近期勒索軟體分析研究

2020-12-15 51cto

勒索軟體在不斷地變化發展,攻擊者會使用各種方式敲詐目標支付贖金,如今它不僅僅是加密數據,同時也會造成數據洩露。

許多公司組織堅信完善的反病毒保護方案可以防止被勒索軟體攻擊,但是勒索攻擊仍然一次又一次成功。大多是情況下,攻擊者會利用虛擬專用網中的一些已知漏洞,或者對暴露在網際網路中的主機進行攻擊,並不完全是利用惡意軟體直接進行攻擊。

Ragnar Locker

Ragnar Locker在2020年上半年開始攻擊大型組織,它具有很強的針對性,每一個樣本都是為目標組織量身定做的。如果受害者拒絕付款,他們的數據將被公布在網上。攻擊者聲稱,這筆錢是他們發現漏洞、為文件提供解密和為受害者提供OpSec培訓的獎勵。

根據拒絕付款的受害者名單,Ragnar Locker的主要目標是美國公司,行業類型各不相同。

Ragnar Locker 技術分析

研究人員選擇最近發現的惡意軟體樣本進行分析:1195d0d18be9362fb8dd9e1738404c9d

啟動時,Ragnar Locker會檢查計算機區域設置。如果是列出的某個國家區,它將停止操作並退出。


不在上述列表中的國家,它將繼續檢查一下字符串:

所有準備工作完成後,木馬程序將搜索本地磁碟並加密受害者的文件。

RagnarLocker使用基於Salsa20進行加密。 每個文件的密鑰和隨機數值也是唯一生成的,並通過木馬中硬編碼的2048位公共密鑰一起加密。


在加密文件後,Ragnar Locker會將加密的密鑰,隨機數和初始化常量添加到加密的文件中,並添加標記「!@#_®agna®_#@!」。

Egregor

Egregor勒索軟體於2020年9月被發現,經過初步分析,其與Sekhmet勒索軟體和Maze勒索軟體存在關聯。

Egregor勒索軟體通常會出現斷網的情況,惡意軟體樣本是一個DLL文件,需要使用命令行參數並給出的正確密碼來啟動。 Egregor是最激進的勒索軟體家族,如果72小時內不支付贖金,受害者的數據將會被公布。


Egregor技術分析

研究人員選擇最近發現的樣本進行分析:b21930306869a3cdb85ca0d073a738c5

惡意軟體只有在啟動過程中提供正確密碼才會生效。 此技術旨在阻礙沙盒自動分析以及研究人員的手動分析,沒有正確的密碼,就不可能解壓縮和分析有效載荷。

解壓運行惡意程序後,最終得到了一個混淆的二進位文件,該二進位文件仍然不適合靜態分析。 Egregor中使用的混淆技術與Maze、Sekhmet中的混淆技術非常相似。

控制流混淆示例

有效負載開始執行時,它將檢查作業系統用戶語言,避免對安裝了以下語言的計算機進行加密:


終止以下進程:


Egregor使用基於流密碼ChaCha和非對稱密碼RSA的混合加密方案。

Egregor會生成一對唯一的會話密鑰對。 會話專用RSA密鑰由ChaCha導出並使用唯一生成的密鑰+隨機數加密,然後用主公共RSA密鑰加密該密鑰和隨機數。 結果保存在二進位文件中(在本例中為C:\ProgramData\dtb.dat),並在贖金記錄中保存為base64編碼的字符串。


Egregor處理的文件會生成一個新的256位ChaCha密鑰和64位隨機數,通過ChaCha加密文件內容,然後使用會話公共RSA密鑰加密秘鑰和隨機數,最後將它們與一些輔助信息一起保存。每個加密文件的最後16個字節由動態標記組成。


Egregor的地理覆蓋範圍比Ragnar Locker的更廣:


涉及諸多行業:

保護措施

  • 勿將遠程桌面服務(例如RDP)開放到網際網路中,開放服務需要使用強密碼;
  • 及時安裝商業虛擬專用網可用補丁;
  • 及時更新所有設備上的軟體,防止被勒索軟體攻擊;
  • 將防禦策略重點放在檢測橫向移動和向Internet的數據洩漏方面;
  • 定期備份數據;
  • 培訓員工提高安全意識,如何防範勒索軟體攻擊。

【責任編輯:

