[[436921]]

如今，當(dāng)談到網(wǎng)絡(luò)威脅時(shí)，大多數(shù)人都會(huì)想到勒索軟件，尤其是加密類型的惡意軟件。 隨著新冠疫情的爆發(fā)和幾個(gè)主要網(wǎng)絡(luò)犯罪集團(tuán)(Maze、REvil、Conti、DarkSide、Avaddon)的出現(xiàn)，一個(gè)完整的犯罪生態(tài)系統(tǒng)已經(jīng)形成，目前全球范圍內(nèi)對(duì)大型組織的攻擊浪潮越來越高。

今年，在發(fā)生了一系列備受矚目的勒索軟件事件后，例如對(duì) Colonial Pipeline(美國最大的燃料管道的運(yùn)營商)、JBS 和 Kaseya 的攻擊，以及隨后美國和其他當(dāng)局的嚴(yán)格審查，勒索軟件市場發(fā)生了一些重大變化：一些團(tuán)體被摧毀，另一些團(tuán)體更名。

目前的大多數(shù)攻擊團(tuán)體都傾向于在獨(dú)聯(lián)體之外活動(dòng)，盡管如此，該地區(qū)還是存在著大量伺機(jī)發(fā)動(dòng)攻擊的團(tuán)體。

本文重點(diǎn)介紹了 2021 年上半年在獨(dú)聯(lián)體區(qū)域內(nèi)最為活躍的勒索軟件木馬家族及其技術(shù)特征。

統(tǒng)計(jì)數(shù)據(jù)

2021年1月至7月，獨(dú)聯(lián)體區(qū)域內(nèi)遭遇勒索軟件攻擊的企業(yè)數(shù)量

2021 年 1 月至7月，裝有卡巴斯基用戶遭遇勒索軟件攻擊的占比

勒索軟件家族概況

BigBobRoss/TheDMR

該勒索軟件在2018年底開始活躍，目前仍在使用，它的主要傳播載體是破解RDP密碼。

當(dāng)啟動(dòng)BigBobRoss時(shí)，會(huì)顯示操作員的技術(shù)信息，包括用于后續(xù)文件解密的密鑰。惡意軟件還通過Telegram發(fā)送帶有此信息的消息。

BigBobRoss 創(chuàng)建的技術(shù)文件

加密后的文件夾內(nèi)容如下：在每個(gè)文件的開頭添加攻擊者的電子郵件地址和受害者ID，然后是原始名稱和擴(kuò)展名，最后是勒索軟件添加的擴(kuò)展名。

加密文件和攻擊者的記錄：

此外，每個(gè)文件夾中都會(huì)添加一個(gè)帶有攻擊者詳細(xì)信息的注釋。

勒索軟件留下的記錄

對(duì)于加密，該程序使用來自 CryptoPP 密碼庫的 ECB 模式(簡單替換模式)下的 128 位密鑰的 AES 對(duì)稱算法。

PDB 保留有關(guān)項(xiàng)目名稱的信息，幕后的開發(fā)者可能會(huì)說俄語，但這個(gè)只是猜測。

可執(zhí)行文件的PDB信息

Crysis/Dharma

Crysis 是自 2016 年以來已知的一種舊的加密惡意軟件。眾所周知，它會(huì)被停用然后又復(fù)活。目前，它仍然活躍。該木馬的代碼多年來一直保持不變，如今它通過勒索軟件即服務(wù) (RaaS) 附屬程序進(jìn)行傳播。

Crysis是用 C/C++ 編寫的，并在 MS Visual Studio 中編譯。該惡意軟件在 CBC 模式下使用 AES-256 算法加密文件。啟動(dòng)后，木馬會(huì)生成一個(gè) 256 位 AES 密鑰，該密鑰使用 RSA-1024 算法加密，攻擊者的公鑰包含在木馬之中。

