如今谈到网络威胁,大多数人都会想到勒索软件,尤其是加密型恶意软件。随着COVID-19的爆发和几大网络犯罪集团(Maze、REvil、Conti、DarkSide、Avaddon)的出现,一个完整的犯罪生态系统已经形成,目前全球范围内针对大型组织的攻击浪潮正在增加。今年,在发生一系列备受瞩目的勒索软件事件后,例如对ColonialPipeline(美国最大的燃料管道运营商)、JBS和Kaseya的攻击,以及随后美国和其他当局的严格审查,勒索软件市场有发生了一些重大变化:一些团体已被摧毁,另一些团体已更名。目前大多数攻击组织倾向于在独联体以外的地区开展活动,尽管该地区有大量机会主义攻击组织。本文重点关注2021年上半年独联体地区最活跃的勒索病毒木马家族及其技术特征。统计:2021年1-7月,独联体地区1-7月遭受勒索病毒攻击的企业数量2021年,遭受勒索软件攻击的卡巴斯基用户百分比勒索软件家族简介BigBobRoss/TheDMR该勒索软件于2018年底开始活跃,目前仍在使用。它的主要传播媒介是破解RDP密码。启动BigBobRoss时,会显示运营商的技术信息,包括用于后续文件解密的密钥。该恶意软件还通过Telegram发送包含此信息的消息。BigBobRoss创建的技术文件加密文件夹内容如下:在每个文件的开头添加攻击者的电子邮件地址和受害者ID,然后是原始名称和扩展名,最后是勒索软件添加的扩展名。加密文件和攻击者记录:此外,每个文件夹中都会添加一条带有攻击者详细信息的注释。勒索软件留下的记录为了加密,该程序使用AES对称算法和ECB模式(简单替换模式)中的128位密钥,来自CryptoPP加密库。PDB保留有关项目名称的信息,其背后的开发人员可能会说俄语,但这只是一个猜测。可执行文件的PDB信息Crysis/DharmaCrysis是一种自2016年以来已知的旧加密恶意软件。众所周知,它被停用然后又恢复了。目前,它仍然活跃。该木马的代码多年来一直保持不变,现在通过勒索软件即服务(RaaS)卫星程序进行分发。孤岛危机是用C/C++编写并在MSVisualStudio中编译的。该恶意软件在CBC模式下使用AES-256算法对文件进行加密。木马启动后生成一个256位的AES密钥,用RSA-1024算法加密,攻击者的公钥包含在木马中。每个文件都使用上述AES密钥以及新生成的128位初始化向量(IV)进行加密。加密文件除了加密内容外,还存储了IV、RSA加密的AES密钥,以及辅助信息,包括攻击者的标签(一个字符串值)、使用的RSA公钥的SHA1哈希值、原始文件名,以及加密类型(文件中要加密的部分对小文件和大文件的选择不同)和校验和。CrysisRansom注意典型的Crysis攻击媒介是未经授权的RDP访问。攻击者破解凭据(通过字典/暴力攻击或从其他攻击者处购买的现成列表),远程连接到受害者的计算机,并手动运行木马。Phobos/Eking这款勒索软件自2017年以来一直存在,在概念层面(代码结构、开发人员使用的方法),Phobos在许多方面与Crysis相似。这表明木马的开发者是同一个人,或者说Phobos的开发者熟悉Crysis的工作原理。但是,我们没有发现直接借用代码;换句话说,这些是从不同来源组装的不同木马家族。与大多数现代勒索软件一样,Phobos通过RaaS附属程序进行分发。感染的主要媒介是未经授权的RDP访问。Phobos是用C/C++编写的,并在MSVisualStudio中编译。它使用AES-256-CBC算法加密受害者的文件,AES密钥使用恶意软件对象中包含的RSA-1024公钥加密。PhobosRansomNoteCryakl/CryLockCryakl可能是本文介绍的最古老的勒索软件。第一个版本是在2014年4月被发现的。然而,在这个木马的现代版本中,似乎没有留下一行代码。Cryakl已被多次重写,每个新版本都引入了一些新功能。它通过附属程序传播。目前,其最常见的攻击媒介是通过RDP。为了方便攻击者,木马支持图形界面。操作员在程序窗口中手动配置必要的设置。Cryakl设置窗口Cryakl是用Delphi编写的。现代版本的Cryakl使用自定义对称密码来加密受害者的文件,并使用RSA算法来加密密钥。当前版本的Cryakl的一个有趣功能是对存档格式的高级处理,这是其他勒索软件所没有的。档案可能很大,对它们进行完全加密需要很长时间。如果只加密文件的任意部分,则无需解密即可恢复部分内容。