立即注冊 找回密碼

QQ登錄

只需一步,快速開始

第一站長論壇

搜索
第一站長論壇 首頁 資訊 查看內容

勒索軟件Snatch利用安全模式繞過殺毒軟件

2019-12-13 00:16| 發布者: admin| 查看: 18| 評論: 0

摘要: 研究人員發現勒索軟件Snatch可使Windows重新啟動到安全模式來繞過安全保護。10月中旬,研究人員發現名為Snatch的勒索軟件將自身設置為一個服務,并在安全模式引導期間運行。它可以快速地將盤算機重新啟動到安全模式,并在大多數軟件(包羅安全軟件)不運行的安全模式情況中加密受害者的硬盤驅動器。點擊圖片查看原圖Snatch勒索軟件自2018年夏天以來一直很活潑,該惡意軟件的安全模式啟動是一個新增

研究人員發現勒索軟件Snatch可使Windows重新啟動到安全模式來繞過安全保護。

10月中旬,研究人員發現名為Snatch的勒索軟件將自身設置為一個服務,并在安全模式引導期間運行。它可以快速地將盤算機重新啟動到安全模式,并在大多數軟件(包羅安全軟件)不運行的安全模式情況中加密受害者的硬盤驅動器。

點擊圖片查看原圖

Snatch勒索軟件自2018年夏天以來一直很活潑,該惡意軟件的安全模式啟動是一個新增加的功能。惡意軟件包羅一個勒索軟件組件和一個單獨的數據竊取器,這兩個工具顯然都是由網絡罪犯開發的,此外還有幾個公開的工具,這些工具自己并不是惡意的,通常被滲透測試人員、系統管理員或技術人員使用。Snatch勒索軟件不支持多平臺,該軟件可以運行在最常見的Windows版本上,從7到10,32位和64位版本。發現的樣本是使用開源打包步伐UPX打包,進行了內容混淆。

Snatch工作方式

惡意軟件采用主動自動攻擊模式,他們通過對易存在漏洞的服務進行自動暴力攻擊來滲透企業網絡,并在目標組織的網絡內部進行傳播。惡意軟件在勒索的同時能夠一直從目標組織竊取大量信息。

Snatch小組成員曾經在線進行技術討論與尋找合作伙伴,并免費培訓其他人使用惡意軟件,允許潛在伙伴使用其基礎辦法,提供運行Metasploit的服務器

Snatch行為分析

在其中一起針對一家大型國際公司的攻擊事件中,MTR設法從目標公司獲得勒索軟件無法加密的詳細日志。攻擊者最初通過強行將密碼強制輸入到Microsoft Azure服務器上的管理員帳戶來訪問公司的內部網絡,并能夠使用遠程桌面(RDP)登錄到服務器。

攻擊者使用Azure服務器作為滲透立足點,利用該管理員帳戶登錄到同一網絡上的域控DC,然后在數周內對目標網絡執行監視任務。查詢有權登錄的用戶列表,并將結果寫入文件。此外還將WMIC系統用戶數據、進程列表,Windows LSASS服務的內存內容存儲到文件中,然后上傳到c2服務器。

User information stolen by Snatch

Snatch dumps lsass from memory then uploads the dump

攻擊者設置了一次性Windows服務來部署特定任務。這些服務有很長的隨機文件名,可從tasklist步伐查詢正在運行的進程的列表,將其輸出到temp目錄中的一個文件,然后運行一個批處理文件(也位于temp目錄中),將tasklist文件上傳到C2服務器。

它使用同樣的方法將大量信息上傳到C2服務器。例如,它使用此命令把提取的用戶帳戶和其他配置文件信息(.txt文件)發送回C2,然后執行它在Windows臨時目錄中創建的批處理。

攻擊者在大約200臺盤算機上安裝了監視軟件,占組織內部盤算機數量的5%。攻擊者安裝了幾個惡意文件;其中一組文件是為了讓攻擊者能夠遠程訪問這些盤算機,而不必依賴Azure服務器。攻擊者還安裝了一個名為“高級端口掃描步伐”的Windows步伐,使用該工具在網絡上發現他們其他潛在目標盤算機。

研究人員還發現一個名為Update_Collector.exe的惡意軟件,該工具利用WMI收集的數據尋找網絡上其他盤算機和用戶帳戶的更多信息,隨后將該信息轉儲到文件中,上傳到攻擊者的服務器。還發現了一系列其他合法的工具,包羅 Process Hacker,?IObit Uninstaller,?PowerTool, 和?PsExec。在其他幾起攻擊中使用了完全相同的工具集,攻擊者針對世界各地組織的進行攻擊,包羅美國、加拿大和幾個歐洲國家。受害組織至少有一臺或多臺帶有RDP的盤算機袒露在internet上。

在攻擊過程中的某個時間點(可能是在初始網絡攻擊后幾天到幾周),攻擊者將勒索軟件組件下載到目標盤算機。此組件名稱包羅每個受害者唯一五個字符代碼和“_pack.exe”。

