趨勢科技技術分析:詳解無文件勒索病毒Sorebrect
導語:Fileless裡面注入勒索病毒會怎樣?趨勢科技詳細分析了一個無文件勒索病毒——Sorebrect。
Fileless威脅和ransomware並不是什麼新的東西,但是包含其特徵組合的惡意軟體卻可能成為一種新的危險。例如,我們最近發現的Fileless代碼注入ransomware – SOREBRECT。
事實上,我們是在今年第二季度初的監測中首次遇到SOREBRECT的,它對中東各個組織的系統和網路造成了很大的影響。而在我們提取和分析了SOREBRECT樣本之後,發現了它用來加密受害者數據的不尋常技術。當然,它濫用PsExec實用程序的做法也值得注意,SOREBRECT的運營者顯然是利用它來使得ransomware具有了代碼注入功能。
SOREBRECT所帶來的新威脅
雖然文件加密的是SOREBRECT的終端,但事實上能夠隱身才是其真正的利器—也就是SOREBRECT的自毀程序。惡意軟體在終止其主要二進位文件之前,將代碼注入到合法的系統進程(執行加密程序)中。SOREBRECT也會痛選擇苦地刪除受影響的系統的事件日誌和其他可以提供取證信息的東西,例如系統上執行的文件,包括其時間戳(即appcompat / shimcache和prefetch)。這些刪除阻止了分析,也阻止了SOREBRECT的活動被追蹤。
當我們第一次發現SOREBRECT時,我們觀察到一個比較低的分布情況,最初其主要集中在中東國家,如科威特和黎巴嫩。然而,到5月初,我們的感測器在加拿大,中國,克羅埃西亞,義大利,日本,墨西哥,俄羅斯,台灣和美國等地都檢測到了SOREBRECT。受影響的行業包括製造業,科技和電信行業。鑒於ransomware的潛在影響力和盈利能力,如果SOREBRECT在世界其他地區繼續擴散,那麼作為服務在地下網路犯罪世界中被販賣也就是理所當然的了。
選擇PsExec的原因
SOREBRECT的攻擊鏈涉及到濫用PsExec,它是一個合法的Windows命令行實用程序,可讓系統管理員在遠程系統上執行命令或運行可執行文件。濫用PsExec來安裝SOREBRECT表示管理員憑據已被破壞,或遠程計算機暴露或暴力破解。SOREBRECT不是第一個濫用PsExec的, SAMSAM , Petya ,以及它的衍生物, PetrWrap都是如此,而他們多數都是使用PSEXEC到受損的伺服器上或端點安裝勒索。
SOREBRECT通過惡意部署PsExec並執行代碼注入進一步增加了這一點。它將其代碼注入Windows的svchost.exe進程,而主要的二進位自毀。這一組合是有效的:一旦部署的ransomware二進位程序完成執行和自我終止,注入的合法Windows服務託管系統進程svchost.exe 就會恢復有效負載(文件加密)的執行。因為SOREBRECT在代碼注入後變得Fileless,所以在端點級別採集其二進位樣本是有挑戰性的。
那麼為什麼會選擇PsExec呢?原因就在於雖然攻擊者可以使用遠程桌面協議(RDP)和PsExec在受影響的機器中安裝SOREBRECT,但其代碼注入功能會使攻擊更有效。與使用RDP相比,利用PsExec更簡單,可以利用SOREBRECT的Fileless和代碼注入功能。PsExec可以使攻擊者能夠運行遠程執行的命令,而不是提供和使用整個互動式登錄會話,或手動將惡意軟體傳輸到遠程計算機,如RDP中。並且在SOREBRECT的情況下,攻擊者使用PsExec更有意義,因為一旦執行主二進位文件,svchost.exe進程注入惡意代碼仍然可以執行有效負載。
為了覆蓋其軌跡,SOREBRECT還會使用wevtutil.exe刪除系統的事件日誌,並使用vssadmin刪除副本。注入惡意代碼的svhost.exe進程執行payload來加密本地計算機和網路共享的文件。SOREBRECT使用Tor網路協議將其與命令和控制(C&C)伺服器的連接匿名化。
加密網路共享
SOREBRECT也可以通過本地網路擾亂連接到受感染機器的其他計算機的文件。它可以通過掃描網路進行資產發現和枚舉打開的共享,比如文件夾,內容或外圍設備(即印表機),以便其他人可以通過網路輕鬆訪問。一旦確定了一個活動主機,它會在發現該共享之後啟動一個連接。認證將成功,如果它是一個公開的並且已經設置了共享,使得連接到它的任何人都具有對它的讀寫訪問許可權,那麼共享也將被加密。
如何防範?
