螣龙安科:迷宫勒索病毒——勒索受害者一年并且人数仍在增长
自迷宫勒索软件帮派开始臭名昭著以来已经一年了。之前被称为“ ChaCha勒索软件”(取自该恶意软件用于加密文件的流密码的名称),Maze“品牌”于2019年5月首次附加到勒索软件上。
迷宫的最初样本被绑定到装有漏洞利用工具包的假网站上。从那时起,通过多种方式提供了Maze:漏洞利用工具包,垃圾邮件,以及(随着该组织的操作变得更具针对性)远程桌面协议攻击和其他网络利用。
但是,除了该团伙对最初的折衷方法进行调整之外,迷宫组织的知名度在很大程度上有所提高,这主要是由于其勒索策略:在受害人被盗数据的公共“转储”中跟踪受害人数据的公开威胁,并向受害人提供如果不付款,请在网络犯罪论坛上获取数据。
虽然Maze并未发明数据盗窃/勒索球拍,但它是最早的勒索软件操作之一,使用数据盗窃来扭曲受害者的手臂以支付费用。迷宫团伙将公众曝光度作为其“品牌”身份的核心,并积极寻求媒体和研究人员的关注以推广其品牌,并使那些可能会犹豫付钱的受害者轻松找到自己的声誉。
成为焦点
勒索软件的运营商于2019年10月发起了大规模的垃圾邮件活动,伪装成来自政府机构的信息,因此迷宫引起了更多关注。一场运动发出了声称来自德国联邦财政部的消息,而另一场运动则是来自意大利的Agencia Entrate(国税局)的税收消息。
意大利语版本的攻击声称是避免被指定为税收欺诈的说明,附加文件VERDI.doc(称为“交互式工具”)中有更多详细信息,旨在诱骗用户启用Visual Basic for Applications( VBA)宏。启用宏后,文档中的脚本会将Maze勒索软件下载到%TEMP%文件夹,然后执行它。
从那以后,Maze勒索软件在很大程度上已经通过窃取和发布受害者的数据作为强制付款的手段而受到关注。虽然长期以来一直威胁要公开受害者的数据已成为勒索软件运营商的本本,但Maze还是第一个以公开方式应对此类威胁的人之一-从2019年11月AlliedUniversal公开数据开始。
迷宫并不是唯一采用这种策略的人。REvil / Sodinokibi与Maze大约在同一时间开始发布数据;DoppelPaymer和Clop勒索软件环也紧随其后,而Lockbit在其勒索通知中增加了数据泄露的威胁。但是,迷宫的“团队”是第一个涉足新闻媒体以引起受害者注意的人,他们的网站上甚至包括“新闻稿”。
既得利益
迷宫的运营商以多种方式寻求关注,以努力扩大声誉,并提高其“客户”(称为受害者)迅速付款的可能性。即使他们保持匿名,名称识别对他们也很重要。他们通过挑衅安全研究人员来寻求关注的一种方式。
迷宫的开发人员经常将研究人员的姓名放到勒索软件二进制文件或提供这些文件的“打包程序”中包含的字符串中。例如,迷宫的作者经常将研究人员的姓名放在开发过程中生成的程序数据库(.pdb)文件的文件名或文件路径中。
迷宫作者将名称频繁地放在.pdb文件名和路径中,以至于他们似乎对用什么称呼它们的想法已经用尽:
有时,迷宫作者在代码本身的字符串内向研究人员留下挑衅性的信息。这些字符串通常不起作用,尽管有时它们被用作关闭恶意软件执行的“杀死开关”。
迷宫团队对研究人员的挑衅扩展到了其在网络论坛中的存在。在著名的勒索软件研究人员Vitali Kremez之后,迷宫团队在一个板上使用了帐户名“ Kremez”来发布指向未付款公司的数据转储的链接。
但是,用于推广Maze品牌的主要平台是Maze团队的网站-一个专门针对其受害者的网站,另一个用于与全世界进行交流(并鼓励受害者公开付款)的网站。
“保持世界安全”
受害者网站面板上带有指环讽刺性的口号“ 迷宫团队:确保世界安全”。
要求受害者按照赎金说明中的URL到达站点后,要求提供勒索软件丢弃的文件DECRYPT-FILES.txt,其中包含分配给受害者的标识号。
一旦确定了身份,受害者就可以上传三个文件进行解密,以证明迷宫乘员组可以真正恢复其数据。(仅支持图像文件,因此无法免费恢复真正的关键数据。)
