close

關鍵詞

勒索軟件、趨勢、跨平台、勒索軟件工業化、地緣政治

對勒索軟件的觀察和評估可以提供打擊網絡犯罪的威脅情報,還可以幫助我們推斷出未來幾個月可能的趨勢,以便更針對性的進行防範。據卡巴斯基團隊總結,2022年勒索軟件的活躍程度不亞於以往:網絡犯罪分子持續活躍並對零售商和企業產生威脅,舊惡意軟件變種捲土重來,而新惡意軟件在不斷進化。

在此報告中,該團隊分析了2021年底和2022年發生在技術和地緣政治層面的事件,並對導致新勒索軟件趨勢原因進行分析。主要包含三個層面:日益普遍的跨平台勒索軟件趨勢;勒索軟件團隊如何採用良性軟件公司的技術繼續產業化並發展成為真正的企業;勒索軟件團伙在俄羅斯和烏克蘭的衝突中扮演的角色及作用。

1.跨平台勒索軟件日益流行



作為多年來日益流行的大獵殺(BGH: Big Game Hunting)計劃的結果,網絡犯罪分子一直在滲透到越來越複雜的環境中。勒索軟件為了對不同的系統造成儘可能多的損害並阻礙恢復工作,它們試圖儘可能多地加密系統。這意味着,這些勒索軟件應該能夠在不同的架構和操作系統組合上運行。
為了達成該目的,方法之一是用Rust或Golang等 "跨平台編程語言 "編寫勒索軟件。使用跨平台語言有一些明顯的優勢,舉例來說,即使勒索軟件目前可能只針對一個平台,但用跨平台的方式編寫,可以更容易地將其移植到其他平台。除此之外,對安全分析者而言,跨平台二進制文件的分析比用純C語言編寫的惡意軟件的分析要難一些。
在卡巴斯基威脅情報平台的犯罪軟件報告部分,涵蓋了其中一些在不同平台上工作的勒索軟件變種,以下是這些報告中最重要的亮點。

(1)Conti 跨平台功能

Conti 是一個開展 BGH 的團體,其目標是全球範圍內的各種組織。就像許多其他 BGH 團體一樣,它使用雙重勒索技術以及基於會員的結構。
只有某些關聯公司才能訪問針對 ESXi 系統的 Conti 勒索軟件的 Linux 變體,它支持各種不同的命令行參數,會員可以使用這些參數來自定義執行。Linux 版本支持以下參數:

參數
描述
–detach
樣本在後台執行並與終端分離
–log
出於調試目的,指定文件名後,Conti 會將操作寫入日誌文件
–path
Conti 需要這條路徑來加密系統。使用選定的路徑,勒索軟件將遞歸加密整個文件夾結構
–prockiller
此標誌允許勒索軟件殺死那些具有選定文件進行加密的進程
–size
功能未實現
–vmlist
用於在加密過程中跳過虛擬機的標誌
–vmkiller
它將終止 ESXi 生態系統的所有虛擬機
Conti 參數(Linux ESXi)
(2)BlackCat的跨平台功能
2021年12月開始,BlackCat在暗網上提供他們的服務。BlackCat的Linux樣本與Windows的樣本非常相似。就功能而言,它的功能略多,因為它能夠關閉機器並刪除ESXi虛擬機。當然,典型的Windows功能(例如,通過cmd.exe執行命令)被替換為Linux的對應功能,因此,該勒索軟件在其運行的不同平台上仍然擁有相同的功能。
(3)Deadbolt的跨平台功能
Deadbolt是用跨平台語言編寫的勒索軟件,目前只針對一個目標——QNAP NAS系統。它也是Bash、HTML和Golang的一個有趣組合。Deadbolt本身是用Golang編寫的,贖金條是一個HTML文件,取代了QNAP NAS使用的標準索引文件,而Bash腳本是用來啟動解密過程的。該勒索軟件還有一個奇特之處:它不需要與攻擊者進行任何互動,因為解密密鑰是在比特幣交易OP_RETURN字段中提供的。Bash文件顯示如下。

#!/bin/sh

echo"Content-Type: text/html"

echo""

get_value(){

echo"$1"|awk-F"${2}="'{ print $2 }'|awk-F'&''{ print $1 }'

}

not_running(){echo'{"status":"not_running"}';exit;}

PID_FILENAME=/tmp/deadbolt.pid

STATUS_FILENAME=/tmp/deadbolt.status

FINISH_FILENAME=/tmp/deadbolt.finish

TOOL=/mnt/HDA_ROOT/722

CRYPTDIR=/share

if["$REQUEST_METHOD"="POST"];then

DATA=`ddcount=$CONTENT_LENGTHbs=12>/dev/null`'&'

