您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
2022年新型勒索軟件發(fā)展趨勢
趨勢 1:攻擊者正在嘗試開發(fā)跨平臺勒索軟件
由于多年來越來越流行的大型狩獵 (BGH) 計劃,攻擊者已經(jīng)滲透到越來越復雜的系統(tǒng)環(huán)境中。為了造成盡可能多的破壞并使恢復變得非常困難,他們試圖對盡可能多的系統(tǒng)進行加密。這意味著他們的勒索軟件應該能夠在不同的架構(gòu)和操作系統(tǒng)組合上運行。
克服這個問題的一種方法是使用“跨平臺編程語言”(例如 Rust 或 Golang)編寫勒索軟件。使用跨平臺語言還有其他幾個原因。例如,即使勒索軟件目前可能針對一個平臺,但將其寫入跨平臺可以更容易地將其移植到其他平臺。另一個原因是跨平臺二進制文件的分析比用純 C 編寫的惡意軟件要難一些。
Conti 跨平臺功能
Conti 是一個開展 BGH 的組織,其目標是全球范圍內(nèi)的各種組織。就像許多其他 BGH 組織一樣,它使用雙重勒索技術(shù)。
我們注意到,只有某些關(guān)聯(lián)公司才能訪問針對 ESXi 系統(tǒng)的 Conti 勒索軟件的 Linux 變體。它支持各種不同的命令行參數(shù),會員可以使用這些參數(shù)來自定義執(zhí)行。Linux 版本支持以下參數(shù):
detach:示例在后臺執(zhí)行,并與終端分離;
log:出于調(diào)試目的,指定文件名后,Conti 會將操作寫入日志文件;
path:Conti 需要這個路徑來加密系統(tǒng)。使用選定的路徑,勒索軟件將遞歸加密整個文件夾結(jié)構(gòu);
prockiller:此標志允許勒索軟件阻止那些具有選定文件進行加密的進程;
size:函數(shù)未實現(xiàn);
vmlist:用于在加密過程中跳過虛擬機的標志;
vmkiller:它將終止 ESXi 生態(tài)系統(tǒng)的所有虛擬機;
BlackCat 跨平臺功能
BlackCat 于 2021 年 12 月開始在暗網(wǎng)上提供服務。盡管該惡意軟件是用 Rust 編寫的,但我們發(fā)現(xiàn)了一些與 BlackMatter 組織相關(guān)的攻擊示例,因為該攻擊者使用了與之前在 BlackMatter 活動中觀察到的相同的自定義滲透工具。由于 Rust 的交叉編譯功能,我們很快就找到了同樣適用于 Linux 的 BlackCat 示例。
BlackCat 的 Linux 示例與 Windows 非常相似。在功能方面,它稍微多一些,因為它能夠關(guān)閉設(shè)備并刪除 ESXi 虛擬機。典型的 Windows 功能(例如,通過 cmd.exe 執(zhí)行命令)被刪除,并被Linux的等效功能取代,因此勒索軟件在其運行的不同平臺上仍然具有相同的功能。
Deadbolt 跨平臺功能
Deadbolt 是一個以跨平臺語言編寫的勒索軟件示例,但目前僅針對QNAP NAS 系統(tǒng)。它也是 Bash、HTML 和 Golang 的有趣組合。Deadbolt 本身是用 Golang 編寫的,贖金通知是一個HTML文件,它取代了QNAP NAS使用的標準索引文件,如果提供的解密密鑰是正確的,則使用Bash腳本啟動解密過程。這個勒索軟件還有一個特別之處:它不需要與攻擊者進行任何交互,因為在比特幣交易的 OP_RETURN 字段中提供了解密密鑰。Bash 文件如下所示。
趨勢 2:勒索軟件生態(tài)系統(tǒng)正在變得更加“工業(yè)化”
就像合法的軟件公司一樣,網(wǎng)絡犯罪組織也在不斷地為自己和他們的客戶開發(fā)他們的工具包,例如,使數(shù)據(jù)泄露的過程更快、更容易。攻擊者有時會使用的另一個技巧是重新命名他們的勒索軟件,在這個過程中一點點改變。讓我們深入研究一下勒索軟件組織最近使用的新工具和“商業(yè)”策略。
自 2019 年以來最成功的 RaaS—— Lockbit 的演變
Lockbit 始于 2019 年,然后在 2020 年宣布了其附屬計劃。隨著時間的推移,該組織一直在積極迭代,如下圖所示:
該組織在開始進行惡意活動時,沒有任何泄密網(wǎng)站,沒有進行雙重勒索,也沒有數(shù)據(jù)加密前的數(shù)據(jù)泄露。
