研究人员在Microsoft Exchange服务器中发现ProxyShell漏洞之后,发现了一种新型勒索软件。这种被称为LockFile的威胁软件使用独特的“间歇性加密”方法来逃避检测,并采用以前勒索软件团伙的策略。
Sophos研究人员发现,LockFile勒索软件会对文件的每16个字节进行加密,这意味着一些勒索软件保护解决方案不会注意到它,因为“加密的文档在统计上看起来与未加密的原始文档非常相似。”而且“此前从未见过在勒索软件攻击中使用间歇性加密。”
早在之前一份报告中研究人员解释说,勒索软件首先利用未修补的ProxyShell漏洞,然后使用所谓的 PetitPotam NTLM中继攻击来控制受害者的域。在这种类型的攻击中,攻击者使用 Microsoft 的加密文件系统远程协议 (MS-EFSRPC) 连接到服务器,劫持身份验证会话,并操纵结果,使服务器相信攻击者拥有合法的访问权限。
研究人员发现,LockFile还具有先前勒索软件的一些属性以及其他策略,例如为了隐藏其恶意活动,不需要连接到命令和控制中心来通信。
“与WastedLocke和Maze勒索软件一样,LockFile勒索软件使用内存映射输入/输出(I/O)来加密文件,这项技术允许勒索软件无形中 加密内存中的缓存文档,并导致操作系统写入加密文档,而检测技术会发现的磁盘I/O最少。”
深度潜藏
研究人员使用他们在VirusTotal上发现的带有SHA-256哈希的“bf315c9c064b887ee3276e1342d43637d8c0e067260946db45942f39b970d7ce”的勒索软件样本来分析LockFile。在打开时,示例似乎只有三个功能和三个部分。
第一部分名为OPEN,不包含任何数据——只有零。第二部分,CLSE,包含了示例的三个函数。然而,研究人员表示,该部分的其他数据都是编码的代码,稍后将被解码并放在“OPEN”部分,研究人员对此进行了深入研究。
“entry()函数很简单,它调用FUN_1400d71c0():,”研究人员写道。FUN_1400d71c0()函数将CLSE部分的数据解码,并将其放入OPEN部分。它还解析必要的dll和函数。然后它操作IMAGE_SCN_CNT_UNINITIALIZED_DATA值并跳转到OPEN部分中的代码。”
研究人员使用WinDbg和.writemem将OPEN部分写入磁盘,以静态分析开源逆向工程工具Ghidra中的代码。在那里发现了勒索软件的主要功能,第一部分初始化了一个加密库,LockFile可能将其用于其加密功能。
然后,勒索软件使用Windows管理界面(WMI)命令行工具WMIC.EXE(它是每个 Windows 安装程序的一部分)终止所有名称中包含vmwp的进程,并对虚拟化软件和数据库相关的其他关键业务流程重复这一过程。
“通过利用WMI,勒索软件本身与这些典型的关键业务流程的突然终止没有直接关联,”他们解释说。“终止这些进程将确保相关文件/数据库上的锁被释放,从而为恶意加密做好准备。”
研究人员表示,LockFile将加密文件重命名为小写,并添加了 .lockfile 文件扩展名,还包括一个HTML应用程序 (HTA) 勒索信,看起来与LockBit 2.0的勒索信非常相似。
“在其勒索信中,LockFile 攻击者要求受害者联系特定的电子邮件地址:contact[@]contipauper.com,”他们说,并补充说该域名似乎是在8月16日创建的,似乎是对仍然活跃的竞争勒索软件集团康迪帮(Conti Gang)的“贬义词”。
间歇性加密
根据研究人员的说法,LockFile与竞争对手最大的区别并不是它本身实现了部分加密——就像LockBit 2.0、DarkSide和BlackMatter勒索软件一样。让LockFile与众不同的是它采用这种加密方式的独特之处,这是以前从未在勒索软件中观察到的。
“LockFile的不同之处在于它不加密前几个块,相反,LockFile每隔16个字节就对文档进行加密。这意味着文本文档仍然部分可读。”
这种方法的“优势”在于它可以避开一些使用所谓的“卡方 (chi^2)”分析的勒索软件保护技术,从而逃过这种分析的统计方式从而混淆了它。
一个481 KB的未加密文本文件(比如一本书)的chi^2分数为3850061,如果文档被DarkSide勒索软件加密,它的chi^2分数将为334,这说明文档已被加密。如果同一个文档被LockFile勒索软件加密,它的chi^2分数仍然会很高,为1789811。
一旦加密了机器上的所有文档,LockFile就会消失得无影无踪,并通过PING命令自动删除。这意味着,在勒索软件攻击之后,安防人员或防病毒软件都无法找到或清理勒索软件二进制文件。
勒索软件的攻击技术和手段愈发难以预测,这也提醒企业在做网络安全防护时不能仅靠传统杀毒软件或防御设备,同时也应加强相应软件自身安全性。随着《数据安全法》及《关键信息基础设施安全保护条例》的施行,对各企业机构的网络安全建设及管理提出更高要求。
软件安全是网络安全最后一道防线,数据显示,90%的网络安全事件均与软件代码安全漏洞有关,因此在软件开发阶段不断通过安全可信的静态代码检测工具发现并修改安全漏洞,提高软件自身安全来降低安全风险已成为国际共识。但目前仍有很多软件开发企业仅重视开发效率及功能等,这在一定程度上不但会造成软件存在安全隐患,同时一旦发生网络攻击,将为企业带来难以估量的损失和影响。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!
参读链接:
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/119027.html