研究人員在Microsoft Exchange服務器中發現ProxyShell漏洞之后,發現了一種新型勒索軟件。這種被稱為LockFile的威脅軟件使用獨特的“間歇性加密”方法來逃避檢測,并采用以前勒索軟件團伙的策略。
Sophos研究人員發現,LockFile勒索軟件會對文件的每16個字節進行加密,這意味著一些勒索軟件保護解決方案不會注意到它,因為“加密的文檔在統計上看起來與未加密的原始文檔非常相似。”而且“此前從未見過在勒索軟件攻擊中使用間歇性加密。”
早在之前一份報告中研究人員解釋說,勒索軟件首先利用未修補的ProxyShell漏洞,然后使用所謂的 PetitPotam NTLM中繼攻擊來控制受害者的域。在這種類型的攻擊中,攻擊者使用 Microsoft 的加密文件系統遠程協議 (MS-EFSRPC) 連接到服務器,劫持身份驗證會話,并操縱結果,使服務器相信攻擊者擁有合法的訪問權限。
研究人員發現,LockFile還具有先前勒索軟件的一些屬性以及其他策略,例如為了隱藏其惡意活動,不需要連接到命令和控制中心來通信。
“與WastedLocke和Maze勒索軟件一樣,LockFile勒索軟件使用內存映射輸入/輸出(I/O)來加密文件,這項技術允許勒索軟件無形中 加密內存中的緩存文檔,并導致操作系統寫入加密文檔,而檢測技術會發現的磁盤I/O最少。”
深度潛藏
研究人員使用他們在VirusTotal上發現的帶有SHA-256哈希的“bf315c9c064b887ee3276e1342d43637d8c0e067260946db45942f39b970d7ce”的勒索軟件樣本來分析LockFile。在打開時,示例似乎只有三個功能和三個部分。
第一部分名為OPEN,不包含任何數據——只有零。第二部分,CLSE,包含了示例的三個函數。然而,研究人員表示,該部分的其他數據都是編碼的代碼,稍后將被解碼并放在“OPEN”部分,研究人員對此進行了深入研究。
“entry()函數很簡單,它調用FUN_1400d71c0():,”研究人員寫道。FUN_1400d71c0()函數將CLSE部分的數據解碼,并將其放入OPEN部分。它還解析必要的dll和函數。然后它操作IMAGE_SCN_CNT_UNINITIALIZED_DATA值并跳轉到OPEN部分中的代碼。”
研究人員使用WinDbg和.writemem將OPEN部分寫入磁盤,以靜態分析開源逆向工程工具Ghidra中的代碼。在那里發現了勒索軟件的主要功能,第一部分初始化了一個加密庫,LockFile可能將其用于其加密功能。
然后,勒索軟件使用Windows管理界面(WMI)命令行工具WMIC.EXE(它是每個 Windows 安裝程序的一部分)終止所有名稱中包含vmwp的進程,并對虛擬化軟件和數據庫相關的其他關鍵業務流程重復這一過程。
“通過利用WMI,勒索軟件本身與這些典型的關鍵業務流程的突然終止沒有直接關聯,”他們解釋說。“終止這些進程將確保相關文件/數據庫上的鎖被釋放,從而為惡意加密做好準備。”
研究人員表示,LockFile將加密文件重命名為小寫,并添加了 .lockfile 文件擴展名,還包括一個HTML應用程序 (HTA) 勒索信,看起來與LockBit 2.0的勒索信非常相似。
“在其勒索信中,LockFile 攻擊者要求受害者聯系特定的電子郵件地址:contact[@]contipauper.com,”他們說,并補充說該域名似乎是在8月16日創建的,似乎是對仍然活躍的競爭勒索軟件集團康迪幫(Conti Gang)的“貶義詞”。
間歇性加密
根據研究人員的說法,LockFile與競爭對手最大的區別并不是它本身實現了部分加密——就像LockBit 2.0、DarkSide和BlackMatter勒索軟件一樣。讓LockFile與眾不同的是它采用這種加密方式的獨特之處,這是以前從未在勒索軟件中觀察到的。
“LockFile的不同之處在于它不加密前幾個塊,相反,LockFile每隔16個字節就對文檔進行加密。這意味著文本文檔仍然部分可讀。”
這種方法的“優勢”在于它可以避開一些使用所謂的“卡方 (chi^2)”分析的勒索軟件保護技術,從而逃過這種分析的統計方式從而混淆了它。
一個481 KB的未加密文本文件(比如一本書)的chi^2分數為3850061,如果文檔被DarkSide勒索軟件加密,它的chi^2分數將為334,這說明文檔已被加密。如果同一個文檔被LockFile勒索軟件加密,它的chi^2分數仍然會很高,為1789811。
一旦加密了機器上的所有文檔,LockFile就會消失得無影無蹤,并通過PING命令自動刪除。這意味著,在勒索軟件攻擊之后,安防人員或防病毒軟件都無法找到或清理勒索軟件二進制文件。
勒索軟件的攻擊技術和手段愈發難以預測,這也提醒企業在做網絡安全防護時不能僅靠傳統殺毒軟件或防御設備,同時也應加強相應軟件自身安全性。隨著《數據安全法》及《關鍵信息基礎設施安全保護條例》的施行,對各企業機構的網絡安全建設及管理提出更高要求。
軟件安全是網絡安全最后一道防線,數據顯示,90%的網絡安全事件均與軟件代碼安全漏洞有關,因此在軟件開發階段不斷通過安全可信的靜態代碼檢測工具發現并修改安全漏洞,提高軟件自身安全來降低安全風險已成為國際共識。但目前仍有很多軟件開發企業僅重視開發效率及功能等,這在一定程度上不但會造成軟件存在安全隱患,同時一旦發生網絡攻擊,將為企業帶來難以估量的損失和影響。Wukong(悟空)靜態代碼檢測工具,從源碼開始,為您的軟件安全保駕護航!
參讀鏈接:
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/119027.html