Cryakl有针对ZIP、7z、TAR、CAB和RAR(旧版本和RAR5)格式的特殊程序。它解析每一种格式,只加密存档的关键部分,提供高性能并防止数据恢复而无需解密。分析ZIP格式的程序的一部分CryaklransomnoteCryptConsoleCryptConsole于2017年1月首次被发现,至今仍处于活动状态。它用C#编写,使用.NET库进行加密,主要分发工具是破解RDP密码。CryptConsole记录为了加密,生成了两个密钥和IV对,这些信息被写入一个文本文件,以及一个大小参数(反映有多少用户文件需要加密),并放在桌面上。此文本文件的名称是一个40个字符的字符串,与用户的唯一标识符(注释中的个人ID)相匹配。假设恶意软件操作员通过RDP获得访问权限,运行勒索软件并为自己保存此文件,然后将其从受害者的设备中删除。这可能证明可以恢复文件。有趣的是,文件加密部分的大小(大小参数)是[5485760,10485760]范围内的随机值。包含勒索软件留下的密钥的文件的加密方案也很奇怪。如上所述,勒索软件会生成两个随机对:key+IV和key2+IV2。然后将文件大小与先前生成的随机大小值进行比较。如果文件大于size,则在将随机数据的size字节缓冲区写入文件之前,只有小于或等于该值的文件部分被加密。生成密钥/IV对,ID和大小使用对称AES算法进行加密。首先,文件的size字节块用密钥和IV加密,然后加密缓冲区被反转并再次加密,这次使用key2和IV2,这就是双重加密方案的工作原理。上面介绍了小文件的双重加密方案。大文件首先填充任意大小字节的数据,然后才可以附加加密数据。Fonix/XINOFFonix勒索病毒是一种任意数据写入的双重加密方案,于2020年夏季首次被发现,2021年1月,其创建者宣布关闭该项目,并发布了主密钥,我们可以使用该主密钥来进行木马的攻击。受害者构建了一个解密器。然而,Fonix并没有就此止步,几个月后(2021年6月),我们检测到针对未使用旧主密钥的新版本Fonix的攻击。此版本的Fonix模仿Crysis和Phobos特洛伊木马,对加密文件使用相同的扩展名和命名方案。如果受Fonix早期版本影响的文件的名称类似于picture.jpg.Email=[actor@mail.tld]ID=[B49D8EF5].XINOF,则它们现在与Crysis(picture.jpg.id-523E8573.[actor@mail.tld].harma)或Phobos(picture.jpg.ID-70AB2875.[actor@mail.tld].eking)加密文件名没有区别。木马样本中保存的项目PDB文件的路径也涉及故意屏蔽:“DharmaVersion”行明确指向Dharma家族(Crysis勒索软件的另一个名称)。PDB路径Fonix使用CryptoPP库用C++编写,并在MSVisualStudio中编译为64位可执行文件。它采用RaaS方案传播,主要通过带有恶意附件的垃圾邮件进入受害者系统。每次感染后,勒索软件都会通过Telegram向其运营商发送通知,顺便说一句,这并不是什么新鲜事,已经存在了几年。使用Telegram发送通知在感染主机后,Fonix还会通过IP检查受害者的地理位置,如果在伊朗启动则停止其不加密的活动。Fonix检查受害者的地理位置以加密用户文件,它使用ChaCha或Salsa算法(取决于文件大小)。ChaCha/Salsa密钥使用木马启动时生成的会话公钥通过RSA加密。会话私钥由RSA使用恶意软件对象中包含的公共主密钥进行加密。Fonix的早期版本有自己的赎金票据。Fonix赎金票据(早期版本)同时,在最近的样本中,我们看到了某些版本的Crysis和Phobos赎金票据被复制。FonixRansomLetter(ModernVersion)Limbozar/VoidCrypt该勒索软件出现于2019年年中,部分版本也被称为Limbo、Legion、Odveta和Ouroboros。Limozar通过附属程序(RaaS)进行分发。目前,主要的传播媒介是未经授权的RDP访问。Limozar用C++编写,在MSVisualStudio中编译,并使用CryptoPP库来实现加密功能。纵观该家族的历史,其密码方案已多次更改。当Limbozar启动时,现代版本的Limbozar会生成一个RSA-2048会话密钥对,后跟一个256位密钥和一个用于GCM模式下AES算法的96位初始化向量。