Lazarus 正在寻找攻击对象

勒索软件攻击日益增加,2020年或许将成为历史上令人不愉快的一年。

勒索软件生态系统的结构

犯罪分子利用广泛的僵尸网络感染(例如，臭名昭著的Emotet和Trickbot恶意软件家族)传播到有希望的受害者网络中，并从第三方开发者那里获得勒索软件“产品”的许可。当攻击者对目标的财务和IT流程有了很好的了解后，他们会在公司的所有资产上部署勒索软件，并进入谈判阶段。

该生态系统在独立的高度专业化的集群中运行，在大多数情况下，它们之间除了业务联系外没有其他链接。这就是为什么威胁行为者的概念变得模糊的原因：最初造成违规的组织不太可能是损害受害者的Active Directory服务器的一方，而后者不是编写事件中使用的实际勒索软件代码的一方。而且，在两次事件的过程中，相同的罪犯可能会转换业务伙伴，并且可能会完全利用不同的僵尸网络和/或勒索软件系列。

案例1：VHD勒索软件

第一次事件发生在欧洲，引起了我们的注意，原因有两个:其一，它以一个我们不知道的勒索软件家族为特征，其二，它涉及到一种让人想起APT集团的传播技术(参见下面的“传播工具”细节)。勒索软件本身没什么特别的:它是用c++编写的，抓取所有连接的磁盘，加密文件，删除任何名为“系统卷信息”的文件夹(链接到Windows的恢复点功能)。该程序还会停止可能锁定重要文件的进程，如Microsoft Exchange和SQL Server。文件使用ECB模式下的AES-256和RSA-2048的组合加密。在我们最初发布的报告中，我们注意到这个程序的两个特点:

• 勒索软件使用Mersenne Twister作为随机性的来源，但不幸的是，对于受害者来说，RNG会在每次新的数据被消耗时被重新播种。尽管如此，这仍然是一种非正统的密码学，正如为AES算法使用“电子码本”(ECB)模式的决定一样。ECB和AES的组合在语义上是不安全的，这意味着在加密时保留了原始清晰数据的模式。网络安全研究人员在2020年4月分析Zoom安全时重申了这一点。
• 如果加密过程中断，VHD将实施一种恢复操作的机制。对于大于16MB的文件，勒索软件以明文形式将当前加密材料存储在硬盘驱动器上。此信息没有安全删除，这意味着可能有机会恢复某些文件。

Mersenne Twister RNG调用。

据我们所知这个恶意软件家族首次在这篇博客文章中被公开讨论。

沿着勒索软件发现的一种传播工具，在网络内部传播了该程序。它包含特定于受害者的管理凭据和IP地址的列表，并利用它们在每台发现的计算机上暴力破解SMB服务。只要建立成功连接，就会安装网络共享，并通过WMI调用复制并执行VHD勒索软件。对于我们来说，这是网络犯罪集团的反常技术。相反，它使我们想起了APT广告活动Sony SPE，Shamoon和OlympicDestroyer，这是三个具有 worming 功能的wipers。

我们剩下的问题多于答案。我们认为这种攻击不符合已知大型狩猎集团的惯常作案手法。此外，在遥测中，我们只能找到数量非常有限的VHD勒索软件样本以及一些公共参考资料，这表明该勒索软件系列可能不会像通常那样在暗市场论坛上大量交易。

案例2：Hakuna MATA

两个月后， Kaspersky’s 事件响应团队（GERT）处理了第二起事件。这意味着我们能够完整了解导致安装VHD勒索软件的感染链。

在这种情况下，我们认为初始访问是通过机会性利用易受攻击的VPN网关实现的。此后，攻击者获得了管理特权，在受感染的系统上部署了后门，并能够接管Active Directory服务器。然后，他们将VHD勒索软件部署到网络中的所有计算机。在这种情况下，没有传播工具，但是勒索软件是通过一个用Python编写的，我们仍然相信它是在开发中。整个感染历时10小时。

在这次事件中使用的后门是一个多平台框架的实例，我们称之为MATA(一些供应商也称它为Dacls)。在 MATA:多平台恶意软件框架中，我们对它的能力进行了深入的描述。

结论

我们掌握的数据倾向于表明VHD勒索软件不是商用的现成产品。据我们所知，Lazarus集团是MATA框架的唯一所有者。因此，我们得出结论，VHD勒索软件也由Lazarus拥有和运营。

回到我们的介绍，这一发现与我们对网络犯罪生态系统的了解不一致。Lazarus一直存在于APT和金融犯罪之间的特殊十字路口，并且在威胁情报界一直有谣言说该组织是各种僵尸网络服务的客户。我们只能推测他们为什么现在开始独自行动：也许他们发现很难与网络犯罪黑社会互动，或者也许他们觉得他们再也无法负担与第三方分享利润了。

很明显，该组织无法通过针对目标勒索软件的即时运行方法来与其他网络犯罪团伙的效率相提并论。他们真的可以在部署勒索软件的10个小时内为受害者确定适当的勒索价格吗？他们甚至还能找出备份的位置吗？最后，唯一重要的是这些操作是否为Lazarus带来了利润。