2022年7月17日,阿尔巴尼亚新闻媒体报道了一次大规模网络攻击,影响了阿尔巴尼亚政府的电子政务系统。后来调查发现,这些网络攻击是威胁活动的一部分,可能旨在破坏该国的计算机系统。2022年9月10日,阿尔巴尼亚当地新闻报道了针对阿尔巴尼亚TIMS、ADAM和MEMEX系统的第二波网络攻击。大约在同一时间,我们发现了与第一波中使用的勒索软件和擦除器样本相似的勒索软件和擦除器样本,尽管进行了一些有趣的修改,可能允许规避安全控制并提高攻击速度。这些变化中最主要的是嵌入原始磁盘驱动程序,在恶意程序中提供直接硬盘驱动器访问,修改元数据,并使用Nvidia泄露的代码签名证书对恶意程序进行签名。在本文中,我们描述了:1.第一波和第二波勒索软件和擦除器恶意软件用于针对阿尔巴尼亚机构,并详细说明了与之前已知的ROADSWEEP勒索软件和ZEROCLEARE变体主体连接的区别。2.攻击者使用Nvidia和科威特电信公司的证书对他们的恶意程序进行签名,前者已经泄露,但我们不知道他们是如何得到后者的。3.我们发现使用不同语言的不同攻击团体之间存在潜在的合作关系,并且可能使用AnyDesk作为启动勒索软件/清除攻击感染的初始切入点。4.第二波攻击中自动化和加速擦除的变化让人想起中东臭名昭著的Shamoon擦除攻击。下面,我们将比较和讨论第一波和第二波勒索软件和擦除器恶意软件之间的区别。初始感染——不同攻击组之间协作关系的证据以及AnyDesk实用程序的使用虽然我们无法在我们分析的攻击中确定攻击者的初始入口点,但我们注意到在第二波攻击后的几天内发生了攻击攻击者获得了访问权限另一个非政府但重要的阿尔巴尼亚机构的AnyDesk帐户,并建议讲波斯语的黑客使用它来部署勒索软件或删除恶意程序。由此我们推测,第二波攻击的初始切入点是通过合法的远程访问程序(如AnyDesk),特别是使用的wipe攻击修改由于时间有限,仅限于安装驱动时自动执行/access窗口,可能需要紧急执行。攻击者和访问提供者似乎属于不同的攻击组并使用不同的语言。使用科威特电信公司签名证书的勒索程序如下:第二波样本与第一波样本具有相同的签名证书参数,该样本与科威特电信公司有关。目前尚不清楚攻击者如何使用科威特电信的证书签署他们的恶意程序,但我们怀疑它被盗了。截至本文发布时,该证书不再有效并已被吊销。初始执??行后,第二波攻击中使用的欺骗会检查攻击者提供的任意六个或更多参数,而第一波样本会检查五个或更多参数,这是一种有效的规避防御措施。对检测的微小修改。然而,对其中一台受影响计算机的攻击分析表明,在第二波攻击中,攻击者没有使用BAT文件调用勒索软件,而是使用六个零“000000”立即调用第二波攻击中使用的勒索软件。来自命令行的攻击。如果勒索软件执行失败是因为没有提供正确的参数,第二波攻击示例将显示与第一波攻击消息不同的消息,这类似于PDF到DOC转换器显示的错误消息。第一波攻击示例,执行失败后的消息第二波攻击示例,执行失败后的不同消息第二波攻击勒索样本继续执行,检查互斥体Screenlimitsdevices#77!;,这个值与第一波攻击相同样本的互斥量不同:abcdefghijklmnoklmnopqrstuvwxyz01234567890abcdefghijklmnopqrstuvwxyz01234567890虽然我们根据其行为将此恶意程序称为勒索软件,但加密文件实际上是不可恢复的。在比较第二波勒索软件样本和第一波勒索软件样本时,我们注意到两者具有相同的特征,并且都使用CreateFile和WriteFileapi来覆盖文件。在执行过程中,第二波勒索软件会尝试解密并执行嵌入式脚本、恶意程序设置或API函数名称。第一波攻击和第二波攻击使用的加密算法都是RC4。然而,用于解密的RC4密钥在第二波中被更改,这是另一种逃避检测的尝试。第一次攻击中的RC4密钥:8CE4B16B22B58894AA86C421E8759DF3第二次攻击中的RC4密钥:F0B4EDD943F5C843C9D0A24F229BBC3A值得注意的是在这两波攻击中,RC4解密方法都使用了CryptoAPI(CryptDecrypt),而不是通常的S盒方法。