嘶吼專業版 - Dridex木馬在最近的攻擊中使用了Entropy 勒索軟件－鑽石舞台

Mar 18 Fri 2022 18:33
嘶吼專業版 - Dridex木馬在最近的攻擊中使用了Entropy 勒索軟件

勒索軟件中使用的一些代碼與 Dridex 惡意軟件中使用的代碼相似，這意味着它們一個共同的起源。攻擊者部署了一種名為 Entropy 的勒索軟件，在攻擊者啟動勒索軟件之前，攻擊者在一些目標的計算機上感染了為攻擊者提供遠程訪問的工具（Cobalt Strike 信標和 Dridex 惡意軟件）。

Sophos 分析師在這次攻擊之前並沒有遇到過 Entropy。值得注意的是，兩種情況下攻擊者採用的方法存在顯着差異：攻擊者如何在目標中站穩腳跟，攻擊者在目標網絡中花費的時間；而用於準備攻擊最後階段的惡意軟件則大不相同。

攻擊的某些方面是一致的：在這兩種情況下，攻擊者都嚴重依賴 Cobalt Strike 作為感染更多設備的一種手段，根據目標是否在給定設備上安裝了保護措施，成功程度不同。攻擊者還對多個雲存儲提供商執行了多餘的私有數據泄露。在取證分析期間，我們遇到了 Dridex 的多個實例，這是很流行的惡意軟件，其操作員可以使用它來傳播其他惡意軟件。

Entropy贖金通知

在第一起事件中，攻擊者利用了屬於一家北美媒體組織的網絡上的ProxyShell漏洞，在目標的Exchange服務程序上安裝了一個遠程shell，並利用它將Cobalt Strike信標傳播到其他計算機上。在12月初發動攻擊之前，攻擊者花了4個月的時間探查該組織，並竊取數據。隨後的攻擊後取證發現，在一些受感染的設備上有幾個Dridex有效負載。

在第二起事件中，惡意電子郵件附件已經用 Dridex 殭屍網絡木馬感染了用戶的計算機，並且攻擊者使用 Dridex 傳播了額外的惡意軟件（以及商業遠程訪問實用程序 ScreenConnect）並在目標網絡內橫向移動。值得注意的是，在第二次事件中，從最初檢測到單個設備上的可疑登錄嘗試到攻擊者開始從目標泄露數據，然後使用 WinRAR 將文件壓縮，然後上傳到包括 privatlab.com、dropmefiles.com 和 mega.nz的雲存儲提供商，整個攻擊過程大約只要75個小時。

雖然並非任何組織網絡上的所有設備都在攻擊之前安裝了終端保護，但在存在保護的設備上，攻擊者未能成功地嘗試執行勒索軟件，卻發現了一個有趣的巧合檢測簽名：用於保護 Entropy 勒索軟件的packer代碼被分析人員先前創建的檢測簽名（Mal/EncPk-APX）拾取，以檢測 Dridex 使用的packer代碼。

在進一步的逆向工程中，Sophos分析師發現勒索軟件用來混淆其行為的其他一些子程序讓人想起 Dridex 中用於類似功能的子程序，儘管不是結論性的，此外，還需要花大量的精力消除使代碼比較過程複雜化的其他混淆。

攻擊者的行為和免費和商業工具的使用

在這兩種情況下，勒索軟件攻擊者都使用了免費可用的工具，例如 Windows Sysinternals 工具 PsExec 和 PsKill，以及旨在讓 IT 管理員查詢 Active Directory 服務程序的實用程序 AdFind。他們還使用免費的壓縮實用程序 WinRAR 來Packer 他們竊取的私人數據Packer ，然後使用 Chrome 瀏覽程序將其上傳到各種雲存儲提供商。

不幸的是，這些策略在勒索軟件攻擊中很常見。終端保護工具通常不會阻止使用這些和其他實用程序，因為它們確實有合法的用途。

在這兩種情況下，攻擊者都反覆嘗試（但未成功）在攻擊的最後階段在設備上加載和啟動 Cobalt Strike 遠程控制工具。在第二次攻擊中，在多次嘗試使用 Cobalt Strike 失敗後，他們還嘗試在部分設備上安裝 Metasploit 的 Meterpreter，最終決定安裝一個名為 ScreenConnect 的商業遠程訪問工具。攻擊者試圖使用 ScreenConnect 中的文件共享工具將 Cobalt Strike 推送到受保護的設備上，但最終失敗了。

最終，攻擊者將一組文件放到他們控制的 Active Directory 服務程序上。攻擊將這些文件釋放在 C:\share$ 中：

comps.txt——要攻擊的主機列表；

pdf.dll——勒索軟件有效載荷；

PsExec.exe——Microsoft 的合法應用程序；

COPY.bat——使用 PsExec 將 pdf.dll 複製到所有主機的說明；

EXE.bat——使用 PsExec 對所有主機執行 pdf.dll 的說明；

然後他們運行 COPY 批處理腳本，然後運行 EXE 批處理腳本。

比較 Dridex 和 Entropy 中的子程序

兩種情況下的Entropy樣本都以針對 32 位體系結構編譯的 Windows DLL 文件的形式傳播。Dridex 有效載荷以 EXE 和 DLL 格式從各種系統中恢復，並針對 32 位和 64 位架構進行編譯。我們查看了 32 位 Dridex 木馬。