每個(gè)文件都使用上述 AES 密鑰以及新生成的 128 位初始化向量 (IV) 進(jìn)行加密。除了加密內(nèi)容外，加密文件還存儲(chǔ)了IV、RSA加密的AES密鑰和輔助信息，包括攻擊者的標(biāo)簽(一個(gè)字符串值)、使用的RSA公鑰的SHA1哈希、原始文件名、加密類型(要加密的文件部分對(duì)于小文件和大文件的選擇不同)和校驗(yàn)和。

Crysis贖金記錄

典型的Crysis攻擊載體是未經(jīng)授權(quán)的 RDP 訪問。攻擊者破解憑據(jù)(通過字典/暴力攻擊或從其他攻擊者那里購買的現(xiàn)成列表)，遠(yuǎn)程連接到受害者的計(jì)算機(jī)，并手動(dòng)運(yùn)行木馬。

Phobos/Eking

該勒索軟件自 2017 年以來一直存在，在概念層面(代碼結(jié)構(gòu)、開發(fā)人員使用的方法)，Phobos 在許多方面與 Crysis 相似。這表明木馬程序的開發(fā)者是同一個(gè)，或者 Phobos 的開發(fā)者熟悉Crysis的工作原理。但是，我們發(fā)現(xiàn)沒有直接借用代碼;換句話說，這些是從不同來源組裝的不同木馬家族。

與大多數(shù)現(xiàn)代勒索軟件一樣，Phobos 是通過 RaaS 附屬程序傳播的。感染的主要載體是未經(jīng)授權(quán)的 RDP 訪問。

Phobos 是用 C/C++ 編寫的，并在 MS Visual Studio 中編譯。它使用 AES-256-CBC 算法加密受害者的文件，而 AES 密鑰使用惡意軟件對(duì)象中包含的 RSA-1024 公鑰加密。

Phobos 贖金記錄

Cryakl/CryLock

Cryakl 可能是本文介紹的最古老的勒索軟件。第一個(gè)版本是在 2014 年 4 月檢測到的。然而，在這個(gè)木馬的現(xiàn)代版本中，似乎沒有留下一行代碼。 Cryakl 已被多次重寫，并且每個(gè)新版本都會(huì)引入一些新功能。

它通過附屬計(jì)劃傳播。目前，其最常見的攻擊載體是通過 RDP。為方便攻擊者，木馬支持圖形界面。操作員在程序窗口中手動(dòng)配置必要的設(shè)置。

Cryakl 設(shè)置窗口

Cryakl 是用 Delphi 編寫的。 Cryakl 的現(xiàn)代版本使用自定義對(duì)稱密碼來加密受害者的文件，并使用 RSA 算法來加密密鑰。

當(dāng)前版本的 Cryakl 的一個(gè)有趣功能是對(duì)歸檔格式的高級(jí)處理，這在其他勒索軟件中是沒有的。

歸檔可能很大，對(duì)它們進(jìn)行完整的加密需要很長時(shí)間。如果只對(duì)文件的任意部分進(jìn)行加密，則可以在不解密的情況下恢復(fù)部分內(nèi)容。

Cryakl 具有處理 ZIP、7z、TAR、CAB 和 RAR(舊版本和 RAR5)格式的專門程序。它會(huì)解析每一種格式，只加密歸檔的關(guān)鍵部分，提供高性能并防止在不解密的情況下恢復(fù)數(shù)據(jù)。

分析 ZIP 格式的部分程序

Cryakl 贖金記錄

CryptConsole

CryptConsole 于 2017 年 1 月首次被發(fā)現(xiàn)，今天仍然運(yùn)行活躍。它是用 C# 編寫的，并使用 .NET 庫進(jìn)行加密，傳播的主要載體是破解 RDP 密碼。

