新勒索软件Ymir的攻击过程深度分析
2024-11-12 18:36:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

一、事件概述

近日,Kaspersky实验室研究人员在哥伦比亚的一次事件响应中发现了一种新型勒索软件——Ymir。这种软件以其独特的隐秘性和复杂的逃避检测手段,对全球网络安全构成新的威胁。Ymir勒索软件通过一系列内存中的操作来逃避检测,这些操作涉及malloc、memmove和memcmp等函数调用。攻击者通过PowerShell远程控制命令获得系统访问权限,并安装了Process Hacker和Advanced IP Scanner等恶意工具,最终运行Ymir以实现其攻击目标。在静态分析阶段,研究人员现Ymir勒索软件具有一些可疑的API调用,包括CryptAcquireContextA、CryptReleaseContext、CryptGenRandom、TerminateProcess和WinExec等,这些通常在各种勒索软件样本中发现。此外,Ymir还包含一些用于加密算法的哈希值和PowerShell命令。动态分析显示,Ymir在运行时会进行数百次memmove函数调用,将指令片段加载到内存中以执行恶意功能。它还使用memmove函数枚举受影响系统中的子目录和文件,以便后续加密。Ymir使用ChaCha20算法加密文件,并在每个加密文件后附加特定的扩展名。

二、攻击过程分析:

Ymir勒索软件的攻击过程可以分为以下几个关键阶段:

初始访问:

Ymir勒索软件攻击者通过多种手段获得目标系统的访问权限,其中最常见的方法是利用PowerShell远程控制命令。这通常涉及社会工程学技巧,比如通过发送钓鱼邮件,这些邮件可能包含带有恶意附件或链接,诱使受害者点击,从而在目标系统上执行恶意代码。此外,攻击者也可能利用系统漏洞,通过这些安全缺陷直接入侵系统。攻击者还可能采用远程桌面协议(RDP)的暴力破解攻击,尝试不同的密码组合以获得访问权限。在某些情况下,攻击者可能会利用之前的数据泄露中窃取的凭据,这些凭据可能是受害者在不同服务中重复使用的,增加了攻击成功的可能性。通过这些方法,攻击者能够在受害者不知情的情况下获得对目标网络的初始访问,并为进一步的内部渗透和横向移动打下基础。

建立C2通信:

在成功入侵目标系统后,Ymir勒索软件的攻击者会迅速建立一个立足点,并与被破坏的设备建立持久的联系。这一阶段至关重要,因为它允许攻击者远程控制攻击的后续阶段,确保他们即使在初始入口点被发现或关闭后,也能维持对受感染系统的控制。为了加强这一立足点,攻击者可能会将更多的恶意软件变种或其他工具传递到设备上,这些工具旨在帮助他们维持访问权限、收集情报、提升权限,以及为后续的横向移动做好准备。这些活动可能包括部署键盘记录器、密码窃取工具、远程访问木马(RATs)等,以增强攻击者在网络中的存在感和控制力。Ymir勒索软件的一个显著特点是其高度可配置性,使其能够根据攻击者的需求调整功能,以适应不同的网络环境。这种灵活性使得勒索软件即使在与其C2服务器的连接被中断的情况下,也能继续在企业内部网络中潜伏,融入常规活动而不被发现。这种隐蔽性是Ymir勒索软件能够成功执行其加密和勒索活动的关键因素之一。通过这种方式,攻击者可以在不引起注意的情况下,准备和执行更广泛的网络攻击,增加受害者支付赎金的压力。

横向移动和权限提升:

在Ymir勒索软件攻击中,攻击者通过多种技术手段进行横向移动和权限提升。他们可能会合法工具进行横向移动,例如利用RDP、WinRM、WMI和PowerShell等工具。还会使用如Certutil、Wevtutil、Net、Nltes和Netsh等工具进行网络扫描和权限提升。这些工具本身可以被用于正常用途,但攻击者滥用它们以实现恶意目的。例如,攻击者可以通过简单修改注册表来启用RDP,或创建防火墙规则,通过netsh命令允许RDP连接,从而获得对目标系统的远程访问。

攻击者还可能使用其他工具如PsExec进行远程病毒执行和内网扩散,PsExec是一个轻型的telnet替代工具,可以执行其他系统上的进程,并且可以获得与控制台应用程序相当的完全交互性。此外,攻击者可能会利用Cobalt Strike等工具执行命令、注入进程、提升权限,这些工具虽然可以作为合法渗透测试工具使用,但同样被攻击者滥用以支持秘密数据泄露。

综上所述,Ymir勒索软件攻击者在横向移动和权限提升阶段,主要通过利用系统漏洞、滥用合法工具和功能,以及使用特定的黑客工具来实现在内部网络中的移动和权限提升,以便部署窃取和加密数据的恶意载荷。

防御规避和逃避检测:

Ymir勒索软件在其攻击生命周期中精心设计了防御规避和逃避检测的机制,以确保其行动的隐蔽性和持久性。该软件主要通过两种技术手段实现这一点:内存操作和自我删除命令。

首先,Ymir通过在内存中执行操作来规避安全检测。它利用malloc、memmove和memcmp等函数在内存中动态分配、移动和比较数据,从而避免在磁盘上留下痕迹。这种技术使得恶意行为更难被传统的基于签名的检测系统发现,因为这些操作不会在文件系统中留下永久的恶意代码,而是在内存中临时执行。

其次,Ymir利用PowerShell命令来删除自身,进一步减少被发现的痕迹。这种自我删除的能力允许勒索软件在执行完其恶意活动后,清除其在被攻击系统上的可识别组件,使得追踪和分析变得更加困难。

通过这些高级的逃避技术,Ymir勒索软件能够在不被轻易发现的情况下,长期潜伏在受害者的网络中,执行其加密和勒索活动。这种隐蔽性是Ymir勒索软件能够成功实施攻击并迫使受害者支付赎金的关键因素之一。

数据窃取和加密:

在Ymir勒索软件的攻击过程中,数据窃取和加密是其核心策略。攻击者在成功潜入企业网络后,并不会立即行动,而是可能在企业环境中潜伏一段时间,这段时间内他们会探测和识别内部网络中的敏感数据。这种潜伏行为不仅帮助攻击者扩大感染面,还增加了受害者支付赎金的可能性,因为一旦数据被加密,恢复数据的难度将大大增加。

Ymir利用ChaCha20算法对文件进行加密,这是一种高效的流加密算法,以其安全性和速度而著称。通过在每个加密文件后附加特定的扩展名(如.6C5oy2dVr6),Ymir进一步确保了数据恢复的难度,除非受害者支付赎金或找到解密工具。Ymir的攻击策略中还包括了双重勒索的特征。在加密文件之前,攻击者可能会先窃取数据,然后在加密系统中的文件,并通知受害者文件被窃取,威胁如果不支付赎金,则会公开这些数据。

参考链接:
https://securelist.com/new-ymir-ransomware-found-in-colombia/114493/

文章来源: https://mp.weixin.qq.com/s?__biz=MzI0MTE4ODY3Nw==&mid=2247492409&idx=1&sn=bad69bda681cbcd1c641bd3ed3b03cce&chksm=e90dc913de7a400526e706f0c8c3698eb65094784d8079bfabbb8ef677d7fbbd635eb9659038&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh