【勒索防护】巴以冲突背景下的网络安全威胁
2023-11-28 21:27:6 Author: mp.weixin.qq.com(查看原文) 阅读量:8 收藏

恶意文件家族:

GhostLocker

威胁类型:

勒索病毒

简单描述:

GhostLocker 自称是一款突破性的企业级锁定软件,将安全性和有效性放在首位。GhostLocker 采用“勒索即服务”的业务模式 最初对前 15 家附属机构的定价为 999 美元,预计将来会将这一费用提高到 4,999 美元。

恶意文件描述

深信服深盾终端实验室在近期的运营工作中,发现了一种新的勒索软件GhostLocker ,GhostLocker 由 GhostSec 领导的多个黑客组织建立。这些黑客组织试图从事网络犯罪活动以求生存,而GhostLocker 似乎是他们的新选择之一。一些勒索软件组织如 Stormous 已经开始使用 GhostLocker 勒索软件,而不是其原始恶意软件。在 10 月 9 日,包括 SiegedSec、GhostSec 和 The Five Families Collective 在内的多个黑客组织宣布推出 GhostLocker。

恶意文件分析

此次攻击事件似乎包含两个阶段。第一个阶段是一个 C/C++ 编译而来的 64 位释放器程序,存放目录为“C:\Users\John\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup”。这意味着该程序将在系统启动时自动运行。第二个阶段是一个 Python 编译而来的勒索程序。这个勒索程序会加密文件,并要求支付赎金才能恢复文件。

第一阶段程序分析:

根据程序的 PID(进程标识符)和执行时的时间戳,在 %TEMP% 目录下创建一个文件夹,文件夹名称为 "onefile_%PID%_%TIME%"。这个文件夹的路径类似于 C:\Users\John\AppData\Local\Temp\onefile_1234_1634567890,其中 1234 是进程的 PID,1634567890 是时间戳。

将程序中的多个资源文件释到 %TEMP%\onefile_%PID%_%TIME目录下的指定文件中。这些资源文件可能包含恶意代码及其他必要的文件,用于后续勒索软件的执行操作。

使用 CreateProcess API 启动释放的 iymjsgyhiotfdswn.exe 程序。CreateProcess 是一个 Windows API 函数,用于创建一个新的进程并执行指定的可执行文件。在这种情况下,iymjsgyhiotfdswn.exe 是被释放的程序中的一个可执行文件,通过调用 CreateProcess 来启动它。

勒索信 lmao.html 被写入用户的 ~/Documents/lmao.html 目录下,并尝试在浏览器中打开该文件。勒索信中包含了被加密文件的信息和受害者ID。勒索信页面还包含了一些次要通知,解释了文件被加密的原因以及如何联系勒索者以恢复文件。页面底部还包含了一些注意事项,包括不要支付赎金给其他人、不要重命名加密文件、不要尝试使用第三方软件解密数据等。

第二阶段勒索程序分析:

(1) 下载并启动watchdog.exe

从 http://88.218.62.219/download 链接下载文件到 C 盘根目录,并将其重命名为 watchdog.exe,watchdog.exe使用Nuitka 编译,该程序的作用是在勒索程序无法启动时重新启动它,以确保勒索功能能够执行。当勒索功能执行完毕后,看门狗程序会删除勒索程序,以防止安全人员分析。

(2) 勒索软件分析

勒索程序使用 Fernet 加密算法对文件进行加密,并添加 .ghost 后缀。Fernet 是一种基于对称密钥的加密算法,使用 AES 算法和 HMAC 进行加密和签名。在代码中,使用 Fernet.generate_key() 生成一个随机的密钥,然后使用该密钥对文件进行加密。

勒索程序会将受害者ID、加密密钥和受害者计算机名称发送到指定的 URL。它还会对 C 盘下的所有文件进行加密,并将桌面背景设置为空白,以突出勒索信息。

GhostLocker 勒索软件的最新版本采用了Nuitka 编译器,该工具可以优化并将Python代码转换成C语言,然后编译成机器码,以提高性能并创建独立可执行文件。分析表明,新版加密器可能仍在开发中,因为缺乏基本的加密文件等功能。

ATT&CK

TA阶段
T技术
S技术
动作
TA0002
执行
T1106
系统API
N/A
使用一系列Windows API,如CreateProcessW
TA0003
持久化
 
T1547
引导或登录自动启动执行
 
T1547.001
注册表运行键/启动文件夹
将自身添加%Startup%文件夹下,实现开机自启动
TA0007
发现
 
T1057
枚举进程
N/A
枚举当前系统环境中所有正在运行的进程
T1083
文件和目录发现
N/A
查询指定的文件夹
T1082
系统信息发现
N/A
使用getpass.getuser()获取获取当前登录用户的用户名
T1124
系统时间发现
 
N/A
使用GetSystemTimeAsFileTime获取当前系统的本地时间
TA0011
命令与控制
 
T1095
非应用层协议
N/A
C2 通信中使用了 TCP
TA0005
防御规避
T1622
调试器规避
N/A
使用IsDebuggerPresent()函数检测当时前系统是否存在调试
TA0040
影响
 
T1486
为影响而加密的数据
N/A
加密计算机上的文件

IOC

MD5

dfbaa667c07fdd5ad2543ce98d097027

bdc119efae38ea528c10adbd4c9000e4

bea3d03f686c73622f08b1f0f8ec5b43

cd906ad0553a176d8737b4b85109687c

074beb2b62147a4a037577e985fff913

81a136029d29d26920c0287faf778776

dfb5e2963e9bc48c904f4ac5978fe9ea

9c66d8fde4e6d395558182156e6fe298

00c69252bc0e896e2a8b0a9a3d68e41e

4119af0c5a12d6153e19514b4be993c4

8506b32ea38dc3a844e72051750a75d9

e6ec894f69899d14e3e8581939fe0685

URL

http://88[.]218.62[.]219/download

http://88[.]218.62[.]219/

https://88[.]218.62[.]219/download/

http://88[.]218.62[.]219/downloadp

http://88[.]218.62[.]219/downloadastatus_codel

http://88[.]218.61[.]141/addaCrypticMastera__main__a__module__auserConfiga__qualname__uchrome.exeaproces

http://88[.]218.61[.]141/adda__main__a__module__auserConfiga__qualname__uchrome.exeaprocessesuC:/Users/%25

http://88[.]218.61[.]141/

http://88[.]218.61[.]141/addp

http://88[.]218.61[.]141/incrementLaunchesT

http://88[.]218.61[.]141/incrementLaunches

http://88[.]218.61[.]141/add

http://195[.]2[.]79[.]117/

解决方案

处置建议

1. 为本地和域账户设置强密码策略,定期更改账号密码

2. 及时更新操作系统和软件,使用杀毒软件定期查杀。

深信服解决方案

【深信服统一端点安全管理系统aES】已支持查杀拦截此次事件使用的病毒文件,aES全新上线“动静态双AI引擎”,静态AI能够在未知勒索载荷落地阶段进行拦截,动态AI则能够在勒索载荷执行阶段进行防御,通过动静态AI双保险机制可以更好地遏制勒索蔓延。不更新也能防护;但建议更新最新版本,取的更好防护效果。


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247521563&idx=1&sn=e7dd2eaec69028965676604a3b756c95&chksm=ce461e0bf931971d77aba7ab908dab365e37733f27dd0ea9b8f853ab2c4f49742677b4503902&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh