新的准系统勒索软件应变表面

Sophos Labs 的研究人员发现了一种新的勒索软件菌株，他们说该病毒以其精简的功能和大量使用而不是 PowerShell 脚本来执行其各种恶意功能而著称。

在一份新报告中，Sophos 描述了最近观察到的勒索软件 - 称为 Epsilon Red - 在针对一家美国酒店业组织的实际攻击中作为最终可执行文件交付。现有数据表明，至少有一名 Epsilon Red 受害者在 5 月中旬支付了约 210,000 美元的比特币赎金。

根据 Sophos 的说法，Epsilon Red 以其大部分早期组件都是 PowerShell 脚本而著称。勒索软件组件本身是一个用 Go 编程语言编写的基本 64 位可执行文件。它的唯一功能是加密目标系统上的文件。勒索软件组件不建立网络连接，也不执行通常集成到其他勒索软件菌株中的功能。例如，删除卷影副本和杀死进程等功能已卸载到 PowerShell 脚本。

Sophos 的首席研究员 Andrew Brandt 表示，攻击者的目标是让 Epsilon Red 及其活动更难被发现。“如果你将勒索软件活动分解为一系列正常的良性任务，防御者就更难将它们识别为相互关联并与恶意活动相关联，”他说。“当他们将诸如‘删除卷影副本’之类的内容卸载成碎片时，基于行为的端点安全工具就变得不那么可疑了。” 例如，恶意软件检测工具可能只是将卷影复制活动视为良性活动，因为它与其他恶意行为没有特别关联。

Sophos 观察到的针对美国组织的攻击似乎始于易受攻击的 Microsoft Exchange Server。Sophos 表示，目前尚不清楚攻击者是利用最近披露的Exchange Server 中的ProxyLogon 漏洞来获得未经身份验证的访问，还是利用了其他缺陷。

从最初的切入点开始，攻击者使用 Windows Management Instrumentation (WMI) 安装其他软件，以便在他们可以从 Exchange Server 访问的所有其他系统上下载勒索软件。在攻击期间，攻击者使用了十多个 PowerShell 脚本——包括用于删除卷影副本和复制 Windows 安全帐户管理 (SAM) 的脚本，以便他们可以检索存储在计算机上的密码。

Sophos 对 Epsilon Red 的分析表明，勒索软件二进制文件本身不包含目标文件和扩展名的列表。相反，它似乎旨在加密目标系统上的所有内容，包括保持系统正常运行所需的关键动态链接库 (DLL) 和扩展。这与大多数成熟的勒索软件系列大不相同，后者的勒索软件二进制文件明确包含用于从加密中排除 DLL 和可执行文件的逻辑。

“勒索软件威胁者知道，如果没人能看到他们的勒索字条，他们就不可能获得报酬——因为计算机无法启动，”他说。“人们普遍认为加密可执行文件和 DLL 对业务不利。” 由于 Epsilon Red 似乎没有做出这种区分，恶意软件可能会使受感染的系统无法启动。Brandt 说，在这些情况下，即使攻击者提供解密工具，受害者也很可能无法在该计算机上运行它。

不断发展的趋势

Epsilon Red 勒索软件活动是最近许多其他攻击活动的典型代表，在这些活动中，攻击者严重依赖脚本和命令解释器（例如 Windows Command Shell 和 PowerShell）来执行脚本、命令和二进制文件。Red Canary 最近对来自客户网络的威胁数据进行的分析表明，48.7% 的客户经历了使用 PowerShell 的攻击，38.4% 的攻击涉及 Windows Command Shell。Red Canary 发现攻击者通常使用 PowerShell 执行恶意软件混淆、恶意命令执行和下载额外负载等任务。

“我们当然已经看到 PowerShell 与 WMIC [WMI 命令行] 和可能不需要的应用程序一起使用，例如渗透测试工具，”Brandt 说，“或者远程访问软件在过去与多个攻击者一起使用攻击和枢轴策略年。”