勒索軟件領(lǐng)域的演變已經(jīng)從涉及Windows有效載荷的傳統(tǒng)方法，轉(zhuǎn)變?yōu)獒槍ζ渌脚_（最明顯的是Linux）的方法。在這種轉(zhuǎn)變中，勒索軟件運營商正在縮短不同有效載荷發(fā)布之間的時間間隔，并在不同的平臺上實現(xiàn)功能均等。

通過有策略地利用Conti、Babuk或Lockbit等知名勒索軟件家族的代碼，勒索軟件運營商正在重用和修改代碼庫，以創(chuàng)建新的攻擊技術(shù)。隨著越來越多的此類事件曝光，安全團(tuán)隊在防御中保持警惕和適應(yīng)性變得至關(guān)重要。

本文將重點介紹最近發(fā)現(xiàn)的幾個勒索軟件家族，它們都在運行后不久就釋放了以Linux/ ESXi為重點的有效載荷。了解這些有效載荷的能力是衡量未來風(fēng)險的重要一步，也是幫助安全團(tuán)隊有效應(yīng)對的關(guān)鍵。

Linux勒索軟件威脅的興起

回顧四五年前，知名勒索軟件運營商重點關(guān)注的還是運行Windows的設(shè)備。非windows版本的有效負(fù)載需要額外的技能和時間來開發(fā)和發(fā)布。現(xiàn)在的情況卻并非如此，像Rust和Go這樣的語言允許惡意軟件開發(fā)人員快速進(jìn)行多平臺移植。

我們今天看到的威脅場景包括勒索軟件運營商同時向多個平臺釋放有效載荷。在這種方法中，通常針對windows的有效負(fù)載與針對linux和/或ESXi的有效負(fù)載之間不再存在明顯的時間間隔。此外，現(xiàn)在跨平臺的有效載荷顯示功能均等已成為標(biāo)準(zhǔn)。這些以Linux和ESXi為重點的locker包含了其Windows對應(yīng)版本的所有必要功能。

現(xiàn)代勒索軟件運營商也越來越多地重用構(gòu)建器和代碼，或者修改代碼庫以滿足其需求，同時將主要代碼作為模型進(jìn)行維護(hù)。安全研究人員指出，這些漏洞的主要來源是Conti、Babuk和LockBit。這些變體能夠針對Linux和VMWare ESXi環(huán)境，其目的是加密托管在ESXi服務(wù)器上的虛擬機(jī)（VM），這些虛擬機(jī)通常對業(yè)務(wù)操作和服務(wù)至關(guān)重要。

通常，攻擊者會利用ESXi中的漏洞、弱憑據(jù)或其他安全漏洞來訪問虛擬化環(huán)境。有效地瞄準(zhǔn)和加密虛擬機(jī)的能力對勒索軟件運營商非常有吸引力。通常在幾分鐘內(nèi)，完全虛擬化的基礎(chǔ)設(shè)施就會被正確且強(qiáng)大的有效負(fù)載加密和破壞。

MONTI Locker

MONTI Locker的歷史可以追溯到2022年中期，當(dāng)時，它曾針對VMware ESXi 服務(wù)器發(fā)起了多次攻擊。

最新版本的MONTI ESXI勒索軟件支持各種命令行參數(shù)，其中許多是從Conti繼承的，MONTI Locker借用了Conti的代碼。然而，最近有跡象表明，MONTI Locker背后的運營商正朝著更加定制化的方向發(fā)展。

研究人員最近記錄了一個樣本，該樣本似乎擺脫了舊時基于Conti的加密器以及一些命令行參數(shù)。這些較新的示例已刪除size、log和vmlist參數(shù)。

MONTI Locker可用的命令行參數(shù)包括：

【2023年8月MONTI Locker幫助屏幕】

同樣值得注意的是，MONTI Locker能夠在受影響的服務(wù)器上更新MOTD文件（每日消息）。例如，這個文件（/etc/motd）控制用戶登錄到vCenter時看到的內(nèi)容。感染后，使用MONTI Locker加密的服務(wù)器將顯示配置的贖金通知。

【MONTI Locker中的MOTD和Index.html引用】

MONTI Locker的總體攻擊量低于本文中的其他一些威脅，因為它們的目標(biāo)往往是有針對性的。而且，就其感染活動的整體生命周期而言，他們十分擅長玩長期游戲。

Akira勒索軟件

Akira勒索軟件家族的Linux變體自2023年6月以來就已被觀察到，但更廣泛的操作可追溯到4月份。Akira勒索軟件的初始傳播是通過利用易受攻擊的公開可用的服務(wù)和應(yīng)用程序來實現(xiàn)的。

傳統(tǒng)上，Akira勒索軟件的有效載荷也是從Conti繼承的。Linux版本的Akira勒索軟件使用crypto++庫來處理設(shè)備上的加密。Akira提供了一個簡短的命令集，其中不包括任何在加密之前關(guān)閉虛擬機(jī)的選項。但是，它們確實允許攻擊者通過-n參數(shù)對加密速度和受害者實際恢復(fù)的可能性進(jìn)行一些控制。該值越大，文件被加密的內(nèi)容就越多，這意味著速度越慢，受害者在沒有適當(dāng)解密工具的情況下恢復(fù)的可能性也越低。

