【安全资讯】针对独联体企业的勒索软件分析

安恒威胁情报中心 2021-10-13 15:07:05 176人浏览

引言

10月7日,Kaspersky发布报告,分析了2021年上半年针对独联体(CIS)的勒索软件木马家族及其技术特征,包括BigBobRoss、Crysis、Phobos、Cryakl、CryptConsole、Fonix、Limbozar、Thanos以及XMRLocker。

 

简况

独立国家联合体,简称“独联体”,是前苏联解体时由多个加盟共和国组成的一个地区性组织。下面是针对该地区的勒索软件简析。

 

BigBobRoss/TheDMR

这款勒索软件在 2018 年底开始活跃,其主要传播媒介是破解 RDP 密码。启动时,BigBobRoss 会向运营商展示技术信息,包括后续文件解密的密钥。该程序使用来自 CryptoPP 密码库的 ECB 模式下的 128 位密钥的 AES 对称算法进行加密。可执行文件的PDB信息如下:

Crysis/Dharma

Crysis是用 C/C++ 编写的加密恶意软件,自2016年以来开始运营,目前仍在活跃。木马的代码多年来一直保持不变,目前通过勒索软件即服务(RaaS) 附属程序进行分发。该恶意软件在 CBC 模式下使用 AES-256 算法加密文件。启动时,特洛伊木马会生成一个 256 位 AES 密钥,该密钥使用 RSA-1024 算法加密,攻击者的公钥包含在木马内。除了加密内容外,加密文件还存储了IV、RSA加密的AES密钥和其他信息。Crysis的攻击媒介是未经授权的 RDP 访问。攻击者破解凭据远程连接到受害者的计算机,并手动运行木马。Crysis的赎金记录如下图:

Phobos/Eking

Phobos勒索软件自2017年以来一直存在,在许多方面与 Crysis 相似,这表明两个木马可能是同一个开发者,或者Phobos的开发者熟悉Crysis的工作原理。与大多数现代勒索软件一样,Phobos 是通过 RaaS 附属程序分发的。感染的主要媒介是未经授权的 RDP 访问。Phobos 是用 C/C++ 编写的,并在 MS Visual Studio 中编译。Phobos使用 AES-256-CBC 算法加密受害者的文件,而 AES 密钥使用恶意软件主体中包含的 RSA-1024 公钥加密。Phobos的赎金记录如下图:

Cryakl/CryLock

Cryakl的第一个版本是在 2014 年 4 月检测到的,但已被多次重写,并且每个新版本都会引入更改。目前,其最常见的攻击媒介是通过 RDP。木马支持图形界面,攻击者在程序窗口中手动配置必要的设置。Cryakl 是用 Delphi 编写的,使用自定义对称密码来加密受害者的文件,并使用 RSA 算法来加密密钥。Cryakl 具有处理 ZIP、7z、TAR、CAB 和RAR格式的专门程序。Cryakl的设置窗口如下图:

CryptConsole

CryptConsole于2017 年 1 月首次被发现,是用 C# 编写的,并使用 .NET 库进行加密。分发的主要载体是破解 RDP 密码。加密的密钥和 IV 对被写入一个文本文件,此文本文件的名称是一个 40 个字符的字符串,与用户的唯一标识符相匹配。文件加密部分的大小是 [5485760, 10485760] 范围内的随机值。勒索软件会生成两个随机对:key+IV 和 key2+IV2。然后将文件大小与之前生成的随机大小值进行比较。如果文件大于size,则只对文件中小于或等于该值的部分进行加密,在此之前,会将大小字节随机数据的缓冲区写入文件。包含勒索软件留下的密钥的文件如下图:

Fonix/XINOF

Fonix 勒索软件出现在 2020 年夏天。 2021 年 1 月,其创建者宣布关闭该项目并发布了主密钥,然而在2021 年 6 月,研究人员检测到不使用旧的主密钥的新版本Fonix攻击。此版本的 Fonix 模仿Crysis和Phobos木马,对加密文件使用相同的扩展名和命名方案。Fonix使用 CryptoPP 库用C++ 编写,并在 MS Visual Studio 中编译为 64 位可执行文件。它使用 RaaS 方案分发,主要通过带有恶意附件的垃圾邮件传送到受害者系统。在感染主机后,Fonix 还会通过 IP 检查受害者的地理位置,如果在伊朗启动,则会在不加密的情况下停止其活动。Fonix现在的赎金票据如下图:

Limbozar/VoidCrypt

Limbozar勒索软件出现在 2019 年年中,某些版本也被称为 Limbo、Legion、Odveta 和 Ouroboros。Limozar 通过附属计划 (RaaS) 分发。目前,主要的传播媒介是未经授权的 RDP 访问。Limozar用 C++ 编写,在 MS Visual Studio 中编译,并使用 CryptoPP 库来实现加密功能。Limbozar 搜索受害者的文件并使用 AES-GCM 算法对其进行加密,为每个文件生成一个唯一的密钥 + IV 对,然后使用 RSA 会话公钥进行加密。加密后,恶意软件将攻击者的赎金要求留在 Decrypt-info.txt 文件中,如下图:

Thanos/Hakbit

Thanos于 2020 年 4 月下旬开始活跃,用 C# 编写,主要传播媒介是破解 RDP 密码。解密器可以使用用户 ID 解密文件,用户 ID 是对称加密算法的 RSA 加密密钥。构建器中有许多不同的设置,包括:加密文件的扩展名、赎金票据的名称和内容、付款地址、代码混淆、禁用 Windows Defender、绕过反恶意软件扫描接口 、解锁被其他进程占用的文件、保护勒索软件进程、防止休眠、执行延迟、大文件快速加密模式、设置要加密文件的扩展名以及选择受害者通知方法。Thanos的赎金记录如下图:

XMRLocker

XMRLocker 于 2020 年 8 月上旬首次被发现,用 C# 编写,并使用 .NET 库进行加密。加密使用 AES 算法,在 CFB 模式下密钥长度为 256 位,并带有 PKCS7 填充。加密后关闭机器,下次启动时,用户会看到攻击者留下的嘲讽,如下图:

总结

2021 年 1 月至 7 月,CIS 中遭到勒索软件攻击的企业用户数量一直在2000以上,且许多恶意软件仍在积极发展,部分威胁在被发现后暂时关闭,但随后又重新出现在市场上。网络犯罪分子使用各种加密技术,其中一些技术非常有趣,例如 CryptConsole 中的双重加密和 Cryakl 中的存档处理。尽管存在不同的恶意软件分发载体,但当前针对独联体企业的大多数勒索软件威胁都是通过 RDP 渗透到受害者的网络中的。因此,研究人员建议用户阻止来自 Internet 的 RDP 访问。

失陷指标(IOC)13
勒索软件 CIS 其他
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。