CryptConsole記錄

對(duì)于加密，生成兩個(gè)密鑰和 IV 對(duì)，這些信息被寫入一個(gè)文本文件，以及一個(gè)大小參數(shù)(反映需要加密多少用戶文件)，并放置在桌面上。這個(gè)文本文件的名稱是一個(gè)40個(gè)字符的字符串，與用戶的唯一標(biāo)識(shí)符(注釋中的個(gè)人 ID)相匹配。假設(shè)惡意軟件操開發(fā)者通過 RDP 獲得訪問權(quán)限，運(yùn)行勒索軟件并為自己保存此文件，然后將其從受害者的設(shè)備中刪除。這可能證明可以恢復(fù)文件，有趣的是，文件加密部分的大小(size參數(shù))是 [5485760, 10485760] 范圍內(nèi)的一個(gè)隨機(jī)值。

包含勒索軟件留下的密鑰的文件

其加密方案也令人好奇。如上所述，勒索軟件會(huì)生成兩個(gè)隨機(jī)對(duì)：key+IV 和 key2+IV2。然后將文件大小與之前生成的隨機(jī)大小值進(jìn)行比較。如果文件大于size，則只對(duì)文件中小于或等于該值的部分進(jìn)行加密，在此之前將一個(gè)size字節(jié)的隨機(jī)數(shù)據(jù)緩沖區(qū)寫入文件。

生成key/IV 對(duì)、ID 和size

使用對(duì)稱 AES 算法執(zhí)行加密。首先，文件的 size 字節(jié)塊使用 key 和 IV 進(jìn)行加密，然后將加密的緩沖區(qū)反轉(zhuǎn)并再次加密，這次使用 key2 和 IV2，這就是雙重加密方案的工作原理。

小文件雙重加密方案

如上所述，大文件首先被任意大小字節(jié)的數(shù)據(jù)填充，這之后才能附加加密數(shù)據(jù)。

任意數(shù)據(jù)寫入的雙重加密方案

Fonix/XINOF

Fonix 勒索軟件于2020 年夏天首次被發(fā)現(xiàn)，2021 年 1 月，其創(chuàng)建者宣布關(guān)閉該項(xiàng)目，甚至發(fā)布了主密鑰，我們可以用它來為該木馬的受害者構(gòu)建解密器。

然而，F(xiàn)onix并沒因此消停，幾個(gè)月后(2021 年 6 月)，我們就檢測到新版本 Fonix 的攻擊，該版本就沒有使用舊的主密鑰。

此版本的 Fonix 模仿Crysis和 Phobos 木馬，對(duì)加密文件使用相同的擴(kuò)展名和命名方案。

如果受早期版本 Fonix 影響的文件的名稱類似于 picture.jpg.Email=[actor@mail.tld]ID=[B49D8EF5].XINOF，現(xiàn)在，它們與Crysis(picture.jpg.id-523E8573.[actor@mail.tld].harma)或Phobos(picture.jpg.ID-70AB2875.[actor@mail.tld].eking)加密的文件名稱沒有區(qū)別。

保存在木馬樣本中的項(xiàng)目 PDB 文件的路徑同樣涉及故意屏蔽：“DharmaVersion”行明確指向 Dharma 家族(Crysis勒索軟件的另一個(gè)名稱)。

PDB路徑

Fonix 使用 CryptoPP 庫以 C++ 編寫，并在 MS Visual Studio 中被編譯為一個(gè) 64 位可執(zhí)行文件。它使用 RaaS 方案進(jìn)行傳播，主要通過帶有惡意附件的垃圾郵件進(jìn)入受害者系統(tǒng)。

每次感染后，勒索軟件都會(huì)通過 Telegram 向其運(yùn)營商發(fā)送通知，順便說一句，這并不是什么新鮮事，幾年前就出現(xiàn)過。

用Telegram發(fā)送通知

在感染主機(jī)后，F(xiàn)onix 還會(huì)通過 IP 檢查受害者的地理位置，如果在伊朗啟動(dòng)，則會(huì)在不加密的情況下停止其活動(dòng)。

Fonix會(huì)檢查受害者的地理位置

為了加密用戶文件，它使用 ChaCha 或 Salsa 算法(取決于文件大小)。 ChaCha/Salsa 密鑰由 RSA 使用木馬啟動(dòng)時(shí)生成的會(huì)話公鑰進(jìn)行加密。會(huì)話私鑰由 RSA 使用惡意軟件對(duì)象中包含的公共主密鑰進(jìn)行加密。

