LockFile 勒索软件使用间歇性加密来逃避检测
自 7 月以来,一种名为 LockFile 的新型勒索软件威胁一直是全球企业的受害者。其成功的关键是一些新技巧,这些技巧使反勒索软件解决方案更难检测到它。
该威胁使用了来自防病毒供应商 Sophos 的研究人员所说的“间歇性加密”,这意味着它只加密文件内的数据块而不是其完整内容。这显着加快了加密过程,或者更好地说是数据损坏过程,但也显着地欺骗了依赖统计分析来检测潜在未授权文件加密的勒索软件保护系统。、
LockFile 在构建时考虑到了规避
LockFile 使用多种技术来逃避检测,从它自己的可执行文件开始,该文件既打包又格式错误。文件的第一部分全是零,然后是包含编码数据的第二部分。位于末尾的三个函数解码来自第二部分的数据,将其放入第一部分,然后跳转到该代码执行它。此例程的目标是抛弃监控文件执行的端点保护软件。
然后恶意软件利用 Windows 管理界面 (WMI) 扫描并杀死与业务应用程序相关的重要进程,包括 Hyper-V 虚拟机、Oracle VM Virtual Box 管理器、Oracle VM Virtual Box 服务、Microsoft SQL Server、MySQL 数据库、Oracle MTS恢复服务、Oracle RDBMS 内核、Oracle TNS 侦听器和 VMware 虚拟机。
杀死这些进程的目标是移除数据库、虚拟机或这些应用程序放置的配置文件上的任何系统锁,以便勒索软件可以加密它们。通过利用 WMI,进程将被系统本身终止,而不是由勒索软件可执行文件终止。这是另一种检测规避技术,也旨在使事件响应复杂化。
另一个值得注意的技巧是 LockFile 对文件执行操作的方式。恶意软件不会直接修改磁盘上的文件,而是首先将它们映射到系统的 RAM 内存中,在那里执行修改,然后依赖 Windows 系统进程将修改提交到磁盘。
对于行为监控产品,这将表现为操作系统本身执行的输入/输出 (I/O) 操作,而不是潜在可疑进程。它也会发生延迟,从几秒到几分钟不等,具体取决于磁盘的繁忙程度。
LockFile 并不是第一个使用内存映射 I/O 的勒索软件威胁。Sophos 下一代技术工程总监马克·洛曼 (Mark Loman) 在博客文章中表示,Maze 和 WastedLocker 也使用了这种技术,但这种技术并不常见。
间歇性加密
然而,间歇性加密的使用是 Sophos 研究人员在勒索软件中从未见过的新发展。LockBit 2.0、DarkSide 和 BlackMatter 等其他威胁使用了部分加密,仅加密文档的开头以加快进程,但 LockFile 的方法不同且意义重大。
从安全角度来看,不完整的加密很糟糕,因为它会使数据暴露在外,但勒索软件的目标不是数据隐私。它是可控且可逆的数据损坏,仅使用加密作为工具。因此,勒索软件不需要对文件的全部内容进行加密,只需加密足以使用户无法使用它们即可,这就是 LockBit 2.0、DarkSide 和 BlackMatter 通过加密文件的起始部分来实现的。
然而,LockFile 的方法是加密文件的每隔 16 个字节。因此,生成的文件将包含 16 字节的加扰数据,然后是 16 字节未触及的原始数据,然后是另外 16 字节的加扰数据,依此类推。这个过程不像只加密起始部分那么快,但还有另一个好处:它会扭曲统计分析。
一些勒索软件检测程序使用统计分析测试来检测文件修改是否是文件加密的结果。如果测试表明文件已被加密,程序将阻止该进程修改其他文件。
这是有效的,因为由随机数据组成的加密文件与未加密的文件在统计分析中看起来非常不同。通常用于检测数据中统计显着差异的一种检验称为卡方 (chi^2) 检验。
“一个 481KB 的未加密文本文件(比如一本书)的 chi^2 分数为 3850061。如果文档被 DarkSide 勒索软件加密,它的 chi^2 分数将为 334——这清楚地表明该文档已加密,”洛曼解释说。“如果同一个文档被 LockFile 勒索软件加密,它的 chi^2 分数仍然会很高,为 1789811。” 换句话说,如果一个检测程序被它的创建者校准为只检测和处理非常大的统计差异以避免误报,它可能会错过 LockFile 执行的加密。
LockFile 的剧本中的最后一个技巧是在完成加密过程后删除自身。这可能会阻碍事件响应,因为响应者将搜索勒索软件二进制文件来分析和清理系统。
锁文件分发
LockFile 勒索软件是通过利用 Microsoft Exchange 服务器中统称为ProxyShell的一系列漏洞(CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207)进行分发的。这些漏洞的补丁自 4 月和 5 月就已经可用,但尽管比用于在 Exchange 服务器上安装 web shell的ProxyLogon漏洞更严重、更容易被利用,但它们并没有受到同等程度的关注。因此,许多组织还没有修补他们的服务器。
勒索软件背后的组织还利用称为PetitPotam的 NTLM 中继攻击来访问公司网络内的域控制器。