该站点还提供了一个聊天窗口,因此受害人可以与Maze团队的客户支持代表进行交流,他们随时待命,回答任何问题并协商付款。
除了提供给受害者的私人网络面板外,Maze小组还维护了一个“新闻”网站(同时在Tor和公共Internet上托管),该网站还为最近受到勒索软件攻击的公司提供了被盗数据的样本。作为一些未能协商付款的公司的数据的“全部转储”。
2020年4月17日,迷宫发布了2020年4月17日的“新闻稿”。这确实是给受害者的信息,解释了如果他们忽略迷宫的赎金要求并且不就付款与他们联系,将会发生的所有坏事。(该页面最近更新了有关所谓的受害者Banco BCR的信息。)
他们向“客户”保证,他们尊重任何协议的一方并删除被盗的数据,因为他们的声誉对他们开展业务很重要。他们声称准备为因COVID-19引发的全球经济下滑而受害的人达成协议。
过去,Maze小组由于情况恶化而撤回了发布到其站点的数据,例如,在该组织的海军航空站两名美国海军枪击事件发生后,该小组撤回了对彭萨科拉市的勒索要求。3月份,迷宫团队宣布将停止对医疗机构的攻击,直到COVID-19大流行“稳定下来”。
在最新的“新闻稿”(日期为2020年4月17日)中,迷宫的经营者写道:
我们生活在与您相同的现实中。这就是为什么我们宁愿在安排下工作并且我们愿意妥协的原因。但是只有那些能够了解什么是声誉以及什么是私人数据丢失的真正后果的合作伙伴。
迷宫主二进制文件中的逃避和反分析
Maze勒索软件主要是用C ++编写的。但是,它大量使用带有控制流混淆的纯程序集。该混淆包括:
- 无条件跳转使用条件跳转命令的组合,例如将jz(如果不为零则跳转)指令紧跟在jnz(如果不为零则跳转)指令到同一位置。
- 跳到指令中间;
- 指向二进制文件.text部分中的字符串作为返回地址的指令。
- 哈希必要的API名称,并将其与DLL函数名称的哈希进行比较,然后使用通常的LoadLibrary和GetProcAddress函数动态解析匹配的函数。
Maze团队为主要二进制文件的代码混淆而感到自豪-在恶意软件二进制文本的消息中,他们要求研究人员编写一个IDAPython脚本来对其进行模糊处理。5月1日,Crowdstrike的Shaun Hurley发表了一份报告,详细显示了这种混淆处理。
我们分析过的几个Maze样本包含“ kill”开关,这些开关在触发时导致恶意软件未加密文件。其中许多只是为了吸引研究人员的注意力,或者发送一些消息,或者(如前所述)命名他们知道正在检查其代码的研究人员。
还有一些示例可以与更有意义的功能开关一起运行,例如:
- –nomutex,允许运行多个实例;
- –日志记录会打开详细的控制台输出,该控制台将记录每个加密的文件,执行此操作所需的时间以及一些错误消息;
- –noshares关闭网络共享的加密;
- -path指定要加密的文件夹。
除了混淆之外,迷宫主要二进制文件的作者还对该恶意软件应用了许多反分析技术。它以多种方式检查调试环境。除了使用IsDebuggerPresent API和PEB.BeingDebuggedFlag检查之外,Maze主二进制文件还包含已知分析过程名称的硬编码哈希,包括procmon.exe,procmon64.exe,x32dbg.exe,x64dbg.exe,ollydbg.exe,procexp .exe和procexp64.exe。该代码枚举了当前正在运行的进程,对照哈希列表检查进程的名称,并在检测到任何进程时自行终止。
建立商店
迷宫二进制文件通过将其自身添加到Windows的自动运行注册表中来创建持久性。并且它使用互斥锁来确保不会执行另一个Maze实例(除非它是使用–nomutex开关执行的示例)。
