迷宫勒索软件,以前称为“ChaCha勒索软件”,于2019年5月29日被JeromeSegura发现。从历史上看,该恶意软件使用了不同的技术来获取访问权限,主要是漏洞利用工具包、远程使用弱密码的桌面连接或通过电子邮件或通过不同的机构或公司进行模拟。在过去一年中,Maze已成为威胁企业和大型组织的最臭名昭著的恶意软件家族之一。自去年底以来,佛罗里达州彭萨科拉市政府、IT服务提供商Cognizant、Xerox、航空航天服务提供商VTSanAntonioAerospace、信息安全保险公司Chubb、韩国电子巨头LG、芯片制造商MaxLinear均遭到攻击。Maze猖獗,今年美国电缆制造公司Southwire在遭受Maze攻击后将黑客组织告上法庭。今年3月,STEngineeringAerospace的美国子公司遭受Maze勒索软件攻击,公司及其合作伙伴的1.5TB敏感数据被盗。2月,Maze入侵了五家美国律师事务所,并索要超过933,000美元的BTC赎金。7月30日,跨国公司佳能的电子邮件和存储服务以及其美国网站遭到Maze团伙的勒索软件攻击。Maze要求佳能以加密货币支付赎金,否则将面临泄露照片和数据的风险。在索要赎金失败后,勒索软件Maze背后的犯罪集团已释放了50.2GB的LG内部数据和25.8GB的Xerox内部数据。Maze犯罪组织渗透企业网络后,首先窃取数据,然后加密,最后索要赎金解密文件。LG和施乐显然拒绝了这两次勒索企图。该犯罪团伙发布的文件包含多款LG产品的固件源代码,而发布的施乐数据似乎与其客户服务业务有关。根据Sophos的最新研究,Maze勒索软件背后的攻击者正在采用RagnarLocker勒索软件团伙的方法,使用虚拟机来逃避检测。安全供应商是第一个观察到这种攻击媒介的人,攻击者早在5月份就开始在虚拟机中分发勒索软件有效负载。与RagnarLocker勒索软件团伙相关的攻击者将恶意代码隐藏在WindowsXPVM中,这使得勒索软件可以在不被端点安全软件检测或阻止的情况下运行。7月,Sophos发现Maze勒索软件对一个未具名的组织使用了类似的方法。调查显示,攻击者不断尝试用勒索软件感染计算机,同时索要1500万美元的赎金,但该组织最终没有支付。他们用勒索软件感染系统的最初尝试直到第三次尝试才成功,在第三次尝试中,攻击者使用了RagnarLocker的VM技术的增强版本。这种方法可以帮助攻击者进一步逃避安全产品的检测。Maze的演变勒索软件的历史始于2019年上半年,没有任何明显的攻击痕迹,勒索字条包含标题“0010系统故障0010”,研究人员简称为“ChaCha”勒索软件”。早期版本的Maze/ChaCha勒索软件的赎金票据此后不久,新版本的木马开始被标记为Maze,并使用与受害者相关的网站而不是屏幕截图中显示的通用电子邮件地址。最新版Maze勒索软件使用的网站Maze勒索软件的传播策略最初包括通过漏洞利用工具包(即FalloutEK和SpelevoEK)以及带有恶意附件的垃圾邮件进行感染。下面是一个恶意垃圾邮件示例,其中包含一个MSWord文档和一个用于下载Maze勒索软件负载的宏。如果收件人打开附加文档,系统将提示他们启用编辑模式,然后启用内容。如果他们上当了,文档中包含的恶意宏就会执行,这会导致受害者的PC感染Maze勒索软件。除了这些典型的感染方法外,Maze背后的开发人员还开始以公司和市政组织为目标,以获取最大的勒索资金。Maze最初的攻击机制与现在大致相同,一些事件涉及安装CobaltStrikeRAT的鱼叉式网络钓鱼活动,而在其他情况下,网络破坏是由于利用易受攻击的面向互联网的服务造成的。可从Internet访问的计算机上的弱RDP凭据也会构成威胁,因为Maze的操作员也可以利用此漏洞。特权升级、侦察和横向移动策略也因情况而异。在这些阶段,观察到使用了以下工具:mimikatz、procdump、CobaltStrike、AdvancedIPScanner、Bloodhound、PowerSploit等。在这些中间阶段,攻击者试图识别存储在受感染网络中的服务器和工作站上的有价值数据。然后,他们会泄露受害者的机密文件,以便在协商赎金数额时使用。在入侵的最后阶段,恶意操作员会在他们有权访问的所有计算机上安装Maze勒索软件可执行文件。这会加密受害者的宝贵数据并最终完成攻击。数据泄露/混淆Maze勒索软件是首批威胁如果受害者拒绝合作就会泄露机密数据的勒索软件系列之一,事实上,这使Maze成为攻击趋势的引领者,因为这种方法对犯罪分子来说非常困难。它是如此有利可图,以至于它现在是几个臭名昭著的勒索软件的典型代表,包括REvil/Sodinokibi、DoppelPaymer、JSWorm/Nemty/Nefilim、RagnarLocker和Snatch。Maze勒索软件的作者开发了一个网站,他们在该网站上列出了最近的受害者,并发布了他们在网络入侵后窃取的部分或全部文件。2020年6月,Maze背后的攻击者与另外两个攻击组织LockBit和RagnarLocker联手组成了所谓的“卡特尔集团”,该集团窃取的数据现在将发布在Maze运营商维护的博客上。攻击者不仅通过储存泄露的文件来吸引业界的注意力,他们显然还分享了他们的专业知识,Maze现在使用了以前只有RagnarLocker使用的执行技术。简要技术介绍Maze勒索软件通常以C/C++开发的PE二进制文件(EXE或DLL,视情况而定)的形式出现,并由自定义保护程序进行混淆处理。它采用各种技巧来防止静态分析,包括动态API函数导入、使用条件跳转的控制流混淆、JMPdwordptr[esp-4]代替RET、PUSH+JMP代替CALL以及其他几种技术。为了不被动态分析检测到,Maze木马还会终止研究人员常用的进程,如procmon、procexp、ida、x32dbg等。Maze使用的加密方案由几层组成:受害者的文件,Maze安全地生成一个唯一的密钥和随机数,用于ChaCha流密码;ChaCha密钥和随机数由恶意软件在启动时确定生成的会话公共RSA-2048密钥被加密;会话特定的RSA-2048密钥由木马主体中硬编码的主公共RSA-2048密钥加密。这种方法可以让攻击者在为每个受害者销售解密工具时对自己的RSA私钥保密,也可以保证一个受害者购买的解密工具不能被其他人使用。在计算机上执行时,Maze勒索软件还会尝试确定它感染的计算机类型。它试图区分不同类型的系统(“备份服务器”、“域控制器”、“独立服务器”等)。然后,Maze在赎金票据中使用此信息进一步恐吓受害者,让他们认为攻击者了解受影响网络的一切。Maze用于生成赎金票据的字符串用于生成赎金票据的程序片段缓解措施勒索软件技术每天都在发展,这意味着避免和预防感染的被动方法无济于事。抵御勒索软件的最佳方法是主动预防,因为一旦数据被加密,通常就来不及恢复了。有许多建议可以帮助防止此类攻击:保持您的操作系统和应用程序处于最新状态。对所有员工进行网络安全培训。仅将安全技术用于公司LAN内的远程连接。使用具有行为检测和自动文件回滚功能的端点安全,例如KasperskyEndpointSecurityforBusiness。使用最新的威胁情报信息来快速检测攻击并学习有用的对策以防止其传播。本文翻译自:https://securelist.com/maze-ransomware/99137/