趙寧寧

TEL:(010)68476606】

點讚 0

相關焦點

  • 銘說|用ATT&CK框架分析Ryuk家族勒索軟體
    而在ATT&CK框架模型中,除了可以使用戰術階段來描述,更為重要的是它提供了具體分析的技術部分,從而能夠非常清晰地將安全事件描述出來。以下以一個近期發現的Ryuk家族勒索為例,研究下究竟在ATT&CK的世界中是怎樣進行的。
  • 勒索軟體:改寫網安格局,進入突變元年
    安全機構研究發現:勒索軟體在2020年最瘋狂,攻擊規模和頻率以驚人的速度增長,同時也是給企業造成損失最大的攻擊手段,甚至造成全球首例勒索軟體致死事故。國際刑警組織也宣稱,勒索軟體構成網絡安全的最大威脅因素。過去30年曾改寫網絡安全格局的勒索軟體,在2020年進入最興盛的突變元年。
  • 2020年安全業界頭疼的勒索軟體
    說到信息安全,可能很多人會想到勒索軟體。勒索軟體是一種流行的木馬,通過騷擾、恐嚇甚至採用綁架用戶文件等方式向用戶勒索錢財。如今,隨著網絡技術的快速發展,安全問題也成為人們關注的焦點。接下來,本文將簡單的介紹下勒索軟體五大家族的攻擊目標與方法。
  • 2020上半年十大典型勒索軟體出爐,你中招了嗎?
    本文篩選10個典型的、比較活躍的勒索軟體,通過簡要分析其攻擊的目標、路徑、手段及主要特徵,以此警示關鍵信息基礎設施利益相關方,警鐘常鳴,防患未然。後續Maze勒索軟體增加了利用Pulse VPN的漏洞與Windows VBScript Engine遠程代碼執行漏洞的能力。Maze(迷宮)通過大量混淆代碼來對抗靜態分析,使用ChaCha20和RSA兩種算法加密文件,被加密的文檔在未得到密鑰時暫無法解密。加密完成後對文件添加隨機擴展後綴,並留下名為DECRYPT-FILES.html的勒索說明文檔,並修改桌面壁紙。
  • 佳明遭遇勒索軟體重創,業務癱瘓,被勒索1000萬美元贖金
    健身追蹤器、智能手錶和GPS產品製造商Garmin上周末遭受了WastedLocker勒索軟體的全面攻擊,主要產品服務和網站均癱瘓,攻擊者向Garmin索要高達1000萬美元贖金以恢復數據和業務。
  • 勒索軟體即服務已成為新流行的「疫情」
    現在人盡皆知,勒索軟體變成了一個巨大的麻煩。過去的一年中,我們見證了一系列勒索軟體的攻擊,攻擊摧毀了全球的很多企業。即使不是網絡安全行業的從業人員,都已經知道犯罪分子已經找到通過網絡進入公司的方法,然後犯罪分子可以鎖定計算機使之不可用,直到公司支付了相關的贖金才會恢復。
  • 勒索病毒捲土重來!
    勒索病毒的英文提示和虛擬幣交易流程,讓國內網民頭大。近期,一款出口海外的國產勒索病毒,同樣讓國外網民手足無措。它運行後鎖死MBR(磁碟主引導記錄),中招者無法進入系統,看到的是用拼音寫成的勒索信息,和十分國產化的交付方式——「要密碼給30元加QQ××」。
  • 消息人士:Garmin遭勒索軟體攻擊導致網絡癱瘓 黑客勒索1000萬美元
    消息人士:Garmin遭勒索軟體攻擊導致網絡癱瘓 黑客勒索1000萬美元 站長之家(ChinaZ.com) 7月27日 消息:據兩名直接了解該事件的消息人士稱
  • 「大流行」中的「大流行」:勒索軟體即服務(RaaS)犯罪團夥大起底
    Pysa/Mespinoza Mespinoza勒索軟體使用了pysa作為文件擴展名,因此研究人員也會使用該名稱來命名該款勒索軟體。據悉,Pysa勒索軟體團夥的攻擊目標遍及多個大洲,打擊了多個政府和商業相關的網絡。目前總計攻擊次數超過40起。
  • RagnarLocker勒索軟體隱藏在虛擬機裡逃避常規檢測
    據國外安全媒體報導,安全研究人員發現一種新的勒索軟體攻擊技術將惡意軟體部署為虛擬機(VM),以逃避傳統防禦。最近檢測到RagnarLocker攻擊,其中勒索軟體隱藏在Oracle VirtualBox Windows XP VM中。
  • 烏克蘭搗毀加密貨幣犯罪團夥:專為勒索軟體團夥洗錢