在密码学中,S盒(Substitution-box)是对称密钥算法进行替换计算的基本结构。S盒用于分组密码算法,是唯一的非线性结构,S盒索引的好坏直接决定了密码算法的好坏。对第二波的分析表明,勒索软件很可能是通过内部网络部署的,可能来自另一台受感染的设备。在勒索软件执行之前,我们没有看到任何其他东西被删除或执行,并且勒索软件可执行文件名称是随机生成的,这很可能是攻击者用来通过网络部署它的工具(例如Mellona.exe)生成的。尽管第二波勒索软件程序与第一波完全不同,但赎金票据的功能仍然存在,包括反映阿尔巴尼亚和伊朗之间地缘政治紧张局势的政治信息。第一波和第二波勒索病毒中的勒索信使用Nvidia签名的证书擦除攻击与第二波攻击勒索病毒样本相似。攻击者对第二波攻击擦除程序进行了多次修改,可能是为了逃避检测。主要有3个变化:修改恶意程序签名;擦除器程序中嵌入了EldoSRawDisk驱动程序;驱动安装后自动擦除命令;2019年的ZEROCLEARE(ZeroCleare和恶意程序Shamoon属于同一家族,均来自伊朗资助的顶级黑客组织)和DUSTMAN(旨在从设备中删除数据的程序,针对中东的能源和工业部门),擦除器程序和原始磁盘驱动程序均未签名,因此无法直接访问原始磁盘快速数据擦除。因此,擦除攻击者必须使用第三方加载器,如TDL(SignedLoaderforUnsignedDrivers)来安装未签名的原始磁盘驱动程序,让擦除程序直接访问原始磁盘,使用DeviceControlAPI方法来擦除Delete数据。但在针对阿尔巴尼亚的第一波攻击中,攻击者使用了科威特电信的证书对第一波擦除攻击进行签名,从而无需第三方加载器。速度和自动化方面的改进让我们想起了之前在中东发生的Shamoon攻击。由于第一波攻击使用的wiper在2022年7月被曝光,可能会避开静态检测,因此攻击者利用NVIDIA泄露的签名证书对2022年9月第二波攻击使用的wiper进行了签名,再次消除了需要用于原始磁盘驱动程序的第三方加载程序。在第一波攻击中,擦拭器希望在执行目录或系统目录中找到原始磁盘驱动程序。但驱动程序并没有被擦除,攻击者可能使用了其他方法。相反,在第二波攻击中,攻击者将签名的原始磁盘驱动程序嵌入到擦除攻击可执行文件中,将其删除,然后再安装。此外,第二波攻击者使用的驱动程序似乎从Microsoft的diskdump.sys崩溃转储驱动程序(版本10.0.19041.682)复制了元数据和一些功能,作为另一种避免检测的方法。擦除活动在驱动程序安装命令后自动开始。与第一波擦除攻击不同的是,安装是第一步,执行擦除是第二步。不过,在大多数情况下,第一波和第二波擦除程序是相同的,包括依靠相同的身份验证密钥访问原始磁盘驱动程序,并使用相同的DeviceControlAPI方法,但有一个例外,如图所示以下。值得注意的是,IOCTL_DISK_GET_LENGTH_INFO方法仅适用于讲波斯语的APT攻击。我们怀疑第二波攻击针对的是阿尔巴尼亚的执法机构,因为它与2022年7月的网络攻击浪潮中针对阿尔巴尼亚政府的网络攻击同时发生。总结在本文中,我们讨论了针对阿尔巴尼亚机构的第二波勒索软件和擦除攻击样本的变体,所有这些最终目标都是逃避检测并造成最大损害。除了在第二波中为逃避检测所做的更改外,我们怀疑攻击者需要自动快速执行擦除攻击。在第二波攻击中,恶意程序中嵌入了原始磁盘驱动程序,驱动安装后立即启动擦除过程,与第一波攻击过程相反。最后,防御者应该从以下两个方面入手:监控远程程序活动(如AnyDesk)以防止未经授权的使用;始终寻找和监控过期或泄漏的签名证书,因为攻击者可以使用它们来加载和执行恶意程序。本文翻译自:https://securelist.com/ransomware-and-wiper-signed-with-stolen-certificates/108350/如有转载请注明出处
