成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

LockFile勒索軟件使用前所未有的加密技術逃避檢測

DandJ / 950人閱讀

摘要:而且此前從未見過在勒索軟件攻擊中使用間歇性加密。在那里發(fā)現(xiàn)了勒索軟件的主要功能,第一部分初始化了一個加密庫,可能將其用于其加密功能。

研究人員在Microsoft Exchange服務器中發(fā)現(xiàn)ProxyShell漏洞之后,發(fā)現(xiàn)了一種新型勒索軟件。這種被稱為LockFile的威脅軟件使用獨特的“間歇性加密”方法來逃避檢測,并采用以前勒索軟件團伙的策略。

Sophos研究人員發(fā)現(xiàn),LockFile勒索軟件會對文件的每16個字節(jié)進行加密,這意味著一些勒索軟件保護解決方案不會注意到它,因為“加密的文檔在統(tǒng)計上看起來與未加密的原始文檔非常相似?!倍摇按饲皬奈匆娺^在勒索軟件攻擊中使用間歇性加密?!?/p>

早在之前一份報告中研究人員解釋說,勒索軟件首先利用未修補的ProxyShell漏洞,然后使用所謂的 PetitPotam NTLM中繼攻擊來控制受害者的域。在這種類型的攻擊中,攻擊者使用 Microsoft 的加密文件系統(tǒng)遠程協(xié)議 (MS-EFSRPC) 連接到服務器,劫持身份驗證會話,并操縱結果,使服務器相信攻擊者擁有合法的訪問權限。

研究人員發(fā)現(xiàn),LockFile還具有先前勒索軟件的一些屬性以及其他策略,例如為了隱藏其惡意活動,不需要連接到命令和控制中心來通信。

“與WastedLocke和Maze勒索軟件一樣,LockFile勒索軟件使用內存映射輸入/輸出(I/O)來加密文件,這項技術允許勒索軟件無形中 加密內存中的緩存文檔,并導致操作系統(tǒng)寫入加密文檔,而檢測技術會發(fā)現(xiàn)的磁盤I/O最少?!?/p>

深度潛藏

研究人員使用他們在VirusTotal上發(fā)現(xiàn)的帶有SHA-256哈希的“bf315c9c064b887ee3276e1342d43637d8c0e067260946db45942f39b970d7ce”的勒索軟件樣本來分析LockFile。在打開時,示例似乎只有三個功能和三個部分。

第一部分名為OPEN,不包含任何數(shù)據(jù)——只有零。第二部分,CLSE,包含了示例的三個函數(shù)。然而,研究人員表示,該部分的其他數(shù)據(jù)都是編碼的代碼,稍后將被解碼并放在“OPEN”部分,研究人員對此進行了深入研究。

“entry()函數(shù)很簡單,它調用FUN_1400d71c0():,”研究人員寫道。FUN_1400d71c0()函數(shù)將CLSE部分的數(shù)據(jù)解碼,并將其放入OPEN部分。它還解析必要的dll和函數(shù)。然后它操作IMAGE_SCN_CNT_UNINITIALIZED_DATA值并跳轉到OPEN部分中的代碼。”

研究人員使用WinDbg和.writemem將OPEN部分寫入磁盤,以靜態(tài)分析開源逆向工程工具Ghidra中的代碼。在那里發(fā)現(xiàn)了勒索軟件的主要功能,第一部分初始化了一個加密庫,LockFile可能將其用于其加密功能。

然后,勒索軟件使用Windows管理界面(WMI)命令行工具WMIC.EXE(它是每個 Windows 安裝程序的一部分)終止所有名稱中包含vmwp的進程,并對虛擬化軟件和數(shù)據(jù)庫相關的其他關鍵業(yè)務流程重復這一過程。

“通過利用WMI,勒索軟件本身與這些典型的關鍵業(yè)務流程的突然終止沒有直接關聯(lián),”他們解釋說?!敖K止這些進程將確保相關文件/數(shù)據(jù)庫上的鎖被釋放,從而為惡意加密做好準備?!?/p>

研究人員表示,LockFile將加密文件重命名為小寫,并添加了 .lockfile 文件擴展名,還包括一個HTML應用程序 (HTA) 勒索信,看起來與LockBit 2.0的勒索信非常相似。

lockfile-fig11.png

“在其勒索信中,LockFile 攻擊者要求受害者聯(lián)系特定的電子郵件地址:contact[@]contipauper.com,”他們說,并補充說該域名似乎是在8月16日創(chuàng)建的,似乎是對仍然活躍的競爭勒索軟件集團康迪幫(Conti Gang)的“貶義詞”。