Fonix 的早期版本有自己的勒索信。

Fonix 勒索信(早期版本)

與此同時(shí)，在最近的樣本中，我們看到某些版本的Crysis和Phobos的勒索信被復(fù)制。

Fonix 勒索信(現(xiàn)代版)

Limbozar/VoidCrypt

該勒索軟件出現(xiàn)在 2019 年年中，它的某些版本也被稱為 Limbo、Legion、Odveta 和 Ouroboros。 Limozar 通過附屬計(jì)劃 (RaaS) 傳播。目前，主要的傳播載體是未經(jīng)授權(quán)的 RDP 訪問。 Limozar 是用 C++ 編寫的，在 MS Visual Studio 中編譯，并使用 CryptoPP 庫來實(shí)現(xiàn)加密功能。

在整個(gè)家族的歷史中，其密碼方案已經(jīng)改變了幾次。當(dāng)Limbozar啟動(dòng)時(shí)，現(xiàn)代版本的Limbozar生成一個(gè)RSA-2048會(huì)話密鑰對(duì)，然后是一個(gè)256位密鑰和一個(gè)96位初始化向量，用于在GCM模式下的AES算法。RSA會(huì)話私鑰使用AES算法加密并保存在本地。接下來，AES的key+IV對(duì)使用木馬對(duì)象中包含的幾個(gè)公共RSA主密鑰之一進(jìn)行加密，并且也保存到本地驅(qū)動(dòng)器中。

在這個(gè)準(zhǔn)備階段之后，Limbozar 搜索受害者的文件并使用 AES-GCM 算法對(duì)其進(jìn)行加密，并為每個(gè)文件生成一個(gè)唯一的key+IV 對(duì)，然后使用 RSA 會(huì)話公鑰進(jìn)行加密。

加密后，惡意軟件將攻擊者的要求保存在 Decrypt-info.txt 文件中。

Limbozar 贖金記錄

完全加密后，Limbosar 還會(huì)使用 POST 請(qǐng)求向其 C&C 服務(wù)器發(fā)送有關(guān)新受害者的通知。為了實(shí)現(xiàn)網(wǎng)絡(luò)通信，使用了 SFML 庫(libsfml-network)。

關(guān)于新版Limbozar感染的通知

Thanos/Hakbit

Thanos 于 2020 年 4 月下旬開始活躍，盡管有關(guān)它的信息首次出現(xiàn)是在1月份當(dāng)時(shí)它以RaaS的形式出現(xiàn)在一個(gè)黑客論壇上。這個(gè)勒索軟件是用c#編寫的。根據(jù)我們掌握的信息，它的主要傳播載體是破解 RDP 密碼。

被感染電腦的桌面壁紙，顯示一張勒索信

由于傳播模型是 RaaS，勒索軟件是通過構(gòu)建器傳播的，從而可以自定義木馬本身及其解密器。

構(gòu)建器中有許多不同的設(shè)置：基本的(加密文件的擴(kuò)展名、勒索信的名稱和內(nèi)容、付款地址)和更高級(jí)的(代碼混淆、自我刪除、禁用 Windows Defender、繞過反惡意軟件掃描接口 (AMSI)) 、解鎖被其他進(jìn)程占用的文件、保護(hù)勒索軟件進(jìn)程、防止休眠、執(zhí)行延遲、大文件快速加密模式、設(shè)置要加密文件的擴(kuò)展名、選擇受害者通知方法)。泄露的構(gòu)造函數(shù)可以在網(wǎng)上找到。最有可能的是，它是由購買它的運(yùn)營商上傳的。為了保護(hù)，它具有內(nèi)置的 HWID 檢查，表明它是為操作員的特定設(shè)備組裝的。