隨著時間的推移,基礎(chǔ)設(shè)施也得到了改善。與其他勒索軟件家族一樣,Lockbit 的基礎(chǔ)設(shè)施遭受了多次攻擊,迫使該組織實施一些對策來保護其資產(chǎn)。這些攻擊包括對 Lockbit 管理面板的黑客攻擊和 DDOS 攻擊,以迫使該組織關(guān)閉其活動。
Lockbit 開發(fā)人員添加的最新安全功能是“等待頁面”,可以將用戶重定向到一個可用的鏡像。
StealBIT:Lockbit 勒索軟件使用的自定義數(shù)據(jù)泄露工具
當組織實施雙重勒索時使用的數(shù)據(jù)泄露可以通過許多不同的方式進行。最初,攻擊者使用諸如 Filezilla 等公開可用的工具,然后用他們自己的自定義工具(如 StealBIT)取而代之。原因如下:
公開可用的工具并不總是以速度著稱。對勒索軟件運營商來說,速度很重要,因為竊取數(shù)據(jù)的時間越長,勒索軟件運營商被抓住的幾率就越大。
靈活性是另一個原因。標準工具的設(shè)計并沒有考慮到勒索軟件運營商的要求。例如,使用大多數(shù)工具,可以僅將數(shù)據(jù)上傳到一臺主機。如果該主機已關(guān)閉,則必須手動指定另一臺主機。犯罪基礎(chǔ)設(shè)施被摧毀或落入LEA手中的可能性總是存在的。為了提供更大的靈活性并克服這些限制,StealBIT提供了一個數(shù)據(jù)可以被竊取到的硬編碼主機列表。如果第一個主機由于某種原因關(guān)閉,則嘗試第二個主機。
勒索軟件運營商的要求是公開可用的工具無法滿足的。其中一項要求是不泄露所有數(shù)據(jù),而只泄露有趣的數(shù)據(jù)。在 StealBIT 中,這是通過硬編碼應提取的擴展列表來實現(xiàn)的。另一個功能是在上傳數(shù)據(jù)時發(fā)送附屬 ID。
在下圖中,研究人員將數(shù)據(jù)泄露與其他工具的數(shù)據(jù)泄露進行了比較:
SoftShade 部署 Fendr 滲透客戶端
Fendr,也稱為 Exmatter,是一種惡意數(shù)據(jù)泄露工具,被 BlackMatter、Conti 和 BlackCat 等多個勒索軟件組織使用。在我們觀察到的所有 BlackMatter 和 Conti 事件中都沒有看到 Fendr,但我們確實在所有與 BlackCat 相關(guān)的事件中看到了它們。因此,我們認為 Fendr 被參與了一些附屬計劃。
在SoftShade內(nèi)部,開發(fā)人員將其稱為“file_sender”和“sender2”。該惡意軟件是用 C# .Net 編寫的,并且經(jīng)常與 BlackMatter 和 Conti 惡意軟件一起部署為打包的 .Net 可執(zhí)行文件,但與 Conti 和 BlackCat 勒索軟件一起部署的大多數(shù)示例都沒有打包(2021 年 11 月的一次 Conti 事件除外)。它旨在有效管理受害系統(tǒng)上的大量選擇性文件收集和上傳活動,然后將其從系統(tǒng)中刪除。Fendr 由多個開源庫構(gòu)建而成,它的設(shè)計顯然是在勒索軟件領(lǐng)域成熟和專業(yè)經(jīng)驗的結(jié)果,可以處理各種Windows系統(tǒng)和網(wǎng)絡上任意的大文件量。
同樣有趣的是 Fendr 及其選擇的勒索軟件的部署和打包,在每個附屬計劃中(除了一次 Conti 事件),勒索軟件和 Fendr 通過網(wǎng)絡同時傳送到多個系統(tǒng),如“v2.exe”和“v2c.exe”,或“v2.exe”和“sender2.exe”。這種同步推動似乎優(yōu)先考慮協(xié)調(diào)和效率,而不是提高被發(fā)現(xiàn)的風險。在一個與const相關(guān)的異常中,一個Fendr變體被作為“\\hostname\$temp\sender2.exe”通過網(wǎng)絡推送到許多系統(tǒng)。
趨勢3:勒索軟件組織在地緣政治沖突中會出現(xiàn)政治偏向
攻擊者利用新聞頭條來實現(xiàn)他們的惡意目標。研究人員在全球 Covid-19 初始階段看到了這一點,當時與 Covid-19 相關(guān)的垃圾郵件和網(wǎng)絡釣魚電子郵件激增。2022年俄烏沖突也是如此。
通常在這樣的地緣政治沖突中,人們會將網(wǎng)絡攻擊的源頭與國家支持的攻擊組織聯(lián)系起來。但事實并非總是如此,因為我們注意到,在這場沖突中,出現(xiàn)了一種新型的參與方式:網(wǎng)絡犯罪論壇和勒索軟件組織對形勢做出反應,并采取行動。