ACTION=$(get_value"$DATA""action")

if["$ACTION"="decrypt"];then

KEY=$(get_value"$DATA""key")

if["${#KEY}"!=32];then

echo"invalid key len"

exit

fi

K=/tmp/k-$RANDOM

echo-n>$K

foriin`seq0230`;do

printf"\x"${KEY:$i:2}>>$K

done

SUM=$(sha256sum$K|awk'{ print $1 }')

rm$K

if["$SUM"="915767a56cb58349b1e34c765b82be6b117db7e784c3efb801f327ff00355d15"];then

echo"correct key"

exec>&-

exec 2>&-

${TOOL} -d "$KEY" "$CRYPTDIR"

elif [ "$SUM" = "93f21756aeeb5a9547cc62dea8d58581b0da4f23286f14d10559e6f89b078052" ];then

echo"correct master key"

exec>&-

exec 2>&-

${TOOL} -d "$KEY" "$CRYPTDIR"

else

echo "wrong key."

fi

elif [ "$ACTION" = "status" ];then

if[-f"$FINISH_FILENAME"];then

echo'{"status":"finished"}'

exit

fi

if[-f"$PID_FILENAME"];then

PID=$(cat"$PID_FILENAME")

if["$PID"=""];then

not_running

fi

if[!-d"/proc/$PID"];then

not_running

fi

fi

if[-f"$STATUS_FILENAME"];then

COUNT=$(cat"$STATUS_FILENAME")

echo'{"status":"running","count":"'${COUNT}'"}'

else

not_running

fi

else

echo"invalid action"

fi

else

echo

2. 勒索軟件的生態系統在不斷發展,變得更加 "工業化"



就像合法的軟件公司一樣,網絡犯罪集團也在不斷為自己和客戶開發他們的工具包。例如,使數據外傳的過程更加快速和容易。威脅者有時採取的另一個伎倆是重塑他們的勒索軟件,在這個過程中改變微小的內容。
下面讓我們深入了解一下勒索軟件團伙最近採用的新工具和 "商業 "策略。

(1)Lockbit 的演變,自 2019 年以來最成功的 RaaS 之一

Lockbit 始於 2019 年,並在 2020 年宣布了其附屬計劃。隨着時間的推移,該集團一直在積極發展,如圖1所示:
圖1:Lockbit發展演變
起初,該組織在開始進行惡意活動時,沒有任何泄密行為,沒有進行雙重勒索,也沒有數據加密前的數據泄露。
隨着時間的推移,基礎設施也得到了改善。與其他勒索軟件系列一樣,Lockbit 的基礎設施遭受了多次攻擊,迫使該組織實施一些對策來保護其資產。這些攻擊包括對 Lockbit 管理面板的攻擊和 DDOS 攻擊,以迫使該組織關閉其活動。
Lockbit 開發人員添加的最新安全功能是「等待頁面」,可將用戶重定向到可用鏡像之一。
(2)StealBIT:Lockbit 勒索軟件使用的自定義數據泄露工具
惡意組織實施雙重勒索時,可以通過許多不同的方式進行數據泄露。最初,網絡犯罪分子使用諸如 Filezilla 等公開可用的工具,後來用他們自己的自定義工具(如 StealBIT)取而代之,這有幾個原因:
公開可用的工具並不總是以其速度而聞名。對于勒索軟件運營商來說,速度很重要,因為泄露數據所需的時間越長,勒索軟件運營商被抓獲的可能性就越大
靈活性是另一個原因。標準工具的設計並未考慮勒索軟件運營商的要求。例如,使用大多數工具,僅能將數據上傳到一台主機。如果該主機已關閉,則必須手動指定另一台主機。犯罪基礎設施總是有可能被拆除或落入LEA手中。為了提供更大的靈活性並克服這些限制,StealBIT 有一個硬編碼主機列表。如果第一個主機由於某種原因關閉,則嘗試第二個主機。
勒索軟件運營商的要求是公開可用的工具無法滿足的。其中一項要求是不泄露所有數據,而只泄露有利益的數據。在StealBIT 中,這是通過硬編碼應提取的文件列表來實現的。另一個功能是在上傳數據時發送附加ID。
在下圖中,將StealBIT的數據泄露與其他工具的數據泄露進行了比較:
圖2:StealBIT對比
(3)SoftShade 部署 Fendr 滲透客戶端
Fendr,也稱為 Exmatter,是一種惡意數據泄露工具,被 BlackMatter、Conti 和 BlackCat 等多個勒索軟件組織使用。據觀察,目前沒有在BlackMatter 和 Conti 事件中看到 Fendr,但在與 BlackCat 相關的事件中發現了它們的蹤跡。因此,可認定Fendr正在被犯罪軟件組織所使用。
在內部,SoftShade 開發人員將其稱為「file_sender」和「sender2」。該惡意軟件是用 C# .Net 編寫的,並且經常與 BlackMatter 和 Conti 惡意軟件一起部署為打包的 .Net 可執行文件,但其他與 Conti 和 BlackCat 勒索軟件一起部署的大多數樣本都沒有打包(2021 年 11 月的一次 Conti 事件除外)。它旨在有效管理受害系統上的大量選擇性文件收集和上傳活動,然後將其從系統中刪除。Fendr 由多個開源庫構建而成,其設計顯然是勒索軟件領域成熟、專業化經驗的結果,可跨各種 Windows 系統和網絡處理任意大文件量。
同樣有趣的是 Fendr 及其選擇的勒索軟件的部署和打包。在所有相關的事件中(除了一次 Conti 事件),勒索軟件和 Fendr (程序)都以「v2.exe」和「v2c.exe」,或「v2.exe」和「sender2.exe」名稱通過網絡同時傳送到多個系統」。這種同步推送優先考慮協調和效率,而不是提高檢測風險。在與 Conti 相關的異常事件中,似乎是將Fendr 變體 以「\\hostname\$temp\sender2.exe」名稱通過網絡推送到許多系統。
3.勒索軟件團伙在地緣政治衝突中偏袒一方