解密器可以使用用戶 ID 解密文件，用戶 ID 是對(duì)稱加密算法的 RSA 加密密鑰(不同版本有不同的對(duì)稱算法)。

Thanos 的解密器

勒索軟件可以使用一系列加密方案。在勒索軟件的各種樣本中，我們遇到了以下情況：

• 適用于所有文件的密鑰：Salsa20 加密;
• 適用于所有文件的不同密鑰：Salsa20 加密;
• 通過PBKDF2函數(shù)適用于所有文件的密鑰：AES-256 CBC 加密;
• 通過 PBKDF2 函數(shù)適用于所有文件的密鑰(小文件 1000 次迭代，大于15 MB大文件50000 次迭代)，然后是 AES-256 CBC 加密。

下面給出了其中一種加密方案(靜態(tài)密鑰 + PBKDF2 + AES-256 CBC)和代碼混淆方法的說明。混淆相當(dāng)弱，這使得恢復(fù)原始代碼成為可能。

用于加密的代碼塊之一

勒索信沒有太大區(qū)別，像往常一樣，目的是留下聯(lián)系方式并恐嚇用戶。

Thanos贖金記錄

Thanos實(shí)施了一種相當(dāng)靈活的攻擊方案，允許操作員獨(dú)立選擇勒索軟件的功能并生成它以滿足他們的特定需求。

XMRLocker

XMRLocker 于 2020 年 8 月上旬首次被發(fā)現(xiàn)。它是用 C# 編寫的，并使用 .NET 庫進(jìn)行加密。

使用生成的隨機(jī)長度為65-101個(gè)字符的密碼執(zhí)行加密，一個(gè)固定的字母表，包括英文大小寫字母和一些特殊字符，用于生成密碼。

在XMRLocker中生成密碼

加密使用AES算法，密鑰長度為256位，在CFB模式下使用PKCS7填充。預(yù)生成的密碼通過PBKDF2函數(shù)傳遞，迭代次數(shù)為50000次，并將結(jié)果轉(zhuǎn)換為密鑰和IV進(jìn)行進(jìn)一步加密。PBKDF2使用一個(gè)32字節(jié)的隨機(jī)鹽值，它被寫入每個(gè)文件的開頭。為所有文件生成一個(gè)密鑰。它被保存在一個(gè)名為HWID的文本文件中，該文件被發(fā)送到托管在Tor網(wǎng)絡(luò)上的C&C服務(wù)器，然后刪除。

加密函數(shù)

加密后，設(shè)備關(guān)閉。下次啟動(dòng)時(shí)，用戶會(huì)看到對(duì)發(fā)生的事情和攻擊者詳細(xì)信息的介紹。

啟動(dòng)后的消息

像往常一樣，勒索軟件說明包含聯(lián)系方式和 ID。唯一令人驚訝的變化是“使用 Base-64 算法加密的文件”這個(gè)詞，因?yàn)檫@不是一種加密算法，并且該勒索軟件根本不使用它。

勒索信

總結(jié)

在獨(dú)聯(lián)體，既有知名的，也有相對(duì)較新的面向企業(yè)的勒索軟件。這些惡意軟件中有許多是新出現(xiàn)的，也有一些已經(jīng)退出了市場。勒索軟件的加密技術(shù)也越來越奇怪，比如CryptConsole中的雙重加密和Cryakl中的歸檔進(jìn)程(Archive Process) 處理。

雖然惡意軟件的傳播載體不同，但目前針對(duì)獨(dú)聯(lián)體企業(yè)的勒索軟件威脅大多通過RDP滲透受害者的網(wǎng)絡(luò)。因此，為域帳戶創(chuàng)建強(qiáng)大的密碼并定期更改它們是很重要的。另外，建議屏蔽互聯(lián)網(wǎng)上的RDP訪問，使用VPN連接企業(yè)網(wǎng)絡(luò)。

本文翻譯自：https://securelist.com/cis-ransomware/104452/如若轉(zhuǎn)載，請(qǐng)注明原文地址。