RSA会话私钥使用AES算法加密并存储在本地。接下来,使用木马对象中包含的几个公共RSA主密钥之一对AES密钥+IV对进行加密,并将其保存到本地驱动器。在这个准备阶段之后,Limbozar搜索受害者的文件并使用AES-GCM算法对其进行加密,并为每个文件生成唯一的密钥+IV对,然后使用RSA会话公钥对其进行加密。加密后,恶意软件将攻击者的请求保存在Decrypt-info.txt文件中。一旦Limbozar赎金票据被完全加密,Limbosar还会使用POST请求向其C&C服务器发送有关新受害者的通知。对于网络通信,使用SFML库(libsfml-network)。关于新版本的Limbozar感染Thanos/HakbitThanos的通知在2020年4月下旬开始活跃,尽管有关它的信息首次出现是在1月份,当时它以RaaS的形式出现在黑客论坛上。这个勒索软件是用C#编写的。根据我们掌握的信息,其主要传播工具是破解RDP密码。受感染计算机的桌面墙纸,显示一封勒索信。由于传播模型是RaaS,勒索病毒是通过构建器传播的,所以木马本身和解密器都是可以定制的。构建器中有许多不同的设置:基本的(加密文件的扩展名、赎金票据的名称和内容、付款地址)和更高级的(代码混淆、自我删除、禁用WindowsDefender、绕过反恶意软件扫描接口(AMSI))),解锁被其他进程占用的文件,保护勒索进程,防止休眠,执行延迟,大文件快速加密模式,设置加密文件扩展名,选择受害者通知方式).泄漏的构造函数可以在网上找到。它很可能是由购买它的运营商上传的。为了保护,它有一个内置的HWID检查,表明它是为运营商的特定设备组装的。解密器可以使用用户ID解密文件,用户ID是对称加密算法的RSA加密密钥(不同版本有不同的对称算法)。Thanosdecryptor勒索软件可以使用一系列加密方案。在勒索软件的各种样本中,我们遇到了以下情况:应用于所有文件的密钥:Salsa20加密;对所有文件应用不同的密钥:Salsa20加密;通过PBKDF2函数应用于所有文件的密钥:AES-256CBC加密;密钥通过PBKDF2函数应用于所有文件(小文件迭代1000次,大于15MB的大文件迭代50000次),然后是AES-256CBC加密。下面给出其中一种加密方案(静态密钥+PBKDF2+AES-256CBC)和代码混淆方法的描述。混淆相当弱,这使得恢复原始代码成为可能。其中一个用于加密的代码块与勒索信没有太大区别,一如往常,目的是留下联系方式并恐吓用户。ThanosransomnoteThanos实施了一个相当灵活的攻击方案,允许操作员独立选择勒索软件的功能并生成它以满足他们的特定需求。XMRLockerXMRLocker于2020年8月上旬首次被发现。它是用C#编写的,并使用.NET库进行加密。使用随机长度65-101个字符的生成密码进行加密,使用由英文大小写字母和一些特殊字符组成的固定字母表生成密码。XMRLocker中生成的密码加密采用AES算法,密钥长度为256位,CFB模式采用PKCS7填充。预生成的密码通过PBKDF2函数传递50000次迭代,并将结果转换为密钥和IV以进一步加密。PBKDF2使用一个32字节的随机盐值,它被写在每个文件的开头。为所有文件生成密钥。它保存在一个名为HWID的文本文件中,该文件被发送到托管在Tor网络上的C&C服务器,然后被删除。加密功能加密后,关闭设备。在下次启动时,用户会看到对所发生事件的介绍以及有关攻击者的详细信息。发布后消息与往常一样,勒索软件的描述包括联系方式和ID。唯一令人惊讶的变化是“使用Base-64算法加密的文件”一词,因为这不是加密算法,勒索软件根本不使用它。勒索软件概述在CIS中,既有知名的也有相对较新的面向企业的勒索软件。这些恶意软件中有许多是新的,有些已经退出市场。勒索软件的加密技术也越来越诡异,比如CryptConsole中的双重加密和Cryakl中的ArchiveProcess处理。尽管恶意软件通过不同的载体传播,但当前大多数针对CIS公司的勒索软件威胁都是通过RDP渗透到受害者的网络中。因此,为域帐户创建强密码并定期更改它们很重要。另外,建议在互联网上屏蔽RDP访问,使用VPN连接企业网络。本文翻译自:https://securelist.com/cis-ransomware/104452/如有转载请注明出处。
