Maze 勒索軟件以前也被稱為 "ChaCha 勒索軟件 "，于 2019 年 5 月 29 日被Jerome Segura發(fā)現(xiàn)。從歷史上看，該惡意軟件使用不同的技術(shù)來獲取進(jìn)入權(quán)限，主要是利用漏洞利用工具包，具有弱密碼的遠(yuǎn)程桌面連接或通過電子郵件模擬，或通過不同的代理機(jī)構(gòu)或公司。

在過去的一年中，Maze已成為威脅企業(yè)和大型組織的最臭名昭著的惡意軟件家族之一。去年底以來，已有佛州彭薩科拉市政府、IT服務(wù)業(yè)者Cognizant、全錄、航天服務(wù)供應(yīng)商VT San Antonio Aerospace、資安保險(xiǎn)業(yè)者Chubb，以及韓國(guó)電子大廠LG、芯片業(yè)者M(jìn)axLinear遭到Maze肆虐，今年美國(guó)纜線制造公司Southwire在遭到Maze攻擊后，還將該黑客集團(tuán)告上法院。今年3月，ST Engineering Aerospace美國(guó)子公司遭遇Maze勒索軟件攻擊，該公司及其合作伙伴被盜1.5TB的敏感數(shù)據(jù)。2月，Maze入侵五家美國(guó)律師事務(wù)所，要求支付超過93.3萬美元BTC贖金。7月30日，跨國(guó)公司佳能(Canon)的電子郵件、存儲(chǔ)服務(wù)和其美國(guó)網(wǎng)站遭到了Maze團(tuán)伙的勒索軟件攻擊。Maze要求佳能支付加密貨幣贖金，否則就將泄漏照片和數(shù)據(jù)。在未能勒索到贖金之后，勒索軟件 Maze 背后的犯罪組織公開了 50.2 GB 的 LG 內(nèi)部數(shù)據(jù)和 25.8 GB 的施樂內(nèi)部數(shù)據(jù)。Maze 犯罪組織入侵企業(yè)網(wǎng)絡(luò)后，首先竊取數(shù)據(jù)然后加密數(shù)據(jù)，最后索要贖金解密文件。LG 和施樂顯然拒絕了兩次勒索企圖。犯罪組織公布的文件包含了 LG 多款產(chǎn)品固件的源代碼，公開的施樂數(shù)據(jù)看起來與其客戶服務(wù)業(yè)務(wù)相關(guān)。

根據(jù)Sophos的最新研究顯示，Maze勒索軟件背后的攻擊者采用Ragnar Locker勒索軟件團(tuán)伙的做法，利用虛擬機(jī)來逃避檢測(cè)。

該安全供應(yīng)商最先觀察到這種攻擊手段，攻擊者早在5月就開始將勒索軟件有效負(fù)載分布在虛擬機(jī)內(nèi)。與Ragnar Locker勒索軟件團(tuán)伙相關(guān)的攻擊者將惡意代碼隱藏在Windows XP VM中，這使勒索軟件可以肆意運(yùn)行，而不會(huì)被終端的安全軟件檢測(cè)到或阻止。在今年7月，Sophos發(fā)現(xiàn)，Maze勒索軟件使用類似方法對(duì)一家未具名組織進(jìn)行攻擊。調(diào)查顯示，攻擊者不斷試圖用勒索軟件感染計(jì)算機(jī)，同時(shí)索要1500萬美元的贖金，但該組織最終沒有支付。他們最開始使用勒索軟件感染系統(tǒng)沒有成功，直到第三次嘗試才成功，攻擊者使用Ragnar Locker的VM技術(shù)的增強(qiáng)版本。該方法可幫助攻擊者進(jìn)一步逃避安全產(chǎn)品的檢測(cè)。

Maze的演變史

該勒索軟件的歷史始于2019年上半年，當(dāng)時(shí)沒有任何明顯的攻擊烙印，勒索字樣中包含標(biāo)題``0010 System Failure 0010''，被研究人員簡(jiǎn)稱為``ChaCha勒索軟件''。

此后不久，該木馬的新版本開始被標(biāo)記為Maze，并使用一個(gè)與受害者相關(guān)的網(wǎng)站，而不是截圖中顯示的通用電子郵件地址。

最新版本的Maze勒索軟件使用的網(wǎng)站

Maze勒索軟件的傳播策略最初包括通過漏洞利用工具包(即Fallout EK和Spelevo EK)以及帶有惡意附件的垃圾郵件進(jìn)行感染。下面是一個(gè)惡意垃圾郵件的例子，其中包含一個(gè)MS Word文檔和一個(gè)宏，目的是下載Maze勒索軟件有效載荷。

如果收件人打開附加的文檔，將提示他們啟用編輯模式，然后啟用內(nèi)容。如果他們上當(dāng)了，包含在文檔中的惡意宏就會(huì)執(zhí)行，這將導(dǎo)致受害者的PC被Maze勒索軟件感染。

除了這些典型的感染方法之外，Maze背后的開發(fā)者也開始以公司和市政組織為目標(biāo)，以最大程度地勒索勒索金錢。

Maze最初的攻擊機(jī)制和現(xiàn)在的攻擊機(jī)制已經(jīng)有很大相同，一些事件涉及安裝Cobalt Strike RAT的魚叉式網(wǎng)絡(luò)釣魚活動(dòng)，而在其他情況下，網(wǎng)絡(luò)漏洞是由于利用了脆弱的面向Internet的服務(wù)造成的?？蓮幕ヂ?lián)網(wǎng)訪問的計(jì)算機(jī)上的弱RDP憑據(jù)也構(gòu)成了威脅，因?yàn)镸aze的運(yùn)營(yíng)商也可能會(huì)使用此漏洞。