間歇性加密

根據(jù)研究人員的說法,LockFile與競爭對手最大的區(qū)別并不是它本身實現(xiàn)了部分加密——就像LockBit 2.0、DarkSide和BlackMatter勒索軟件一樣。讓LockFile與眾不同的是它采用這種加密方式的獨特之處,這是以前從未在勒索軟件中觀察到的。

“LockFile的不同之處在于它不加密前幾個塊,相反,LockFile每隔16個字節(jié)就對文檔進行加密。這意味著文本文檔仍然部分可讀。”

這種方法的“優(yōu)勢”在于它可以避開一些使用所謂的“卡方 (chi^2)”分析的勒索軟件保護技術,從而逃過這種分析的統(tǒng)計方式從而混淆了它。

一個481 KB的未加密文本文件(比如一本書)的chi^2分數(shù)為3850061,如果文檔被DarkSide勒索軟件加密,它的chi^2分數(shù)將為334,這說明文檔已被加密。如果同一個文檔被LockFile勒索軟件加密,它的chi^2分數(shù)仍然會很高,為1789811。

一旦加密了機器上的所有文檔,LockFile就會消失得無影無蹤,并通過PING命令自動刪除。這意味著,在勒索軟件攻擊之后,安防人員或防病毒軟件都無法找到或清理勒索軟件二進制文件。

勒索軟件的攻擊技術和手段愈發(fā)難以預測,這也提醒企業(yè)在做網(wǎng)絡安全防護時不能僅靠傳統(tǒng)殺毒軟件或防御設備,同時也應加強相應軟件自身安全性。隨著《數(shù)據(jù)安全法》及《關鍵信息基礎設施安全保護條例》的施行,對各企業(yè)機構的網(wǎng)絡安全建設及管理提出更高要求。

軟件安全是網(wǎng)絡安全最后一道防線,數(shù)據(jù)顯示,90%的網(wǎng)絡安全事件均與軟件代碼安全漏洞有關,因此在軟件開發(fā)階段不斷通過安全可信的靜態(tài)代碼檢測工具發(fā)現(xiàn)并修改安全漏洞,提高軟件自身安全來降低安全風險已成為國際共識。但目前仍有很多軟件開發(fā)企業(yè)僅重視開發(fā)效率及功能等,這在一定程度上不但會造成軟件存在安全隱患,同時一旦發(fā)生網(wǎng)絡攻擊,將為企業(yè)帶來難以估量的損失和影響。Wukong(悟空)靜態(tài)代碼檢測工具,從源碼開始,為您的軟件安全保駕護航!

參讀鏈接:

www.woocoom.com/b021.html?i…

threatpost.com/lockfile-ra…

securityaffairs.co/wordpress/1…

文章版權歸作者所有,未經(jīng)允許請勿轉載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉載請注明本文地址:http://systransis.cn/yun/119027.html

相關文章

  • Microsoft Exchange服務器被新的LockFile勒索軟件入侵

    摘要:在利用最近披露的漏洞入侵服務器后,一個名為的新的勒索軟件團伙對域進行加密。據(jù)上周報道,這導致攻擊者積極使用漏洞掃描并攻擊微軟服務器。超過臺服務器易受攻擊盡管微軟在今年月和月修補了這三個漏洞。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidd...

    番茄西紅柿 評論0 收藏2637

  • 繼上一批高調勒索軟件消失后 這7個新的勒索軟件繼承雙重勒索

    摘要:在今年年中一系列高調的攻擊之后,一些規(guī)模龐大臭名昭著的勒索軟件銷聲匿跡了。與往常一樣,新的勒索軟件團伙定期亮相。不要指望勒索軟件真正消失,與其期待控制勒索軟件不如加強自身防御。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;...

    Barry_Ng 評論0 收藏0

  • 金融科技行業(yè)網(wǎng)絡安全威脅概覽

    摘要:在眾多端點威脅中,針對金融部門的最常見的持續(xù)攻擊是網(wǎng)絡釣魚和勒索軟件攻擊。通過研究,影響金融行業(yè)的勒索軟件攻擊和數(shù)據(jù)泄露的趨勢表明,勒索軟件組是最活躍的。針對金融機構的累計攻擊次數(shù)達起,涉及個勒索軟件組織。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;ove...

    xietao3 評論0 收藏0

  • 航運巨頭CMA CGM遭遇第二次勒索襲擊 姓名、電話等遭泄露

    摘要:法國航運公司周一報道稱,該公司遭遇數(shù)據(jù)泄露,而就在近一年前,該公司曾遭遇勒索軟件攻擊,導致系統(tǒng)離線數(shù)日??偛课挥诜▏R賽。當時,網(wǎng)站報道稱,它已通過該公司確認這次攻擊是由勒索軟件團伙發(fā)起的。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidd...

    番茄西紅柿 評論0 收藏2637

發(fā)表評論

0條評論

最新活動
閱讀需要支付1元查看
<