与大多数勒索软件一样,它使用Windows Management Instrumentation命令行实用程序WMIC.exe删除卷影副本。该二进制文件还使用WMI接口来查询防病毒信息,并在WMI名称空间root \ SecurityCenter2中执行Windows管理规范查询语言(WQL)命令“ Select * from AntiVirusProduct”。
勒索软件收集有关计算机及其用户的信息,包括有关系统驱动器,操作系统版本,默认语言设置,用户名和计算机名称的信息。与其他勒索软件一样,如果检测到某些语言(例如,独立国家联合体国家使用的语言),Maze将终止而不加密文件。
恶意软件还通过创建空会话连接并枚举网络资源来收集有关其目标连接的本地网络的信息。它试图找出网络中当前计算机的角色,以便在勒索中重用它-迷宫根据目标是家用计算机,公司中的工作站还是服务器来改变赎金的数量网络。
使用Windows 80的套接字库WS2_32.dll进行连接,使用标准的端口80 HTTP POST方法将该信息提取回命令和控制服务器。URI路径是从硬编码的字符串列表创建的,以构建URI路径。
该恶意软件会将包括用户名,驱动器信息,驱动器可用空间,语言,存在的防病毒产品以及操作系统版本在内的信息发送回服务器。
尊敬的用户,我已经加密了您的文件
Maze使用RSA和ChaCha20流密码加密来锁定受害者的文件。该恶意软件会生成一个RSA密钥对,然后使用嵌入在该恶意软件中的主要RSA公钥对其进行加密。当它遍历文件系统以加密文件时,它会跳过以下目录:
- \\Program Files
- \\Windows
- \\Games\\
- \\Tor Browser\\
- \\ProgramData\\
- \\cache2\\entries\\
- \\Low\\Content.IE5\\
- \\User Data\\Default\\Cache\\
- \\All Users
- \\IETldCache\\
- \\Local Settings\\
- \\AppData\\Local
- AhnLab
- {0AFACED1-E828-11D1-9187-B532F1E9575D}
Maze也不加密.lnk,.exe,.sys和.dll文件,尤其避免使用以下文件:
- DECRYPT-FILES.txt
- inf
- ini
- ini
- dat
- db
- bak
- dat.log
- db
- bin
加密结束时,将删除桌面墙纸.bmp并播放语音消息:
“警报!*用户*警报!尊敬的*用户*,您的文件已加密...”
墙纸和语音消息均以文本形式存储在二进制文件中。使用DrawTextW和GetDIBits API将背景文本转换为bmp,并将其拖放为000.bmp并设置为墙纸。语音消息是使用Microsoft语音API通过默认语音和默认音频创建的。就在播放消息之前,在讲话之前,它使用操作系统的“哔哔”功能来确保引起受害者的注意。
在最新版本的赎金通知中,迷宫人员向受害组织的IT支持人员发出了“友好”警告:
螣龙安科:迷宫勒索病毒——勒索受害者一年并且人数仍在增长相关推荐
- 螣龙安科:“迷宫”勒索病毒——究竟何时才能走出?
尽管这种勒索软件已经存在了十二个月以上,但是在使用了加密算法之后,它最初被简称为ChaCha. 但是,从2019年5月起,其背后的犯罪分子采用了"迷宫"这个名称,甚至提出了自己的视 ...
- 螣龙安科入侵感知:防火墙有哪些缺陷?
防火墙有两种:软件和硬件防火墙.防火墙可以过滤计算机,家庭网络或公司网络与Internet之间的所有网络流量. 防火墙通常位于专用网络和公用网络或因特网之间,被保留在私有网络和公共网络或因特网的边界中 ...
- 螣龙安科入侵感知:只有防火墙够吗?
有时,恶意用户所做的就是将脚本放在网页上的用户名,地址或搜索查询字段中.有时,他们甚至有可能从目标网站获得帮助.来自不受保护的服务器的错误消息可以为攻击者提供有关后端安全性,所使用的服务器类型以及在其 ...
