WastedLocker勒索軟件活動(dòng)的實(shí)例分析

這篇文章將為大家詳細(xì)講解有關(guān)WastedLocker勒索軟件活動(dòng)的實(shí)例分析，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

勒索軟件概述

近期，Unit42的研究人員觀察到了WastedLocker勒索軟件的活動(dòng)有所上升，自從2020年5月份WildFire對(duì)該勒索軟件的初始樣本進(jìn)行了分析之后，該活動(dòng)的頻率在近期有所增加。WastedLocker這個(gè)勒索軟件跟Samsa、Maze、EKANS、Ryuk和BitPaymer等勒索軟件類似，它們跟那些大規(guī)模感染目標(biāo)用戶的勒索軟件不同，比如說(shuō)WannaCry。WastedLocker這類勒索軟件的目標(biāo)一般是擁有大量資產(chǎn)的組織，通過(guò)在短時(shí)間內(nèi)將精心編制的勒索軟件盡可能多地部署到目標(biāo)組織的內(nèi)部系統(tǒng)中，以盡可能多地獲取數(shù)據(jù)贖金。

攻擊目標(biāo)

研究人員根據(jù)威脅情報(bào)平臺(tái)提供的信息，AutoFocus和Unit42已經(jīng)能夠確定WastedLocker背后的攻擊者主要的攻擊目標(biāo)了。其中，大部分目標(biāo)組織都位于美國(guó)境內(nèi)，這些組織涵蓋了多個(gè)領(lǐng)域，包括專業(yè)的法律服務(wù)機(jī)構(gòu)、公共事業(yè)單位、能源產(chǎn)業(yè)、制造業(yè)、批發(fā)和零售業(yè)、高科技公司、工程公司、制藥和生命科學(xué)公司，以及運(yùn)輸和物流業(yè)等等。

技術(shù)細(xì)節(jié)分析

初始感染向量

根據(jù)賽門鐵克之前對(duì)WastedLocker的分析，WastedLocker攻擊活動(dòng)種最常見(jiàn)的初始感染機(jī)制是通過(guò)一個(gè)偽裝成合法軟件升級(jí)ZIP文件來(lái)是西安的，這個(gè)文件種包含了惡意SocGholish JavaScript框架加載器組件，它能夠分析目標(biāo)用戶的計(jì)算機(jī)系統(tǒng)，并使用PowerShell來(lái)部署最終的Cobalt Strike Payload。

橫向活動(dòng)

當(dāng)Cobalt Strike Payload成功在目標(biāo)用戶的系統(tǒng)中安裝之后，攻擊者將會(huì)利用這個(gè)Payload在目標(biāo)用戶的網(wǎng)絡(luò)系統(tǒng)中進(jìn)行橫向滲透活動(dòng)，并幫助攻擊者識(shí)別出其他可以攻擊的系統(tǒng)。除此之外，研究人員還發(fā)現(xiàn)WastedLocker攻擊者會(huì)試用合法的Windows實(shí)用工具來(lái)進(jìn)行攻擊，比如說(shuō)WMI和PsExec等等。對(duì)于那些價(jià)值比較高的勒索軟件目標(biāo)用戶來(lái)說(shuō)，攻擊者還會(huì)直接去攻擊目標(biāo)用戶面向客戶的財(cái)務(wù)/業(yè)務(wù)操作系統(tǒng)，以及那些具有高可見(jiàn)性和高使用率的內(nèi)部系統(tǒng)，其中也包括數(shù)據(jù)備份系統(tǒng)。

最終的攻擊Payload

最后，一旦攻擊者完成了針對(duì)目標(biāo)網(wǎng)絡(luò)的充分偵察之后，攻擊者就會(huì)利用一個(gè)或多個(gè)系統(tǒng)管理工具來(lái)安裝部署WastedLocker勒索軟件Payload。當(dāng)惡意Payload在目標(biāo)主機(jī)中執(zhí)行之后，勒索軟件將會(huì)做以下幾件事情：

• 如果勒索軟件沒(méi)有管理員權(quán)限時(shí)，惡意軟件將會(huì)嘗試在目標(biāo)系統(tǒng)中提升權(quán)限；

• 惡意軟件會(huì)嘗試禁用目標(biāo)系統(tǒng)中的Windows Defender監(jiān)控進(jìn)程；

• 刪除目標(biāo)系統(tǒng)中的卷影拷貝副本文件；

• 將勒索軟件/惡意軟件安裝為系統(tǒng)服務(wù)；

安裝完成之后，Payload的部署就已經(jīng)完成了，該加密的文件也已經(jīng)加密成功了。勒索軟件會(huì)使用“<victim name>wasted”作為加密文件的后綴名，不過(guò)包含了勒索信息詳情的提示文件后綴名為“<victim_name>wasted_info”。

我們對(duì)“*.wasted_info”勒索信息文件進(jìn)行了分析，我們發(fā)現(xiàn)其中的變量數(shù)據(jù)顯示在“<>”之間，這可能是因?yàn)槭褂肳astedLocker勒索軟件的攻擊者電子郵件可能會(huì)不同，相關(guān)的域名包括PROTONMAIL.CH、AIRMAIL.CC、ECLIPSO.CH、TUTANOTA.COM和PROTONMAIL.COM。

勒索信息樣本如下：

<victim name>

 

YOUR NETWORK IS ENCRYPTED NOW

 

USE <actor email 1> | <actor email 2> TO GET THE PRICE FOR YOUR DATA

 

DO NOT GIVE THIS EMAIL TO 3RD PARTIES

 

DO NOT RENAME OR MOVE THE FILE

 

THE FILE IS ENCRYPTED WITH THE FOLLOWING KEY:

 

[begin_key]<base64 encoded public key>[end_key]

 

KEEP IT

關(guān)于WastedLocker勒索軟件活動(dòng)的實(shí)例分析就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到。