2 月 25 日,Conti 在其新聞網(wǎng)站上發(fā)布了一條消息,聲明如果俄羅斯成為網(wǎng)絡攻擊的目標,它將以全部能力對任何“敵人”的關(guān)鍵基礎(chǔ)設(shè)施進行報復。這可能是網(wǎng)絡犯罪組織公開支持民族國家的罕見例子。結(jié)果,一名據(jù)稱是烏克蘭人的成員在網(wǎng)上分享了聊天和其他內(nèi)部 Conti 相關(guān)信息。
Conti 勒索軟件組織在其新聞網(wǎng)站上發(fā)布警告消息
另一方面,還有其他社區(qū),如“匿名者”、“烏克蘭IT軍”和“白俄羅斯網(wǎng)絡游擊隊”公開支持烏克蘭。
沖突開始期間幾個組織和論壇的立場如下圖所示:
Freeud:具有清除功能的全新勒索軟件
卡巴斯基最近發(fā)現(xiàn)了支持烏克蘭的全新勒索軟件變種 Freeud。Freeud的勒索信說俄羅斯軍隊應該離開烏克蘭。單詞的選擇和筆記的書寫方式表明它是由以俄語為母語的人寫的。惡意軟件開發(fā)者的政治觀點不僅通過贖金票據(jù)表達,還通過惡意軟件功能表達。其中之一是清除功能。如果惡意軟件包含文件列表,而不是加密,惡意軟件會將它們從系統(tǒng)中清除。
另一個突出的特性是惡意軟件的高質(zhì)量,其應用的加密方法和使用多線程的方式突出了這一點。
GoRansom
GoRansom 于 2 月底在烏克蘭被發(fā)現(xiàn),同時進行了 HermeticWiper 攻擊。GoRansom 所做的一些事情與其他勒索軟件變體不同:
它會創(chuàng)建數(shù)百個副本并運行它們;
函數(shù)命名方案參考美國總統(tǒng)選舉;
沒有混淆,它具有非常簡單的功能;
出于這些原因,我們認為它的創(chuàng)建是為了提高烏克蘭網(wǎng)絡行動的效率。
Stormous
大多數(shù)情況下,當我們分析 PHP 代碼時,它要么是 web shell,要么是一些僵尸網(wǎng)絡面板代碼。Stormous是少數(shù)例外。除了作為后門之外,它還包含勒索軟件功能。攻擊者尋找支持 PHP 技術(shù)的 Web 服務器和易受 Web 應用程序攻擊的漏洞。
對惡意軟件的分析表明,攻擊者是來自北非地區(qū)的阿拉伯。
PHP 腳本提供了一個通過 HTTP 進行遠程交互的 Web 界面,其中提供了幾個加密選項:“OpenSSL”、“Mcrypt”和“Xor”。很有可能是由于目標服務器的外部考慮因素,比如運行在服務器上的PHP版本,所以將這三個擴展開發(fā)到腳本中。
DoubleZero wiper瞄準烏克蘭
DoubleZero wiper最初由烏克蘭 CERT 于 3 月 22 日發(fā)布。它是用 C# 編寫的全新wiper;它與任何其他已知的wiper都不同,并且僅針對烏克蘭實體。二進制文件本身被未知的 C# 混淆器嚴重混淆。類和方法名是隨機生成的。
混淆
控制流是使用一種功能扁平化機制來組織的,這種機制創(chuàng)建的目的是減緩對惡意代碼的分析。
混淆反編譯代碼
當所有的準備工作都結(jié)束后,惡意軟件開始它的清除操作。首先,它通過將文件夾名稱與硬編碼列表進行比較來檢查用戶(非系統(tǒng)文件),并開始使用一個非常有趣的NtFsControlFile API實現(xiàn)來清除它們。
硬編碼的文件夾列表
文件清除
NtFsControlFile 例程將控制代碼直接發(fā)送到指定的文件系統(tǒng)或文件系統(tǒng)過濾器驅(qū)動程序,使相應的驅(qū)動程序執(zhí)行指定的操作。如上圖所示,控制代碼的值為622792 (0x980C8in十六進制),對應 FCSTL 結(jié)構(gòu)的 FSCTL_SET_ZERO_DATA 控制代碼。文件中的數(shù)據(jù)將被 intPtr2 變量指向的零值覆蓋。如果函數(shù)失敗,wiper 將執(zhí)行標準的 .Net FileStream.Write 函數(shù)用于相同目的,然后惡意軟件會清除找到的系統(tǒng)文件。
最后,惡意軟件會刪除 HKU、HKLM 中的 Windows 注冊表樹子項,并阻止“l(fā)sass”進程以重新啟動受感染的設(shè)備。
總結(jié)
近年來,勒索軟件組織從零散的組織發(fā)展成為具有鮮明產(chǎn)業(yè)特征的企業(yè)。因此,攻擊變得更加復雜和更有針對性,使受害者面臨更多威脅。
參考及來源:https://securelist.com/new-ransomware-trends-in-2022/106457/
來源:嘶吼專業(yè)版