近期勒索软件分析研究

安全
勒索软件在不断地变化发展,攻击者会使用各种方式敲诈目标支付赎金,如今它不仅仅是加密数据,同时也会造成数据泄露。

勒索软件在不断地变化发展,攻击者会使用各种方式敲诈目标支付赎金,如今它不仅仅是加密数据,同时也会造成数据泄露。

许多公司组织坚信完善的反病毒保护方案可以防止被勒索软件攻击,但是勒索攻击仍然一次又一次成功。大多是情况下,攻击者会利用虚拟专用网中的一些已知漏洞,或者对暴露在互联网中的主机进行攻击,并不完全是利用恶意软件直接进行攻击。

[[355304]]

Ragnar Locker

Ragnar Locker在2020年上半年开始攻击大型组织,它具有很强的针对性,每一个样本都是为目标组织量身定做的。如果受害者拒绝付款,他们的数据将被公布在网上。攻击者声称,这笔钱是他们发现漏洞、为文件提供解密和为受害者提供OpSec培训的奖励。

 

1605577522_5fb32b3283e6e4b5d40d4.png!small?1605577522759

 

 

1605577610_5fb32b8a532aa1ae77f8e.png!small?1605577610532

 

 

根据拒绝付款的受害者名单,Ragnar Locker的主要目标是美国公司,行业类型各不相同。

 

 

 

1605577661_5fb32bbd26f07d78981f3.png!small?1605577661349

 

Ragnar Locker 技术分析

研究人员选择最近发现的恶意软件样本进行分析:1195d0d18be9362fb8dd9e1738404c9d

启动时,Ragnar Locker会检查计算机区域设置。如果是列出的某个国家区,它将停止操作并退出。

1605577764_5fb32c249f5358b78fd73.png!small?1605577764884

不在上述列表中的国家,它将继续检查一下字符串:

 

1605578488_5fb32ef8abd7bf664062d.png!small?1605578488974

 

 

1605578509_5fb32f0d712703a7f4edb.png!small?1605578509715

 

所有准备工作完成后,木马程序将搜索本地磁盘并加密受害者的文件。

RagnarLocker使用基于Salsa20进行加密。 每个文件的密钥和随机数值也是唯一生成的,并通过木马中硬编码的2048位公共密钥一起加密。

1605578656_5fb32fa0578c3ed23f168.png!small?1605578656702

在加密文件后,Ragnar Locker会将加密的密钥,随机数和初始化常量添加到加密的文件中,并添加标记“!@#_®agna®_#@!”。

 

1605578705_5fb32fd1e3df4b9f1ece1.png!small?1605578706205

 

 

1605578716_5fb32fdc09c7053a2a73c.png!small?1605578717502

 

Egregor

Egregor勒索软件于2020年9月被发现,经过初步分析,其与Sekhmet勒索软件和Maze勒索软件存在关联。

Egregor勒索软件通常会出现断网的情况,恶意软件样本是一个DLL文件,需要使用命令行参数并给出的正确密码来启动。 Egregor是最激进的勒索软件家族,如果72小时内不支付赎金,受害者的数据将会被公布。

1605578999_5fb330f7aff7f9e4e2f56.png!small?1605578999942

Egregor技术分析

研究人员选择最近发现的样本进行分析:b21930306869a3cdb85ca0d073a738c5

恶意软件只有在启动过程中提供正确密码才会生效。 此技术旨在阻碍沙盒自动分析以及研究人员的手动分析,没有正确的密码,就不可能解压缩和分析有效载荷。

解压运行恶意程序后,最终得到了一个混淆的二进制文件,该二进制文件仍然不适合静态分析。 Egregor中使用的混淆技术与Maze、Sekhmet中的混淆技术非常相似。

 

1605579199_5fb331bfb8d417a546202.png!small?1605579199975

 

 

控制流混淆示例

 

有效负载开始执行时,它将检查操作系统用户语言,避免对安装了以下语言的计算机进行加密:

1605579273_5fb33209bc249d8ae1da2.png!small?1605579273911

终止以下进程:

1605579306_5fb3322aa54691c0ddd29.png!small?1605579306955

Egregor使用基于流密码ChaCha和非对称密码RSA的混合加密方案。

Egregor会生成一对唯一的会话密钥对。 会话专用RSA密钥由ChaCha导出并使用唯一生成的密钥+随机数加密,然后用主公共RSA密钥加密该密钥和随机数。 结果保存在二进制文件中(在本例中为C:\ProgramData\dtb.dat),并在赎金记录中保存为base64编码的字符串。

1605579465_5fb332c9f22a6c8a12b3a.png!small?1605579467257

Egregor处理的文件会生成一个新的256位ChaCha密钥和64位随机数,通过ChaCha加密文件内容,然后使用会话公共RSA密钥加密秘钥和随机数,最后将它们与一些辅助信息一起保存。每个加密文件的最后16个字节由动态标记组成。

1605579565_5fb3332d12e6105d2b2d6.png!small?1605579566212

Egregor的地理覆盖范围比Ragnar Locker的更广

涉及诸多行业:

1605579653_5fb33385978d9c6d0dde4.png!small?1605579653851

保护措施

  • 勿将远程桌面服务(例如RDP)开放到互联网中,开放服务需要使用强密码;
  • 及时安装商业虚拟专用网可用补丁;
  • 及时更新所有设备上的软件,防止被勒索软件攻击;
  • 将防御策略重点放在检测横向移动和向Internet的数据泄漏方面;
  • 定期备份数据;
  • 培训员工提高安全意识,如何防范勒索软件攻击。

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-09-15 10:04:06

勒索软件攻击数据泄露

2009-12-24 15:51:34

ADO属性

2010-03-03 16:51:13

Android版本

2009-12-31 11:02:48

ADO类

2020-09-25 10:14:54

漏洞

2009-12-30 16:58:43

ADO.NET

2011-07-06 15:56:57

BI

2015-07-08 10:37:12

MySQL高可用架构业务架构

2021-03-02 10:17:09

勒索软件Nefilimr网络安全

2010-01-28 15:09:36

C++资源管理

2010-03-16 14:35:53

思科交换机模块

2023-09-01 07:15:47

2018-03-21 15:21:52

互联网研究平台

2021-06-01 11:01:08

勒索软件发展分析反勒索软件日

2018-01-04 01:17:30

2017-02-27 16:57:58

2020-04-15 15:28:24

Fireeye勒索软件恶意软件

2022-01-20 15:01:16

网络安全勒索软件技术

2021-05-21 10:10:26

勒索软件勒索赎金网络攻击

2022-04-02 06:10:02

勒索软件PSRansom安全工具
点赞
收藏

51CTO技术栈公众号