攻擊已經為每個目標組織編譯了 Entropy 勒索軟件 DLL 的自定義版本。該惡意軟件在其代碼中包含對目標組織的硬編碼引用，包括後來在被感染設備上放置的 HTML 贖金記錄中使用的文本和圖像。

贖金通知會警告受害者不要聯繫警察或聯邦調查局或聘請贖金談判人員或數據恢復公司。

攻擊者使用將兩個參數傳播給 DLL 的命令行來執行它，第一個參數是一個標準函數調用DllRegisterServer，但第二個參數是一個看似隨機的字符串，用作某種密碼：沒有它，勒索軟件將無法正常運行。

幸運的是，我們能夠找到攻擊者用來啟動惡意軟件的精確命令，因此我們可以在受控環境中研究樣本。Entropy 的執行命令如下所示：

勒索軟件必然與像Dridex這樣更通用的木馬在功能上有很大的不同，這使得逐行比較變得複雜。相反，我們研究了這兩種惡意軟件顯然用來使分析複雜化的代碼的各個方面：packer程序代碼，它可以防止對底層惡意軟件進行簡單的靜態分析；程序用來隱藏它們進行的 API 調用的子程序；還有一個子程序，用於解密嵌入在惡意軟件中的加密文本字符串。

Entropy 的 Packer 行為

Packer Entropy 使用兩個階段的工作來解壓縮程序代碼：在第一層，它分配一些內存，然後將加密的數據複製到該內存空間，然後 Packer 將執行轉移到第一層。接下來，Packer 程序將代碼解密到存儲加密數據的同一內存分配的另一部分，然後將執行轉移到第二層。

指示Entropy如何執行第一「層」解包的指令與Dridex的分析師非常相似，他們查看了打包程序的代碼，特別是引用稱為 LdrLoadDll 的 API 的部分以及該子程序的行為，將其描述為「非常像 Dridex v4 加載程序」，並將其與 2018 年 Dridex 樣本使用的類似加載程序進行了比較。其他供應商對 Dridex 的研究中強調了相關行為。具體來說，它正在尋找一個名為 snxhk.dll 的 DLL，它是另一家公司終端安全產品的內存保護組件，以破壞該保護。

值得注意的是，Sophos 已經在我們的終端產品中對 Dridex Packer 程序進行了一段時間的靜態檢測。簽名名稱是 Mal/EncPk-APX，這是值得注意的，遙測顯示在這些事件中，當 Entropy 而不是 Dridex 存在時，受 Sophos 保護的設備檢測到了該Packer 程序。

另一位 SophosLabs 管理器也記錄了在 Sophos 保護的設備上檢測到這個特定的Packer 程序代碼，攻擊者在這些設備上嘗試運行名為 DoppelPaymer 的勒索軟件，但未成功。該勒索軟件的起源（如 Dridex）被歸因於名為 Evil Corp 組織，從大約 2019 年 4 月到 2021 年 5 月一直在使用。在美國財政部外國資產控制辦公室 (OFAC) 制裁 Evil 之後Corp 於 2019 年 12 月收購 Dridex，該組織對其勒索軟件進行了一系列更改，循環使用了許多名稱，包括 WastedLocker、Hades、Phoenix、Grief、Macaw，現在可能還有 Entropy。

向量異常處理子程序

一旦惡意軟件自行解壓，Packer 程序的最後一步是在稱為入口點的內存位置啟動惡意軟件，這是惡意軟件執行的第一條指令開始的地方。在 Dridex 和 Entropy 的情況下，入口點代碼設置了一個稱為矢量異常處理程序 (VEH) 的進程，這是惡意軟件開發者可能會插入到最終產品中的另一種反分析形式。VEH 為程序在操作系統中調用 API 設置了另一種方式，這使得分析人員很難確切地看到代碼在任何給定的指令上做了什麼。

出於此目的使用 VEH 對良性程序來說是非標準行為，因此它的存在本身就是對惡意的弱啟發式，並且是 Dridex 的更強指標，因為它使用 VEH 技術已有一段時間了。然而，分析師指出，雖然 Dridex 和 Entropy 中的 VEH 代碼絕對相同，但研究人員並沒有看到 Entropy 使用該代碼。

Entropy字符串解碼和 API 解析子程序

我們還研究了勒索軟件行為的其他兩個方面，並將其與 Dridex 中的類似子程序進行了比較。其中一個子程序用於解碼嵌入在惡意軟件中的加密字符串。