亚洲中字慕日产2020,大陆极品少妇内射AAAAAA,无码av大香线蕉伊人久久,久久精品国产亚洲av麻豆网站

資訊專欄INFORMATION COLUMN

LockFile勒索軟件使用前所未有的加密技術(shù)逃避檢測(cè)

DandJ / 1141人閱讀

摘要:而且此前從未見過在勒索軟件攻擊中使用間歇性加密。在那里發(fā)現(xiàn)了勒索軟件的主要功能,第一部分初始化了一個(gè)加密庫(kù),可能將其用于其加密功能。

研究人員在Microsoft Exchange服務(wù)器中發(fā)現(xiàn)ProxyShell漏洞之后,發(fā)現(xiàn)了一種新型勒索軟件。這種被稱為L(zhǎng)ockFile的威脅軟件使用獨(dú)特的“間歇性加密”方法來逃避檢測(cè),并采用以前勒索軟件團(tuán)伙的策略。

Sophos研究人員發(fā)現(xiàn),LockFile勒索軟件會(huì)對(duì)文件的每16個(gè)字節(jié)進(jìn)行加密,這意味著一些勒索軟件保護(hù)解決方案不會(huì)注意到它,因?yàn)椤凹用艿奈臋n在統(tǒng)計(jì)上看起來與未加密的原始文檔非常相似?!倍摇按饲皬奈匆娺^在勒索軟件攻擊中使用間歇性加密?!?/p>

早在之前一份報(bào)告中研究人員解釋說,勒索軟件首先利用未修補(bǔ)的ProxyShell漏洞,然后使用所謂的 PetitPotam NTLM中繼攻擊來控制受害者的域。在這種類型的攻擊中,攻擊者使用 Microsoft 的加密文件系統(tǒng)遠(yuǎn)程協(xié)議 (MS-EFSRPC) 連接到服務(wù)器,劫持身份驗(yàn)證會(huì)話,并操縱結(jié)果,使服務(wù)器相信攻擊者擁有合法的訪問權(quán)限。

研究人員發(fā)現(xiàn),LockFile還具有先前勒索軟件的一些屬性以及其他策略,例如為了隱藏其惡意活動(dòng),不需要連接到命令和控制中心來通信。

“與WastedLocke和Maze勒索軟件一樣,LockFile勒索軟件使用內(nèi)存映射輸入/輸出(I/O)來加密文件,這項(xiàng)技術(shù)允許勒索軟件無形中 加密內(nèi)存中的緩存文檔,并導(dǎo)致操作系統(tǒng)寫入加密文檔,而檢測(cè)技術(shù)會(huì)發(fā)現(xiàn)的磁盤I/O最少?!?/p>

深度潛藏

研究人員使用他們?cè)赩irusTotal上發(fā)現(xiàn)的帶有SHA-256哈希的“bf315c9c064b887ee3276e1342d43637d8c0e067260946db45942f39b970d7ce”的勒索軟件樣本來分析LockFile。在打開時(shí),示例似乎只有三個(gè)功能和三個(gè)部分。

第一部分名為OPEN,不包含任何數(shù)據(jù)——只有零。第二部分,CLSE,包含了示例的三個(gè)函數(shù)。然而,研究人員表示,該部分的其他數(shù)據(jù)都是編碼的代碼,稍后將被解碼并放在“OPEN”部分,研究人員對(duì)此進(jìn)行了深入研究。

“entry()函數(shù)很簡(jiǎn)單,它調(diào)用FUN_1400d71c0():,”研究人員寫道。FUN_1400d71c0()函數(shù)將CLSE部分的數(shù)據(jù)解碼,并將其放入OPEN部分。它還解析必要的dll和函數(shù)。然后它操作IMAGE_SCN_CNT_UNINITIALIZED_DATA值并跳轉(zhuǎn)到OPEN部分中的代碼?!?/p>

研究人員使用WinDbg和.writemem將OPEN部分寫入磁盤,以靜態(tài)分析開源逆向工程工具Ghidra中的代碼。在那里發(fā)現(xiàn)了勒索軟件的主要功能,第一部分初始化了一個(gè)加密庫(kù),LockFile可能將其用于其加密功能。

然后,勒索軟件使用Windows管理界面(WMI)命令行工具WMIC.EXE(它是每個(gè) Windows 安裝程序的一部分)終止所有名稱中包含vmwp的進(jìn)程,并對(duì)虛擬化軟件和數(shù)據(jù)庫(kù)相關(guān)的其他關(guān)鍵業(yè)務(wù)流程重復(fù)這一過程。

“通過利用WMI,勒索軟件本身與這些典型的關(guān)鍵業(yè)務(wù)流程的突然終止沒有直接關(guān)聯(lián),”他們解釋說。“終止這些進(jìn)程將確保相關(guān)文件/數(shù)據(jù)庫(kù)上的鎖被釋放,從而為惡意加密做好準(zhǔn)備?!?/p>

研究人員表示,LockFile將加密文件重命名為小寫,并添加了 .lockfile 文件擴(kuò)展名,還包括一個(gè)HTML應(yīng)用程序 (HTA) 勒索信,看起來與LockBit 2.0的勒索信非常相似。

lockfile-fig11.png

“在其勒索信中,LockFile 攻擊者要求受害者聯(lián)系特定的電子郵件地址:contact[@]contipauper.com,”他們說,并補(bǔ)充說該域名似乎是在8月16日創(chuàng)建的,似乎是對(duì)仍然活躍的競(jìng)爭(zhēng)勒索軟件集團(tuán)康迪幫(Conti Gang)的“貶義詞”。

