申搏新网:新型讹诈软件PureLocker现身,被Cobalt、FIN6等多个要挟构造运用 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

申搏新网:新型讹诈软件PureLocker现身,被Cobalt、FIN6等多个要挟构造运用

申博_安全工具 申博 93次浏览 已收录 0个评论

申博sunbet官网

申博sunbet官网是我们精心为您创建的线上博彩平台,多年来不断完善游戏和用户的服务与保障政策,好品质经得起网友检验!我们的用户群体十分庞大,遍及海内外,您可以放心使用申博sunbet官网的任何项目,绝对保证赔付百分百到手,经营多年时间证明。如果您有游戏或充值问题,耐心的客服为您第一时间接线,申博官网随时欢迎您!

,

Intezer和IBM X-Force研讨团队近期发明了一类新的讹诈软件——PureLocker,它由一名资深的歹意软件即效劳(MaaS)供应商在暗网上出卖,并被Cobalt、FIN6等多个要挟构造运用。进击者应用它对企业的生产效劳器提议定向讹诈进击。

PureLocker与“more_eggs”后门歹意软件密切相干,它由PureBasic编程言语编写,针对的操纵体系包括Windows和Linux。

PureLocker回避检测的手艺异常奇妙,涌现几个月后才被平安职员发明,下面将引见PureLocker的一些手艺细节。

开端剖析

剖析的Windows样本是一个32位DLL,伪装成一个名为Crypto ++的C ++加密库:

申搏新网:新型讹诈软件PureLocker现身,被Cobalt、FIN6等多个要挟构造运用

在检察“exports ”部份时,我们很快注重到某些异常,因为这个库应当包括与音乐播放相干的功用。

申搏新网:新型讹诈软件PureLocker现身,被Cobalt、FIN6等多个要挟构造运用

在VirusTotal中检察扫描效果时,发明该文件已凌驾三周没有被检测到,这关于歹意文件而言异常稀有:

别的,当在多个沙盒环境中实行文件时,它没有表现出任何歹意或可疑的行为。

然则,在Intezer Analyze中对文件举行遗传剖析以后,我们得出了三个重要视察效果:

申搏新网:新型讹诈软件PureLocker现身,被Cobalt、FIN6等多个要挟构造运用

1.没有Crypto ++代码衔接,意味着样本不是Crypto ++库。

2.该文件包括来自多个歹意软件家属的重用代码,重假如来自Cobalt Gang的二进制文件。申明文件是歹意文件,且可以与Cobalt Gang有关。

3.文件中的大部份相干代码都是唯一的,表明它多是一个新的,或经由高度修正的歹意软件。

进一步视察

细致研讨发明,此讹诈软件是用PureBasic编程言语编写的。PureBasic是一种相称不罕见的编程言语,这类不寻常的挑选也为进击者带来了上风:反病毒软件供应商在为PureBasic 二进制文件生成检测署名时不那么轻易。别的,PureBasic代码可以在Windows、Linux和OS-X之间移植,使得针对差别平台的进击越发轻易。

PureLocker被设想成由regsrv32作为COM效劳器DLL实行。它将挪用DllRegisterServer导出,歹意软件的代码驻留在导出中。与音乐相干的一切其他导出均不具有功用,包括在讹诈软件中仅用于诳骗。

歹意软件的字符串被编码并存储为Unicode十六进制字符串。可以依据须要挪用字符串解码函数对每一个字符串举行解码。

申搏新网:新型讹诈软件PureLocker现身,被Cobalt、FIN6等多个要挟构造运用

歹意软件的代码起首搜检它是不是按进击者的企图实行,没有被剖析或调试。假如搜检失利,歹意软件将马上退出,且不删除自身,这可以作为不激发疑心的反剖析要领。重要功用流程图如下图所示:

申搏新网:新型讹诈软件PureLocker现身,被Cobalt、FIN6等多个要挟构造运用

假如实行了歹意软件的有用负载,歹意软件今后将马上删除自身。

目标进击链的一部份

有几个迹象表明,PureLocker只是一个高针对性、多阶段进击的部份构成。歹意软件起首搜检它是不是用“/s /i”参数实行,这指导regsrv32.exe装置DLL组件而不激发任何对话:

申博注册:从远程桌面客户端提取明文凭据的东西RdpThief

介绍 远程桌面(RDP)是用于管理Windows Server的最广泛使用的工具之一,除了被管理员使用外,也容易成为攻击者的利用目标。登录到RDP会话的凭据通常用于是具有管理权限的,这也使得它们成为红队行动的一个理想目标。站在传统的角度看,许多人倾向于使用LSASS进行凭据盗窃,但是lsass.exe通常受到EDR和防病毒产品的监视,而且对LSASS的操作通常需要权限访问,于是我们自然就会考虑,有没有一种更容易的替代方案? 在本文中,我将描述我编写的一个工具,能使用API钩子从Microsoft RD

稍后,歹意软件会考证它是不是确切由“ regsrv32.exe”实行,考证其文件扩展名是不是为“ .dll”或“ .ocx”,盘算机上的当前年份是不是为2019,是不是具有管理员权限。假如上述搜检中的任何一项失利,则歹意软件将在不实行任何歹意运动的情况下退出。

