2022年7月17日，阿爾巴尼亞新聞媒體報(bào)道了一次大規(guī)模網(wǎng)絡(luò)攻擊，該攻擊影響了阿爾巴尼亞政府的電子政務(wù)系統(tǒng)。后來(lái)經(jīng)過調(diào)查，這些網(wǎng)絡(luò)攻擊是一個(gè)威脅活動(dòng)的一部分，其目的可能是癱瘓?jiān)搰?guó)的計(jì)算機(jī)系統(tǒng)。2022年9月10日，阿爾巴尼亞當(dāng)?shù)匦侣剤?bào)道了針對(duì)阿爾巴尼亞TIMS、ADAM和MEMEX系統(tǒng)的第二波網(wǎng)絡(luò)攻擊。

大約在同一時(shí)間，我們發(fā)現(xiàn)了勒索程序和擦除程序樣本與第一波中使用的類似，盡管有一些有趣的修改，可能允許規(guī)避安全控制和提高攻擊速度。在這些變化中，最主要的是嵌入一個(gè)原始磁盤驅(qū)動(dòng)程序，在惡意程序內(nèi)部提供了直接的硬盤訪問，修改了元數(shù)據(jù)，并使用Nvidia泄露的代碼簽名證書對(duì)惡意程序進(jìn)行簽名。

在這篇文章中，我們介紹了：

1.用于針對(duì)阿爾巴尼亞個(gè)機(jī)構(gòu)的第一波和第二波勒索程序和擦除式惡意程序，并詳細(xì)說明了與之前已知的ROADSWEEP勒索程序和ZEROCLEARE變體的聯(lián)系。

2.攻擊者使用英偉達(dá)(Nvidia)和科威特電信公司(Kuwait Telecommunications Company)的證書來(lái)簽署他們的惡意程序，前者已經(jīng)泄露，但我們不確定他們是如何得到后者的。

3.我們發(fā)現(xiàn)了使用不同語(yǔ)言的不同攻擊組織之間的潛在合作關(guān)系，以及可能使用AnyDesk作為啟動(dòng)勒索程序/擦除攻擊感染的初始入口點(diǎn)。

4.在第二波攻擊中實(shí)現(xiàn)自動(dòng)化和加速擦拭的變化讓人想起中東臭名昭著的Shamoon擦除攻擊攻擊。

下面，我們將比較和討論第一波和第二波勒索程序和擦除式惡意程序之間的區(qū)別。

初始感染——不同攻擊組織之間合作關(guān)系和使用AnyDesk實(shí)用程序的證據(jù)

雖然我們無(wú)法在分析的攻擊中確定攻擊者的初始入口點(diǎn)，但在第二波攻擊后的幾天，我們注意到有攻擊者可以訪問另一個(gè)非政府但重要的阿爾巴尼亞機(jī)構(gòu)的AnyDesk帳戶，并建議說波斯語(yǔ)的黑客使用它來(lái)部署勒索程序或清除惡意程序。由此我們推測(cè)，第二波攻擊的初始入口點(diǎn)是通過合法的遠(yuǎn)程訪問程序(如AnyDesk)，特別是使用的擦除攻擊修改僅限在驅(qū)動(dòng)程序安裝時(shí)自動(dòng)執(zhí)行，由于時(shí)間/訪問窗口有限，可能需要緊急執(zhí)行。攻擊者和訪問提供者似乎屬于不同的攻擊組織，使用不同的語(yǔ)言。

使用科威特電信公司簽名證書的勒索程序如下所示：

第二波樣本與第一波樣本具有相同的簽名證書參數(shù)，該樣本與科威特電信公司有關(guān)。目前尚不清楚攻擊者如何能夠使用科威特電信公司的證書簽署其惡意程序，但我們懷疑它是被盜的。在本文發(fā)布時(shí)，該證書已不再有效并已被撤銷。

在初始執(zhí)行后，第二波勒攻擊中使用的索程序檢查攻擊者提供的任意六個(gè)或更多參數(shù)，而第一波樣本則檢查五個(gè)參數(shù)或更多，這是一個(gè)有助于防御逃避檢測(cè)的小修改。然而，在一臺(tái)受影響的計(jì)算機(jī)上進(jìn)行的攻擊分析表明，在第二波攻擊中，攻擊者在提供類似于第一波攻擊的七位數(shù)時(shí)，沒有使用BAT文件調(diào)用勒索程序，而是使用六個(gè)零“000000”從命令行立即調(diào)用第二波攻擊中使用的勒索程序。如果由于沒有提供正確的參數(shù)而導(dǎo)致勒索程序執(zhí)行失敗，則第二波攻擊示例將顯示與第一波攻擊不同的消息，第二波攻擊消息類似于由PDF到DOC轉(zhuǎn)換器顯示的錯(cuò)誤消息。

第一波攻擊示例，執(zhí)行失敗后的消息

第二波攻擊示例，執(zhí)行失敗后的不同消息

第二波攻擊勒索程序樣本繼續(xù)執(zhí)行并檢查互斥鎖Screenlimitsdevices#77!;，這個(gè)值與第一波攻擊樣本的互斥鎖不同：

abcdefghijklmnoklmnopqrstuvwxyz01234567890abcdefghijklmnopqrstuvwxyz01234567890

盡管我們根據(jù)其行為將這種惡意程序稱為勒索程序，但加密文件實(shí)際上是無(wú)法恢復(fù)的。當(dāng)比較第二波勒索程序樣本和第一波勒索程序樣本時(shí)，我們注意到兩者都有相同的，并且都使用CreateFile和WriteFile api來(lái)覆蓋文件。在執(zhí)行過程中，第二波攻擊勒索程序試圖解密并執(zhí)行嵌入式腳本、惡意程序設(shè)置或API函數(shù)名。在第一波攻擊和第二波攻擊中使用的加密算法都是RC4。但是，在第二波中用于解密的RC4密鑰已被更改，這是另一種逃避檢測(cè)的嘗試。

第一波攻擊中的RC4密鑰：8C E4 B1 6B 22 B5 88 94 AA 86 C4 21 E8 75 9D F3

第二波攻擊中的RC4密鑰：F0 B4 ED D9 43 F5 C8 43 C9 D0 A2 4F 22 9B BC 3A

值得注意的是，在這兩波攻擊中，RC4解密方法都使用CryptoAPI (CryptDecrypt)而不是通常的S盒方法。在密碼學(xué)中，S盒(Substitution-box)是對(duì)稱密鑰算法執(zhí)行置換計(jì)算的基本結(jié)構(gòu)。S盒用在分組密碼算法中，是唯一的非線性結(jié)構(gòu)，其S盒的指標(biāo)的好壞直接決定了密碼算法的好壞。對(duì)第二波分析表明，勒索程序可能是通過內(nèi)部網(wǎng)絡(luò)部署的，可能來(lái)自另一臺(tái)受感染的設(shè)備。在勒索程序執(zhí)行之前，我們沒有看到任何其他東西被刪除或執(zhí)行，并且勒索程序可執(zhí)行文件名稱是隨機(jī)生成的，這可能是由攻擊者用來(lái)通過網(wǎng)絡(luò)部署它的工具(例如Mellona.exe)生成的。