特權(quán)升級(jí)、偵察和橫向移動(dòng)策略也因情況而異。在這些階段中，已觀察到使用了以下工具：mimikatz，procdump，Cobalt Strike，Advanced IP Scanner，Bloodhound，PowerSploit等。

在這些中間階段，攻擊者會(huì)試圖識(shí)別出受感染網(wǎng)絡(luò)中服務(wù)器和工作站上存儲(chǔ)的有價(jià)值的數(shù)據(jù)。然后，他們將泄漏受害者的機(jī)密文件，以便在商討贖金的大小時(shí)加以利用。

在入侵的最后階段，惡意操作員會(huì)將Maze勒索軟件可執(zhí)行文件安裝到他們可以訪問的所有計(jì)算機(jī)上。這樣可以對(duì)受害者的寶貴數(shù)據(jù)進(jìn)行加密，并最終完成攻擊。

數(shù)據(jù)泄漏/混淆

Maze勒索軟件是第一批威脅如果受害者拒絕合作就泄露其機(jī)密數(shù)據(jù)的勒索軟件家族之一，實(shí)際上，這使Maze成為一種攻擊趨勢(shì)引領(lǐng)者，因?yàn)檫@種方法對(duì)罪犯來說是如此有利可圖，以至于現(xiàn)在它已成為包括REvil / Sodinokibi，DoppelPaymer，JSWorm / Nemty / Nefilim，RagnarLocker和Snatch在內(nèi)的幾個(gè)臭名昭著的勒索軟件的榜樣。

Maze勒索軟件的開發(fā)者們開發(fā)了一個(gè)網(wǎng)站，在那里他們列出了最近的受害者，并公布了部分或全部文件，這些文件是他們?cè)谝淮尉W(wǎng)絡(luò)入侵后竊取的。

2020年6月，Maze背后的攻擊者與另外兩個(gè)攻擊組織LockBit和RagnarLocker合作，組成了一個(gè)所謂的“cartel組織”，這個(gè)小組竊取的數(shù)據(jù)現(xiàn)在將發(fā)布在由Maze運(yùn)營(yíng)商維護(hù)的博客上。

攻擊者不僅僅是通過儲(chǔ)存泄露的文件來吸引行業(yè)的注意力，顯然他們還分享了他們的專業(yè)知識(shí)，Maze現(xiàn)在使用的執(zhí)行技術(shù)以前只有RagnarLocker使用過。

簡(jiǎn)要技術(shù)介紹

Maze勒索軟件通常是作為一個(gè)PE二進(jìn)制(EXE或DLL，這取決于具體的場(chǎng)景)，該二進(jìn)制文件以C / C ++開發(fā)并由自定義保護(hù)程序進(jìn)行混淆處理。它采用各種技巧來阻止靜態(tài)分析，包括動(dòng)態(tài)API函數(shù)導(dǎo)入、使用條件跳轉(zhuǎn)的控制流混淆、用JMP dword ptr [esp-4]代替RET，用PUSH + JMP代替CALL，以及其他一些技術(shù)。

為了不被動(dòng)態(tài)分析檢測(cè)到，Maze木馬程序還將終止研究人員通常使用的流程，例如procmon，procexp，ida，x32dbg等。

Maze使用的加密方案包括幾個(gè)層次：

• 為了加密受害者文件的內(nèi)容，Maze會(huì)安全地生成唯一的密鑰和隨機(jī)數(shù)值，以與ChaCha流密碼一起使用;
• ChaCha密鑰和隨機(jī)數(shù)值由啟動(dòng)惡意軟件時(shí)生成的會(huì)話公共RSA-2048密鑰加密;
• 會(huì)話專用RSA-2048密鑰由木馬主體中硬編碼的主公用RSA-2048密鑰加密。

該方法允許攻擊者在為每個(gè)受害者出售解密工具時(shí)保持他們的主私有RSA密鑰的秘密，也確保了一個(gè)受害者購(gòu)買的解密工具不會(huì)被其他人使用。

當(dāng)在一臺(tái)計(jì)算機(jī)上執(zhí)行時(shí)，Maze勒索軟件還會(huì)嘗試確定它感染了哪種類型的電腦。它嘗試區(qū)分不同類型的系統(tǒng)(“備份服務(wù)器”、“域控制器”、“獨(dú)立服務(wù)器”等)。Maze進(jìn)而利用勒索信中的這些信息，進(jìn)一步恐嚇受害者，使他們認(rèn)為攻擊者了解有關(guān)受影響網(wǎng)絡(luò)的一切。

Maze用來生成贖金票據(jù)的字符串

生成贖金票據(jù)的程序片段

緩解措施

勒索軟件技術(shù)每天都在發(fā)展，這意味著避免和預(yù)防感染的應(yīng)激性方法無濟(jì)于事。勒索軟件的最佳防御方法是主動(dòng)預(yù)防，因?yàn)橐坏┘用軘?shù)據(jù)，恢復(fù)數(shù)據(jù)通常為時(shí)已晚。

有許多建議可以幫助防止此類攻擊：

• 保持操作系統(tǒng)和應(yīng)用程序已更新并保持最新狀態(tài)。
• 對(duì)所有員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)。
• 僅將安全技術(shù)用于公司局域網(wǎng)中的遠(yuǎn)程連接。
• 將終端安全與行為檢測(cè)和自動(dòng)文件回滾一起使用，例如Kaspersky Endpoint Security for Business 。
• 使用最新的威脅情報(bào)信息可以快速檢測(cè)到攻擊，并了解有用的對(duì)策并防止其擴(kuò)散。

本文翻譯自：https://securelist.com/maze-ransomware/99137/