这类做法在讹诈软件中并不罕见,讹诈软件一般倾向于感染尽量多的受害者,以期取得尽量多的利润。别的,以异常特定的体式格局实行的DLL文件的行为表明,该讹诈软件是多阶段进击的后期组件。

回避和反剖析手艺

与别的讹诈软件差别的是,歹意软件经由过程手动加载另一个“ntdll”副本来运用反挂钩手艺,并在此处手动剖析API地点。这么做的目标是回避用户形式下ntdll函数的挂钩。虽然这是一个尽人皆知的手法,但它很少用于讹诈软件。

导入自身存储为32位哈希值,讹诈软件运用通例的哈希剖析要领猎取函数地点。

一样值得注重的是,歹意软件在ntdll.dll中运用初级别的Windows API函数来完成它的大部份功用(kernel32.dll和advapi32.dll除外),尤其是用于文件操纵。除了应用advapi32.dll(RtlGenRandom)的SystemFunction036举行伪随机数生成外,歹意软件不运用Windows Crypto API函数,而是依赖于内置的purebasic加密库来满足其加密需求。

加密和讹诈关照

假如歹意软件实行的一切反剖析和完整性测试都得到了满足,它将继承运用硬编码的RSA密钥,经由过程规范AES + RSA组合对受害者盘算机上的文件举行加密。讹诈软件为每一个加密文件增加“ .CR1”扩展名。它重要加密数据文件,依据特定文件的扩展名跳过对可实行文件的加密。然后讹诈软件会平安删除原始文件,以防备恢复。歹意软件完成加密后,会在用户桌面上留下一个名为YOUR_FILES.txt的讹诈关照。

申搏新网:新型讹诈软件PureLocker现身,被Cobalt、FIN6等多个要挟构造运用

值得注重的是,赎金关照并没有请求付出范例或讹诈金额,而是指导受害者经由过程电子邮件联络进击者。进击者运用匿名和加密的Proton电子邮件效劳。我们剖析的每一个样本都包括一个差别的电子邮件地点,这多是进击者在差别的受害者息争密密钥之间竖立链接的一种体式格局,即每一个电子邮件对应一个特定的RSA密钥对。这进一步证实这类要挟差别于典范的讹诈软件。

另一个须要注重的元素是“CR1”字符串,它涌现在进击者的电子邮件地点、加密的文件扩展名和赎金关照中。因为这是一个RaaS,我们以为这个字符串很多是操纵这些特定样本组的标识符。

代码的关联和追溯

对歹意软件遗传剖析的效果表明,PureLocker与Cobalt Gang在其进击链中运用的特定组件相干,此组件是“ more_eggs” JScript后门(也称为“ SpicyOmelette”)的加载器部份。

客岁,QuoScient平安团队视察到Cobalt Gang一向在地下收集犯法论坛上从歹意软件即效劳(MaaS)供应商那边购置歹意软件组件。QuoScient还视察到有别的两个要挟构造运用了雷同的MaaS组件,包括“ more_eggs”后门。

近来,IBM X-Force发明FIN6的几起行为中也大批运用了“ more_eggs”歹意软件工具包。

将PureLocker讹诈软件样本与近来的more_eggs加载器样本举行比较后发明,它们极有多是统一作者建立的。相似之处不言而喻:

  • COM Server DLL组件都由用PureBasic编写
  • 载入payload前,功用和代码险些雷同,具有雷同的回避和反剖析要领
  • 雷同的字符串编码息争码要领

申搏新网:新型讹诈软件PureLocker现身,被Cobalt、FIN6等多个要挟构造运用

这些发明能表明,“ more_eggs”的MaaS提供商将“ more_eggs”加载器的payload从JScript后门修正为了讹诈软件,为其产物增加了新的歹意软件工具包。

虽然我们对歹意软件的泉源有很好的熟悉,但现在还不清晰运用这类讹诈软件举行有针对性进击的“CR1”构造是MaaS供应商之前的客户(如Cobalt Gang和FIN6),照样一个新团伙。

结论

PureLocker是一个非正统的讹诈软件。它没有试图感染尽量多的受害者,而是旨在隐蔽其企图和功用,除非以预定的体式格局实行。这类要领关于成功地将其用于定向进击的进击者异常有用,而几个月以来一向未被发明。

值得注重的是,本文中形貌的回避和反剖析功用的代码是直接从“more_eggs”后门加载顺序中复制的,个中一些反复的功用使得讹诈软件可以避开自动剖析体系而不被发明。这个案例申明代码重用剖析对歹意软件检测和分类的重要性。它将任何之前运用过的代码,以至有用的躲避和反剖析代码的运用,转化为一个牢靠的检测目标。

PureLocker讹诈软件更细致目标请在此处检察。

本文翻译自:https://www.intezer.com/blog-purelocker-ransomware-being-used-in-targeted-attacks-against-servers/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明申搏新网:新型讹诈软件PureLocker现身,被Cobalt、FIN6等多个要挟构造运用
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址