新的准系统勒索软件应变表面

Jai 2021-06-02
专栏 - 企业安全 发布于 2021-06-02 11:05:47 阅读 97 评论 0

Sophos Labs 的研究人员发现了一种新的勒索软件菌株,他们说该病毒以其精简的功能和大量使用而不是 PowerShell 脚本来执行其各种恶意功能而著称。

在一份新报告中,Sophos 描述了最近观察到的勒索软件 - 称为 Epsilon Red - 在针对一家美国酒店业组织的实际攻击中作为最终可执行文件交付。现有数据表明,至少有一名 Epsilon Red 受害者在 5 月中旬支付了约 210,000 美元的比特币赎金。

根据 Sophos 的说法,Epsilon Red 以其大部分早期组件都是 PowerShell 脚本而著称。勒索软件组件本身是一个用 Go 编程语言编写的基本 64 位可执行文件。它的唯一功能是加密目标系统上的文件。勒索软件组件不建立网络连接,也不执行通常集成到其他勒索软件菌株中的功能。例如,删除卷影副本和杀死进程等功能已卸载到 PowerShell 脚本。

Sophos 的首席研究员 Andrew Brandt 表示,攻击者的目标是让 Epsilon Red 及其活动更难被发现。“如果你将勒索软件活动分解为一系列正常的良性任务,防御者就更难将它们识别为相互关联并与恶意活动相关联,”他说。“当他们将诸如‘删除卷影副本’之类的内容卸载成碎片时,基于行为的端点安全工具就变得不那么可疑了。” 例如,恶意软件检测工具可能只是将卷影复制活动视为良性活动,因为它与其他恶意行为没有特别关联。

Sophos 观察到的针对美国组织的攻击似乎始于易受攻击的 Microsoft Exchange Server。Sophos 表示,目前尚不清楚攻击者是利用最近披露的Exchange Server 中的ProxyLogon 漏洞来获得未经身份验证的访问,还是利用了其他缺陷。

从最初的切入点开始,攻击者使用 Windows Management Instrumentation (WMI) 安装其他软件,以便在他们可以从 Exchange Server 访问的所有其他系统上下载勒索软件。在攻击期间,攻击者使用了十多个 PowerShell 脚本——包括用于删除卷影副本和复制 Windows 安全帐户管理 (SAM) 的脚本,以便他们可以检索存储在计算机上的密码。

Sophos 对 Epsilon Red 的分析表明,勒索软件二进制文件本身不包含目标文件和扩展名的列表。相反,它似乎旨在加密目标系统上的所有内容,包括保持系统正常运行所需的关键动态链接库 (DLL) 和扩展。这与大多数成熟的勒索软件系列大不相同,后者的勒索软件二进制文件明确包含用于从加密中排除 DLL 和可执行文件的逻辑。

“勒索软件威胁者知道,如果没人能看到他们的勒索字条,他们就不可能获得报酬——因为计算机无法启动,”他说。“人们普遍认为加密可执行文件和 DLL 对业务不利。” 由于 Epsilon Red 似乎没有做出这种区分,恶意软件可能会使受感染的系统无法启动。Brandt 说,在这些情况下,即使攻击者提供解密工具,受害者也很可能无法在该计算机上运行它。

不断发展的趋势

Epsilon Red 勒索软件活动是最近许多其他攻击活动的典型代表,在这些活动中,攻击者严重依赖脚本和命令解释器(例如 Windows Command Shell 和 PowerShell)来执行脚本、命令和二进制文件。Red Canary 最近对来自客户网络的威胁数据进行的分析表明,48.7% 的客户经历了使用 PowerShell 的攻击,38.4% 的攻击涉及 Windows Command Shell。Red Canary 发现攻击者通常使用 PowerShell 执行恶意软件混淆、恶意命令执行和下载额外负载等任务。

“我们当然已经看到 PowerShell 与 WMIC [WMI 命令行] 和可能不需要的应用程序一起使用,例如渗透测试工具,”Brandt 说,“或者远程访问软件在过去与多个攻击者一起使用攻击和枢轴策略年。”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!