鑒於SOREBRECT可能對企業的伺服器和終端造成的潛在危害,IT /系統管理員和信息安全專業人員可以採取以下這些最佳做法來防禦ransomware:
1、限制用戶寫入許可權。將網路共享暴露給ransomware的一個重要因素是向用戶授予完全許可權。因此限制它們可以防止ransomware通過網路執行其文件加密常式。查看域中每個用戶的許可權是一個很好的起點。這需要評估Active Directory中的每個用戶帳戶/組,並提供必要的許可權級別。我們還建議在網路上配置共享文件和文件夾的安全性(例如,不要設置任何人可以輕鬆訪問的文件夾)。
2、限制PsExec的許可權。PsExec通常用於企業網路,為系統管理員提供了與遠程機器交互的靈活性。然而,正如其創建者所指出的那樣,在網路犯罪分子手中,它可以提供一種在遠程系統內使用受到侵害的憑據進行界面和橫向移動的方式。這將最終使他們能夠安裝和傳播諸如贖金的威脅。限制和保護使用諸如PsExec之類的工具和服務,並提供將其僅運行到真正需要它的管理員帳戶的許可權,有助於減輕濫用PsExec的威脅。
3、備份文件。網路犯罪分子往往使用重要和個人數據的潛在損失作為恐嚇手段來強迫受害者支付贖金。因此公司和個人用戶可以備份文件以消除其影響力:至少保留三份副本,其中兩個存儲在不同的設備中,另一個存儲在非現場或安全位置。
4、保持系統和網路更新。確保操作系統,軟體和其他應用程序是最新的補丁,阻止威脅將安全漏洞用作系統或網路的門戶。這一問題已經被惡意軟體(例如 WannaCry, UIWIX和Adylkuzz)所利用。另外在沒有補丁的情況下使用虛擬補丁也可以考慮。
5、培養具有網路安全意識的員工隊伍,內部培訓和宣傳有助於提高每個人的安全意識。像其他惡意軟體一樣,ransomware的入口通常通過電子郵件和惡意的下載或域名。所以組織單位應定期進行培訓,確保員工對公司安全政策,程序和最佳做法有深入的了解。
6、部署多層安全機制。隨著贖金在威脅形勢的成熟,我們只能期望它在攻擊方法和目標方面不要繼續多樣化。ransomware沒有很好的利器,這就是為什麼企業需要採取深入的防禦性方法來安全地採取主動安全機制。數據分類和網路分割有助於減輕暴露時的損害。雖然高級沙箱可以提供隔離和分析未知或可疑文件的方法,但應用程序控制和行為監控也可以防止可疑文件執行並阻止對系統的不必要的修改。
本文翻譯自:Analyzing the Fileless, Code-injecting SOREBRECT Ransomware - TrendLabs Security Intelligence Blog,如若轉載,請註明來源於嘶吼: 趨勢科技技術分析:詳解無文件勒索病毒Sorebrect 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※如何利用 DLL hijack 輕鬆繞過AMSI?
※如何使用SilentCleanup繞過UAC?
※Windows惡意軟體API調用特徵分析
※初探域滲透神器Empire