網絡犯罪分子利用新聞頭條來實現他們的惡意目標。在全球 Covid-19 大流行的初始階段,與 Covid-19 相關的垃圾郵件和網絡釣魚電子郵件激增。同樣的,在2022年烏克蘭的地緣政治衝突中也是如此。
然而,二者不同的是,新冠大流行是一長串假期、事件中的一個話題。而在俄烏衝突的情況下,威脅行為者決定選擇立場,這使得這個話題更加個人化.
通常在這樣的地緣政治衝突中,人們會將網絡攻擊的來源與國家支持的威脅行為者聯繫起來。但這並不總是正確的,在這場衝突中出現了一種新型的參與方式:網絡犯罪論壇和勒索軟件團體對衝突情況做出反應並採取行動。
這種參與方式已經產生了一些影響:例如,Conti相關信息的披露。在最近於烏克蘭或俄羅斯發現的特定惡意軟件變體中,可以看出參與者的立場,選擇反對烏克蘭或反對俄羅斯。
接下來,讓我們看看圍繞衝突過程中,幾個最引人注目的勒索軟件團伙活動。
(1)Conti勒索軟件團伙有意偏袒
Conti 勒索軟件組織反應最為強烈。2月25日,Conti 在其新聞網站上發布了一條消息,聲明如果俄羅斯成為網絡攻擊的目標,它將以全部能力對任何「敵人」的關鍵基礎設施進行報復。這可能是網絡犯罪集團公開支持民族國家的罕見例子。後續一名據稱是烏克蘭人的Conti成員在網上分享了該組織的內部聊天和其他相關信息。
圖3:Conti 勒索軟件組織在其新聞網站上發布警告消息
另一方面,例如匿名者、烏克蘭 IT 軍隊和白俄羅斯網絡游擊隊等社區則表示公開支持烏克蘭。
下表突出了衝突開始期間幾個團體和論壇的立場。
公開支持烏克蘭
公開支持俄羅斯
中立
RaidForums
Conti
Lockbit
Anonymous collective
CoomingProject
IT Army of Ukraine
Stormous
Belarusian Cyber Partisans

(2)Freeud:具有擦除功能的全新勒索軟件

卡巴斯基最近發現了支持烏克蘭的全新勒索軟件變種 Freeud。該軟件的贖金信直白說:俄羅斯軍隊應該離開烏克蘭。單詞的選擇和筆記的書寫方式表明它的作者是俄語為母語的人。根據分析,作者不是以英語為母語。例如,多次將「landing」誤用為「lending」。
惡意軟件作者的政治觀點不僅通過贖金信表達,還通過惡意軟件功能表達。其中之一是擦除功能,即會在惡意代碼內嵌入文件列表,並選擇將它們從受害者系統中清除掉,而不是本應該採用的加密的方式。
另一個突出的特點,這類惡意軟件的攻擊水平相對較高,通常採用高質量的加密方法和多線程的方式。

