【安全资讯】针对工控的勒索软件Cring样本分析

近日，研究人员发现一起入侵工业控制系统投放勒索软件的攻击事件，此次事件影响了欧洲一些国家的工业企业，其工业控制环境的服务器被加密，导致工控业务系统临时关闭。经过分析，研究人员确定该攻击事件归因于一个新的勒索软件家族Cring（也被称为Crypt3r，Vjiszy1lo，Ghost，Phantom等）。

该勒索软件最早出现于2020年末，使用AES256+RSA8192算法加密受害者的数据，要求支付2个比特币作为赎金才能恢复数据。攻击者利用CVE-2018-13379漏洞进行攻击，一旦获取系统中的访问权限后，会下载Mimikatz和Cobalt Strike进行横向移动和远程控制，最终下载Cring勒索软件并执行。攻击流程如下：

攻击者利用FortiGate VPN服务器中的CVE-2018-13379漏洞获取访问工控网络的权限。未经身份验证的攻击者可以通过互联网连接到该设备，从而远程访问包含用于访问VPN用户名和密码的文件“sslvpn_websession”。在攻击者拿到访问VPN的用户名和密码并获取工控网络的第一个系统权限后，会下载Mimikatz工具并使用该工具窃取以前登录的Windows用户的账户凭据，从而获取到域控管理员的凭据，然后通过该凭据将CobaltStrike框架的PowerShell脚本分发到其他系统中。

PowerShell脚本解密有效载荷为Cobalt Strike Beacon后门，该后门为攻击者提供了对受感染系统的远程控制能力。在获得对受感染系统的控制后，攻击者使用cmd脚本将Cring勒索软件下载到系统中，并使用PowerShell启动加密整个系统。

工业控制系统是国家基础设施的重要组成部分，也是工业基础设施的核心，被广泛用于炼油、化工、电力、电网、水厂、交通、水利等领域，其可用性和实时性要求高，系统生命周期长，一旦受到勒索软件的影响，不仅会导致大面积停产，也会产生更广泛的负面社会效应。