Akira可用的命令行參數(shù)包括：

【Akira帶有加密和路徑參數(shù)的最小輸出】

【Akira命令行參數(shù)】

Trigona Linux Locker

Trigona是一個于2022年6月首次發(fā)現(xiàn)的勒索軟件家族。它是一個多重勒索組織，并且擁有一個公開的博客，上面有受害者信息及其被盜數(shù)據(jù)。他們的惡意軟件有效負(fù)載已在Windows和Linux上觀察到。

在本文討論的所有家族中，Trigona的原始Windows有效載荷和linux版本的勒索軟件之間的發(fā)布間隔最長。雖然Trigona的Windows和Linux版本之間的差距最大，但他們絲毫不落后于其他勒索軟件家族。

Trigona專注于linux的有效負(fù)載是精簡且高效的，它們擁有本榜單中最強(qiáng)大的日志記錄和測試輸出選項。

Trigona的/erase選項在Windows和Linux版本上都可用。這個選項經(jīng)常被忽視，但安全團(tuán)隊?wèi)?yīng)該意識到，這個選項允許勒索軟件作為各種類型的擦除器。使用Trigona有效載荷，/erase選項將完全刪除文件，使其基本上不可恢復(fù)。這種行為在一定程度上可以通過組合使用/full選項來調(diào)整。如果沒有后者，則只能用NULL字節(jié)覆蓋給定文件的前512KB。當(dāng)與/full參數(shù)結(jié)合使用時，將覆蓋文件的整個內(nèi)容。受此影響的文件將被賦予. _deleted擴(kuò)展名，而不是通常的. _locked擴(kuò)展名。

Trigona可用的命令行參數(shù)包括：

【Trigona以/path參數(shù)啟動】

【Trigona的final log】

【Trigona命令行參數(shù)】

Abyss Locker

Abyss Locker勒索軟件操作于2023年3月出現(xiàn)，并積極針對VMware ESXi環(huán)境。Abyss Locker有效負(fù)載的初始交付通過各種方式進(jìn)行，包括網(wǎng)絡(luò)釣魚電子郵件或利用易受攻擊的公開可用服務(wù)和應(yīng)用程序。

用于Linux的Abyss Locker有效負(fù)載源自Babuk代碼庫，并且以非常相似的方式運行。此外，Abyss中的加密功能是基于HelloKitty勒索軟件中的加密功能。目前還不清楚Abyss Locker、HelloKitty和Vice Society之間的正式合作是如何進(jìn)行的。Abyss Locker包含特定于esxcli命令行工具的調(diào)用，該工具用于管理虛擬設(shè)備。

【Abyss Locker中的VMware ESXi命令】

Abyss Locker使用esxcli命令行工具，允許多種模式的虛擬機(jī)和進(jìn)程終止。

esxcli vm process list
esxcli vm process kill -t=force -w=%d
esxcli vm process kill -t=hard -w=%d
esxcli vm process kill -t=soft -w=%d

這些命令影響目標(biāo)虛擬機(jī)關(guān)閉的“優(yōu)雅”程度。根據(jù)VMware的文檔，最省事的選項（soft option）通常是最受歡迎的。硬選項（hard option）執(zhí)行立即關(guān)閉（假設(shè)有特權(quán)），而強(qiáng)制選項（force option）只能作為最后的手段使用。但如果需要，Abyss將使用任何和所有這些選項。

Abyss Locker可用的命令行參數(shù)包括：

-v創(chuàng)建一個詳細(xì)的“work.log”文件，顯示所選擇的加密模式和圍繞所遇到的每個文件的加密時間的基準(zhǔn)。

【Abyss Locker的工作日志文件】

【Abyss Locker命令選項】

就設(shè)備加密的速度而言，Abyss Locker的有效載荷是快速且有效的。隨著這個群體繼續(xù)調(diào)整他們的有效載荷，我們預(yù)計會看到更多的此類威脅活動。

結(jié)語

本文研究了幾個突出的Linux和VMWare esxi勒索軟件家族，深入研究了特定有效負(fù)載的用法和命令行語法。通過在可能的情況下突出已理解的譜系，并關(guān)注可用的參數(shù)，安全團(tuán)隊可以對有效載荷進(jìn)行實際操作，增強(qiáng)對威脅的檢測能力。

使用Windows有效載荷的攻擊與針對其他平臺的攻擊之間的差異表明，勒索軟件的格局在不斷演變。隨著威脅行為者不斷重復(fù)他們的策略來逃避檢測，如何保持領(lǐng)先于這些趨勢的能力將變得至關(guān)重要。

原文鏈接：https://www.sentinelone.com/blog/from-conti-to-akira-decoding-the-latest-linux-esxi-ransomware-families/