(3)Elections GoRansom (HermeticRansom) 掩蓋破壞性活動

GoRansom 於 2 月底在烏克蘭被發現,同時進行了 HermeticWiper 攻擊。GoRansom 所做的一些事情與其他勒索軟件變體不同:
它會創建數百個自身的副本並運行它們。
函數命名方案參考美國總統選舉。
沒有混淆,它具有非常簡單的功能。
圖4:由HermeticRansom 製作的自我複製
出於這些原因,它的創建可能是為了提高烏克蘭網絡行動的效率。
(4)Stormous勒索軟件通過 PHP 惡意軟件加入烏克蘭危機
我們很少遇到用 PHP 編寫的惡意軟件。大多數情況下,當我們分析 PHP 代碼時,它要麼是 webshell,要麼是一些殭屍網絡面板代碼。Stormous則是少數例外之一,除了作為後門之外,它還包含勒索軟件功能。攻擊者會尋找支持 PHP 技術的 Web 服務器和易受 Web 應用程序攻擊的漏洞。
對惡意軟件的分析表明,威脅行為者來自北非的阿拉伯語地區,在俄烏衝突中站在俄羅斯一方。
圖5:Stormous聲明
PHP 腳本提供了一個通過 HTTP 進行遠程交互的 Web 界面,其中提供了幾個加密選項:「OpenSSL」、「Mcrypt」和「Xor」。很有可能是由於考慮到了目標服務器的外部因素,比如運行在服務器上的PHP,從一個版本到下一個版本,有些擴展被棄用或不可用,所以開發腳本中包含了這三個擴展。
(5)針對烏克蘭的DoubleZeroc擦除器
DoubleZero 擦除器最初由烏克蘭 CERT 於 3 月 22 日曝光。它是用 C# 編寫的全新擦除器,與任何其他已知的擦除器都不相似,並且僅針對烏克蘭。二進制文件本身被未知的 C# 混淆器嚴重混淆,類和方法名是隨機生成的。
圖6:混淆
控制流是使用一種功能扁平化機制來組織的,該機制旨在減緩對惡意代碼的分析。
圖7:混淆的反編譯代碼
當所有的準備工作都結束後,惡意軟件開始它的擦除操作。首先,它通過將文件夾名稱與硬編碼列表進行比較來檢查用戶(非系統文件),並使用 NtFsControlFile API開始擦除它們。
圖8:硬編碼的文件夾列表
圖9:文件擦除
NtFsControlFile例程將控制代碼直接發送到指定的文件系統或文件系統過濾器驅動程序,使相應的驅動程序執行指定的操作。如截圖所示,控制代碼的值為 622792(16進制的0x980C8),對應FCSTL結構的FSCTL_SET_ZERO_DATA控制代碼。文件中的數據將被intPtr2變量指向的零值覆蓋。如果函數失敗,wiper 將執行標準的.Net FileStream.Write函數用於相同目的,然後惡意軟件擦除找到的系統文件。
然後,惡意軟件會刪除 HKU、HKLM 中的 Windows 註冊表樹子項,並殺死「lsass」進程以重新啟動受感染的機器。
4.結論


俗話說,未雨綢繆,這同樣適用於網絡安全。近年來,勒索軟件團伙從零散的團伙發展成為具有鮮明產業特徵的企業。因此,攻擊變得更加複雜和更有針對性,使受害者面臨更多威脅。監控勒索軟件組織的活動及其發展為我們提供了威脅情報,可以更好地防禦。
我們見證了用 Rust 和 Golang 編寫的跨平台勒索軟件成為「新一代」勒索軟件群體的武器。由於該軟件的靈活性,攻擊可以更大規模跨平台進行。這種靈活性使勒索軟件團伙能夠在實施攻擊時快速調整其策略,使其目標多樣化並影響更多受害者。
其次,我們見證了勒索軟件團體如何重建其內部流程以促進其活動越來越類似於合法軟件開發人員的重大發展。雖然他們在品牌塑造方面的努力並不新穎,但他們「業務」的細分以及新滲透工具的創建 使「勒索軟件即服務」行業得以成熟,在這個行業中,勒索軟件所有者儘可能地簡化了勒索運營商的工作。
最後,勒索軟件集團介入俄羅斯和烏克蘭衝突,開創了網絡犯罪在地緣政治方面的運作方式的先例。雖然人們普遍認為,高級持續威脅(APT)行為者通常是那些為國家利益承擔執行高級攻擊任務的人,但我們現在看到,勒索軟件行為者也自願參與此類活動,並導致了相當破壞性的後果。

END
參考鏈接:https://securelist.com/new-ransomware-trends-in-2022/106457/

編輯|商上

審校|何雙澤、金矢

本文為CNTIC編譯整理,不代表本公眾號觀點,轉載請保留出處與鏈接。聯繫信息進入公眾號後點擊「關於我們」可見。

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()