盡管在第二波勒索程序與第一波攻擊中的完全不同，但勒索信的功能仍然保持了下來(lái)，包括反映阿爾巴尼亞和伊朗之間地緣政治緊張局勢(shì)的政治信息。

第一波和第二波勒索程序中的勒索信

使用Nvidia簽名證書的擦除攻擊

與第二波攻擊勒索程序樣本類似，攻擊者對(duì)第二波攻擊擦除程序進(jìn)行了幾次修改，可能是為了逃避檢測(cè)。變化主要有三個(gè)：

修改的惡意程序簽名；

在擦除程序中嵌入EldoS RawDisk驅(qū)動(dòng)程序；

驅(qū)動(dòng)安裝后自動(dòng)擦除命令；

在2019年的ZEROCLEARE（ZeroCleare和惡意程序Shamoon同宗，都是出自伊朗資助的頂級(jí)黑客組織之手）和DUSTMAN（該程序以刪除設(shè)備的數(shù)據(jù)為目的，瞄準(zhǔn)的是中東的能源和工業(yè)部門）事件中，擦除程序和原始磁盤驅(qū)動(dòng)程序均沒有簽名，因此無(wú)法直接訪問原始磁盤進(jìn)行快速數(shù)據(jù)擦除。因此，擦除攻擊器必須使用第三方加載器，如TDL(用于無(wú)簽名驅(qū)動(dòng)程序的簽名加載器)來(lái)安裝無(wú)簽名原始磁盤驅(qū)動(dòng)程序，允許擦除程序直接訪問原始磁盤，使用DeviceControl API方法擦除數(shù)據(jù)。然而，在針對(duì)阿爾巴尼亞的第一波攻擊中，攻擊者使用科威特電信公司的證書對(duì)第一波攻擊擦除攻擊進(jìn)行了簽名，從而消除了對(duì)第三方加載器的需求。速度和自動(dòng)化的改進(jìn)讓我們想起了之前在中東的Shamoon攻擊。

由于第一波攻擊使用的擦除程序是在2022年7月被曝光的，而且可能會(huì)避免靜態(tài)檢測(cè)，攻擊者在2022年9月使用英偉達(dá)泄露的簽名證書對(duì)第二波攻擊使用的擦除程序進(jìn)行了簽名，再次取消了對(duì)原始磁盤驅(qū)動(dòng)程序的第三方加載器的需求。

在第一波攻擊中，擦除程序希望在執(zhí)行目錄或系統(tǒng)目錄中找到原始磁盤驅(qū)動(dòng)程序。但驅(qū)動(dòng)程序并沒有被擦除，攻擊者可能用了其他方法。相反，在第二波攻擊中，攻擊者將簽名的原始磁盤驅(qū)動(dòng)程序嵌入到擦除攻擊可執(zhí)行文件中，先刪除它，然后安裝。此外，第二波中攻擊者使用的驅(qū)動(dòng)程序似乎復(fù)制了微軟的diskdump.sys崩潰轉(zhuǎn)儲(chǔ)驅(qū)動(dòng)程序（版本10.0.19041.682）中的元數(shù)據(jù)和一些函數(shù)，作為避免檢測(cè)的另一種方法。驅(qū)動(dòng)程序安裝命令后擦除活動(dòng)自動(dòng)啟動(dòng)，與第一波攻擊擦除攻擊不同，安裝是第一步，執(zhí)行擦拭是第二步。

不過在大多數(shù)情況下，第一波攻擊和第二波攻擊的擦除程序是一樣的，包括依賴相同的身份驗(yàn)證密鑰來(lái)訪問原始磁盤驅(qū)動(dòng)程序，以及使用相同的DeviceControl API方法，但有一個(gè)例外，如下所示。值得注意的是，IOCTL_DISK_GET_LENGTH_INFO方法僅適用于講波斯語(yǔ)的APT攻擊。

我們懷疑攻擊第二波攻擊目標(biāo)是阿爾巴尼亞的執(zhí)法機(jī)構(gòu)，因?yàn)樗c2022年7月網(wǎng)絡(luò)攻擊浪潮中針對(duì)阿爾巴尼亞政府的網(wǎng)絡(luò)攻擊一致。

總結(jié)

我們?cè)诒疚挠懻摿酸槍?duì)阿爾巴尼亞各機(jī)構(gòu)的第二波勒索和擦除攻擊樣本的變化，其最終目的都是逃避檢測(cè)并造成最大損失。

除了在第二波中為逃避檢測(cè)所做的更改外，我們懷疑攻擊者需要一個(gè)自動(dòng)和快速的擦除攻擊執(zhí)行。在第二波攻擊中，原始磁盤驅(qū)動(dòng)程序被嵌入到惡意程序中，并且在驅(qū)動(dòng)程序安裝后立即啟動(dòng)擦除程序，這與第一波攻擊的過程相反。

最后，對(duì)于防御者來(lái)說應(yīng)從以下兩方面入手進(jìn)行防御：

監(jiān)控遠(yuǎn)程程序活動(dòng)(如AnyDesk)情況，以防未經(jīng)授權(quán)使用；

始終尋找和監(jiān)控過期或泄露的簽名證書，因?yàn)楣粽呖梢允褂盟鼈儊?lái)加載和執(zhí)行惡意程序。

本文翻譯自：https://securelist.com/ransomware-and-wiper-signed-with-stolen-certificates/108350/如若轉(zhuǎn)載，請(qǐng)注明原文地址