下載勒索軟件并通過PSEXEC啟動

當惡意軟件調用PSEXEC服務來執行勒索軟件時,它已將自己解壓縮到Windows文件夾中,并使用相同的五個字符和“unpack.exe”。

The “unpack” version ends up in the Windows directory

勒索軟件將自己安裝為一個名為SuperBackupMan的Windows服務。服務描述文本“This service make backup copy every day,”有助于其在服務列表中隱藏。此注冊表項在盤算機開始重新啟動之前立刻設置。

SuperBackupMan服務可組織用戶停止或暫停。

惡意軟件將此key添加到Windows注冊表中,以便在安全模式引導期間啟動。

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SuperBackupMan:Default:Service

使用Windows上的BCDEDIT工具發出命令,將Windows操作系統設置為以安全模式啟動,然后立刻強制重新啟動受感染的盤算機。

bcdedit.exe /set {current} safeboot minimal

shutdown /r /f /t 00

當盤算機在重新啟動后進入安全模式,惡意軟件使用Windows組件net.exe停止SuperBackupMan服務,然后使用Windows組件vssadmin.exe刪除系統上的所有Volume Shadow副本,可阻止技術人員對勒索軟件加密的文件進行取證恢復。

net stop SuperBackupMan

vssadmin delete shadows /all /quiet

勒索軟件然后開始加密受感染機器的當地硬盤上的文件。

Snatch影響分析

勒索軟件在加密文件中會附加一個由五個字母數字字符組成的偽隨機字符串。此字符串出現在勒索軟件可執行文件名和勒索通知中,并且對于每個目標組織都是唯一的。例如,如果勒索軟件名為abcdex64.exe,則加密的文件將文件擴展名.abcde附加到原始文件名后,勒索信息使用諸如README_abcde_files.txt或DECRYPT_abcde_DATA.txt之類的命名規范。

一家專門從事勒索受害者和攻擊者之間的談判的公司稱,從7月到10月,他們已經代表客戶12次與罪犯談判。贖金從2000美元到35000美元不等,四個月內呈上升趨勢。

與許多其他勒索軟件一樣,?Snatch對于某些文件和文件夾位置列表不會加密。通常勒索軟件這樣做是為了維護系統的穩定性,將目標集中在工作文檔或個人文件上。它跳過的位置包羅:

C:\

windows

recovery

$recycle.bin

perflogs

C:\ ProgramData

start menu

microsoft

templates

favorites

C:\Program Files\

windows

perflogs

$recycle.bin

system volume information

common files

dvd maker

internet explorer

microsoft

mozilla firefox

reference assemblies

tap-windows

windows defender

windows journal

windows mail

windows media player

windows nt

windows photo viewer

在其中一個樣本中發現攻擊者在監控運行其代理的系統。當分析員意外注銷時,分析員懷疑攻擊者將機器識別為安全研究平臺,于是他給攻擊者寫了一條消息,并將其留在了測試機器的桌面上。片刻之后,攻擊者再次將分析員盤算機注銷,阻止分析員使用的IP地點重新連接到C2服務器。

還發現勒索軟件正在使用OpenPGP,二進制文件將PGP公鑰塊硬編碼到文件中。

預防與監測

預防

建議任何組織都不要將遠程桌面界面袒露在不受保護的互聯網上,應將它們置于VPN后,沒有VPN憑據的人都無法訪問。

攻擊者還表示希望尋找其他的合作伙伴,能夠使用其他類型遠程訪問工具(如VNC和TeamViewer)以及Web外殼或SQL注入技術。

組織應立刻為具有管理權限的用戶實現多因素身份驗證,使攻擊者更難強行利用這些帳戶憑據。

檢測

大多數初始訪問和立足點都在未受保護和未受監視的裝備上。組織應定期檢測裝備確保網絡上沒有被疏忽的裝備機器。

勒索軟件的勒索行為發生在攻擊者進入網絡后的幾天。在勒索軟件執行之前,需要一個成熟的威脅搜索步伐識別攻擊者的軟件。

檢測詳細信息

通過以下簽名檢測Snatch的各種組件和此攻擊中使用的文件:

Troj/Snatch-H

Mal/Generic-R

Troj/Agent-BCYI

Troj/Agent-BCYN

HPmal/GoRnSm-A

HPmal/RansMaz-A

PUA Detected: ‘PsExec’

*參考來源:sophos,由Kriston編譯,轉載請注明來自FreeBuf.COM

精彩推薦



免責聲明:如果侵犯了您的權益,請聯系我們,我們會及時刪除侵權內容,謝謝合作!

鮮花

握手

雷人

路過

雞蛋

最新評論

QQ|Archiver|手機版|小黑屋|第一站長論壇 ( 閩ICP備16019670號 )

GMT+8, 2020-2-28 12:34 , Processed in 0.137192 second(s), 26 queries .

Powered by Discuz! X3.4 © 2001-2013 Comsenz Inc & Style Design

返回頂部
深圳风采开奖 易点策略 金斧子配资 股票融资平台 上证指数行情走势图 5元以下的股票推荐 期货配资 59财进配资 基金配资比例两种模式 全国十大最安全的理财平台 股票配资平台哪个好多少钱 贵丰配资 新浪股票行情查询 股票配资送10000体验金 股票涨跌停板怎么计算 002349股票分析 期货配资找象泰配资信用高go