間歇性加密

根據(jù)研究人員的說法,LockFile與競(jìng)爭(zhēng)對(duì)手最大的區(qū)別并不是它本身實(shí)現(xiàn)了部分加密——就像LockBit 2.0、DarkSide和BlackMatter勒索軟件一樣。讓LockFile與眾不同的是它采用這種加密方式的獨(dú)特之處,這是以前從未在勒索軟件中觀察到的。

“LockFile的不同之處在于它不加密前幾個(gè)塊,相反,LockFile每隔16個(gè)字節(jié)就對(duì)文檔進(jìn)行加密。這意味著文本文檔仍然部分可讀?!?/p>

這種方法的“優(yōu)勢(shì)”在于它可以避開一些使用所謂的“卡方 (chi^2)”分析的勒索軟件保護(hù)技術(shù),從而逃過這種分析的統(tǒng)計(jì)方式從而混淆了它。

一個(gè)481 KB的未加密文本文件(比如一本書)的chi^2分?jǐn)?shù)為3850061,如果文檔被DarkSide勒索軟件加密,它的chi^2分?jǐn)?shù)將為334,這說明文檔已被加密。如果同一個(gè)文檔被LockFile勒索軟件加密,它的chi^2分?jǐn)?shù)仍然會(huì)很高,為1789811。

一旦加密了機(jī)器上的所有文檔,LockFile就會(huì)消失得無影無蹤,并通過PING命令自動(dòng)刪除。這意味著,在勒索軟件攻擊之后,安防人員或防病毒軟件都無法找到或清理勒索軟件二進(jìn)制文件。

勒索軟件的攻擊技術(shù)和手段愈發(fā)難以預(yù)測(cè),這也提醒企業(yè)在做網(wǎng)絡(luò)安全防護(hù)時(shí)不能僅靠傳統(tǒng)殺毒軟件或防御設(shè)備,同時(shí)也應(yīng)加強(qiáng)相應(yīng)軟件自身安全性。隨著《數(shù)據(jù)安全法》及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》的施行,對(duì)各企業(yè)機(jī)構(gòu)的網(wǎng)絡(luò)安全建設(shè)及管理提出更高要求。

軟件安全是網(wǎng)絡(luò)安全最后一道防線,數(shù)據(jù)顯示,90%的網(wǎng)絡(luò)安全事件均與軟件代碼安全漏洞有關(guān),因此在軟件開發(fā)階段不斷通過安全可信的靜態(tài)代碼檢測(cè)工具發(fā)現(xiàn)并修改安全漏洞,提高軟件自身安全來降低安全風(fēng)險(xiǎn)已成為國(guó)際共識(shí)。但目前仍有很多軟件開發(fā)企業(yè)僅重視開發(fā)效率及功能等,這在一定程度上不但會(huì)造成軟件存在安全隱患,同時(shí)一旦發(fā)生網(wǎng)絡(luò)攻擊,將為企業(yè)帶來難以估量的損失和影響。Wukong(悟空)靜態(tài)代碼檢測(cè)工具,從源碼開始,為您的軟件安全保駕護(hù)航!

參讀鏈接:

www.woocoom.com/b021.html?i…

threatpost.com/lockfile-ra…

securityaffairs.co/wordpress/1…

文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/119027.html

相關(guān)文章

  • Microsoft Exchange服務(wù)器被新的LockFile勒索軟件入侵

    摘要:在利用最近披露的漏洞入侵服務(wù)器后,一個(gè)名為的新的勒索軟件團(tuán)伙對(duì)域進(jìn)行加密。據(jù)上周報(bào)道,這導(dǎo)致攻擊者積極使用漏洞掃描并攻擊微軟服務(wù)器。超過臺(tái)服務(wù)器易受攻擊盡管微軟在今年月和月修補(bǔ)了這三個(gè)漏洞。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidd...

    番茄西紅柿 評(píng)論0 收藏2637

  • 繼上一批高調(diào)勒索軟件消失后 這7個(gè)新的勒索軟件繼承雙重勒索

    摘要:在今年年中一系列高調(diào)的攻擊之后,一些規(guī)模龐大臭名昭著的勒索軟件銷聲匿跡了。與往常一樣,新的勒索軟件團(tuán)伙定期亮相。不要指望勒索軟件真正消失,與其期待控制勒索軟件不如加強(qiáng)自身防御。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;...

    Barry_Ng 評(píng)論0 收藏0

  • 金融科技行業(yè)網(wǎng)絡(luò)安全威脅概覽

    摘要:在眾多端點(diǎn)威脅中,針對(duì)金融部門的最常見的持續(xù)攻擊是網(wǎng)絡(luò)釣魚和勒索軟件攻擊。通過研究,影響金融行業(yè)的勒索軟件攻擊和數(shù)據(jù)泄露的趨勢(shì)表明,勒索軟件組是最活躍的。針對(duì)金融機(jī)構(gòu)的累計(jì)攻擊次數(shù)達(dá)起,涉及個(gè)勒索軟件組織。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;ove...

    xietao3 評(píng)論0 收藏0

  • 航運(yùn)巨頭CMA CGM遭遇第二次勒索襲擊 姓名、電話等遭泄露

    摘要:法國(guó)航運(yùn)公司周一報(bào)道稱,該公司遭遇數(shù)據(jù)泄露,而就在近一年前,該公司曾遭遇勒索軟件攻擊,導(dǎo)致系統(tǒng)離線數(shù)日。總部位于法國(guó)馬賽。當(dāng)時(shí),網(wǎng)站報(bào)道稱,它已通過該公司確認(rèn)這次攻擊是由勒索軟件團(tuán)伙發(fā)起的。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidd...

    番茄西紅柿 評(píng)論0 收藏2637

發(fā)表評(píng)論

0條評(píng)論

最新活動(dòng)
閱讀需要支付1元查看
<