    參與調查的Binance表示,該網絡團隊有在跟勒索軟體團夥合作並也在網上傳播勒索軟體。 Bulletproof Exchanger項目 這次逮捕標誌著Bulletproof Exchanger項目的第一個成果,這是Binance在今年早些時候啟動的一個內部項目。
  • 勒索軟體 ColdLock 定向攻擊我國臺灣地區多個組織機構
    勒索軟體 ColdLock 定向攻擊我國臺灣地區多個組織機構 近日一次有針對性的攻擊使臺灣的幾個組織感染了一種新的勒索軟體,我們將其命名為ColdLock。由于勒索軟體是針對資料庫和電子郵件伺服器進行加密,因此這種攻擊具有較強破壞性。
  • 佳明繳納千萬贖金,勒索軟體WastedLocker又拿下一血
    【原創-信息安全的那些事兒】本文主要角色如下:WastedLocker:勒索軟體,以勒索比特幣為目標。BleepingComputer,惡意軟體研究技術機構。Garmin,佳明公司,橫跨航空、航海、車用、戶外運動與智能穿戴五大領域。Emsisoft,奧地利的知名的病毒安全公司。
  • 利用暗網勒索軟體,我輕鬆入侵了老闆的電腦(上)
    但現在一個普通人,無需精通編程,只要買下一個勒索軟體,就可以利用它實施數字盜竊了。這是一篇普通人嘗試數字盜竊的「黑圖靈測試」,證明網絡犯罪已經發展到了這樣一個地步,即軟體輔助的無知與真正的技能是無法區分的。本文分上、下兩篇,上篇主要回顧黑客攻擊發展歷史,以及探討黑客入侵前兩個環節:找勒索軟體準備黑客攻擊以及找到攻擊目標,下篇主要介紹黑客攻擊的最後一環節—勒索收款。
  • 心靈捕手:勒索軟體是如何運用心理戰術達到攻擊目的?
    對於用戶來說,勒索軟體是網絡攻擊者使用的最可怕的一種武器。據估計,僅在美國,因勒索軟體造成的損失就達到了75億美元,而在加拿大,因勒索軟體造成的損失就也達到了23億美元,毫無疑問,全球都能感受到勒索軟體的存在,而造成的損失更是難以估量。
  • 還記得前幾年那個轟動全球的勒索軟體病毒嗎?
    hello大家好,我是你們的好朋友站長直接開始正題,勒索病毒圖片來源微信工中號:站長急先鋒網友:勒索病毒軟體?是轟動全球的勒索軟體嗎?我:對沒錯就是勒索軟體 英文名稱WannaRen它的運作形式,是加密,以郵件網頁掛木馬形式進行傳播,就連殺毒軟體都拿不下它可想而知多麼厲害勒索病毒軟體出現時間是在2020年4月勒索病毒作者「自首」,在與一名火絨安全用戶索要比特幣未果後
  • 多雲環境下,企業如何獲取應對勒索軟體的「庇護之劍」
    混合多雲戰略的優勢顯而易見,但也因此讓勒索軟體有機可乘。日漸複雜的企業IT環境之中,正隱藏著容易被人們忽視的風險。  勒索軟體成為企業不得不應對的重大風險之一  隨著新冠疫情的持續發展,勒索軟體的攻擊勢頭呈現出上升和頻率增加的趨勢,勒索的手段和對象相較以往也有所改變。
  • 微軟警告:PonyFinal勒索軟體正在泛濫 印度、伊朗和美國均已中招
    據悉,微軟在發布的一系列推文中表示, PonyFinal是一種基於Java的勒索軟體,已開始被黑客們部署在人工勒索軟體攻擊中。據了解,人工勒索軟體是勒索軟體類別的一個子部分,在人為操作的勒索軟體攻擊中,黑客可以在破壞公司網絡的同時開始自行部署勒索軟體。
  • Mac中毒_Mac勒索軟體-太平洋IT百科手機版
    著名殺毒軟體BD公司的高級電子威脅分析師就曾明確表示,蘋果電腦會中病毒。我們之所以很少聽到Mac中毒的消息是因為Mac用戶一般都不裝殺毒軟體,因此難以充分掌握MacOS的漏洞及潛在的惡意威脅。   KeRanger(比WannaCry還早)  KeRanger是2016年MacOS上首個利用合法開發者ID進行籤名的Mac勒索軟體。
  • 蘋果筆記本電腦組裝廠商仁寶遭勒索軟體攻擊
    一場勒索軟體攻擊已經影響到了蘋果組裝合作夥伴仁寶公司,導致其企業網絡出現問題,並可能導致部分客戶的生產出現短期延誤。周一,仁寶公司證實其在周日遭到了勒索軟體的攻擊。據悉,此次攻擊對其計算機系統造成了嚴重破壞,但由於被發現得早,只癱瘓了整個網絡的30%左右。