- 螣龙安科:在线协作平台的安全建议
随着组织在大规模远程工作期间大幅度扩展协作平台的使用,了解和管理此类平台可能带来的风险至关重要.公司可以通过执行安全评估,正确实施最佳实践以及部署其他安全控制措施来解决这些问题.在使用协作工具时,必须 ...
- 螣龙安科笔记:内网渗透测试(三)
经过前两篇文章的介绍,相信大家对于内网渗透测试的一些基础知识已经有了足够的了解,这篇文章就将带你一起来了解内网渗透测试的全过程. (四)内网渗透流程 1.渗透工具准备 1.1扫描工具 1.1.1主动扫 ...
- 科力锐勒索拦截系统:解决勒索病毒“勒索+窃取”双重威胁的特效药!
科力锐勒索拦截系统,有效应对勒索病毒"勒索+窃取"双重威胁守护您的数据安全! 一.突发!某车企遭勒索病毒窃取威胁 12月20日,某汽车公司发布社区公告称其遭遇勒索病毒攻击,被黑客窃 ...
- .babyk后缀勒索病毒|勒索病毒解密恢复|数据库中babyk勒索病毒解密|勒索病毒文件恢复工具|数据库恢复
babyk勒索病毒概述,babyk勒索病毒解密恢复及日常防护建议 .babyk后缀勒索病毒|勒索病毒解密恢复|数据库中babyk勒索病毒解密|勒索病毒文件恢复工具|数据库恢复 babyk勒索病毒数据集 ...
- 文件服务器如何预防勒索病毒,勒索病毒来袭,服务器应该如何预防?
原标题:勒索病毒来袭,服务器应该如何预防? 近期各地有不少软件伙伴的服务器遭受勒索病毒影响,病毒攻击核心是基于 Windows 操作系统的漏洞,关于微软的新闻: https://news.micros ...
- makop勒索病毒|勒索病毒解密|勒索病毒恢复|数据库修复
目录 前言:案例简介 一.什么是.[back23@vpn.tg].makop勒索病毒? 二.中了.[back23@vpn.tg].makop后缀勒索病毒文件怎么恢复? 三.恢复案例介绍: 1. 被加密 ...
最新文章
- 分析 JDK 源码丨Java Thread
- (基础篇)数组的详解与使用
- 使用SQLPLUS生成HTML报表
- 报表服务扩展:基于WCF技术的报表服务扩展
- 响应函数sys_xxx
- 组态档(configuration file)与建构档
- C#中对txt文件的读写操作
- python连接sql server报20002错误_python - 如何修复pymssql中的“20002,严重性9:Adaptive Server连接失败”错误 - 堆栈内存溢出...
- 订餐系统java+mybatis+mysql8项目练习(二) 添加订单项
- 测试团队的建设和管理
- 23种设计模式(15):备忘录模式
- php and mysql登录注册页面
- 论文浅尝 | DKN: 面向新闻推荐的深度知识感知网络
- vue项目中使用地址选择插件v-distpicker,省市区三级联动选择
- 结对编程java实现四则运算(张铭 吴昊)
- 有哪些好用的设备巡检类的软件?
- 移动端px和rem的换算
- 如果三国人物做互联网
- DIY-BETAFPV和DIY(ESP-01F+E19-900M20S2模块)915MHz信号测试对比
- 维基百科,自由的百科全书 正则表达式
热门文章
- 下载蓝盒插件_Fredo6插件下载 FredoTools(Fredo工具箱) 3.8c for Sketchup 中文免费版 下载-脚本之家...
- 使用raw input 代替全局键盘钩子
- 武候祠:一千七百年的沉思
- 《论语》原文及其全文翻译 学而篇13
- AndroidX86模拟器Genymotion的一些使用和另一款Andy模拟器
- 二进制八进制相互转换
- 群晖jellyfin外网访问
- 按键精灵入门指引——应用导向学习
- 使用MATLAB画出地球仪图形
- STM32蓝牙控制循迹避障小车源代码——3.舵机、超声波测距模块