的ScheduledTasks.xml文件，其中存儲了GPO。

在2021年7月，據報道LockBit 2.0勒索軟件在域控制器上運行時自動執行此過程，使用組策略禁用安全產品并通過計劃任務執行加密負載。惡意軟件會創建一個GPO，其中包括禁用安全產品的設置。

GPO還包括創建計劃任務以執行加密有效負載。該惡意軟件包含以下命令，可將此GPO推送到整個環境中。

此命令首先搜索AD環境中的所有計算機，-Searchbase參數指定要搜索的Active Directory路徑。上面的命令包括%s字符串占位符，當惡意軟件運行命令時，該占位符會填充本地環境詳細信息。該命令的后半部分在所有已識別系統上調用組策略更新，由于-force選項，而不要求用戶確認，并且沒有延遲。

參考資源：

【1】Recorded Future， 5 Common Ransomware ATT&CK Techniques, December 2021