關注我們
QRcode 郵件聯系

分析勒索軟件Cerber的攻擊方法

 feng  4,058 ℃  1條點評


分析勒索軟件Cerber的攻擊方法

分析勒索軟件Cerber的攻擊方法

勒索軟件是進行網上勒索的常用方法,通常情況下,用戶將無法與他們的文件、程序或系統進行交互,直到他們付錢。加密貨幣,如比特幣,則直接促成了這種形式?;贔ireEye的動態威脅感知(DTI)系統的數據,從2015年中,勒索活動的數量正在相當穩定地增長。


在2016年6月10日,FireEye的HX檢測到一次Cerber勒索行為,它涉及到分布在電子郵件中的一個惡意Word文檔。如果收件人打開了文檔,惡意宏就會連接到攻擊者控制的網站,并下載安裝Cerber家族的勒索軟件。


漏洞衛士是FireEye終端安全(HX)的新特性,它能檢測到威脅,并警告用戶他們受到了感染,使企業能夠阻止Cerber的部署。進一步調查后,FireEye的研究團隊與安全機構荷蘭CERT,以及在不知情的情況下提供了Cerber安裝的主機,并且能夠在檢測到活動的數小時內關閉Cerber命令與控制(C2)實例的網站托管服務提供商開始了工作。攻擊者控制的服務器離線時,配置為下載的宏和其他惡意載荷將無法用勒索軟件感染用戶。


雖然攻擊者能夠配置一個或更多額外的C2服務器來隨時恢復勒索活動,但在關閉C2服務器后,FireEye還沒有看到來自攻擊者任何額外的感染行為。這種獨特現象在3個不同的FireEye終端安全客戶的6個不同終端上被觀察到。HX被證明能有效檢測和阻止Cerber的成功。


攻擊進程


我們觀察到的Cerber的攻擊周期大體上可以分為八個步驟:

1. 目標收到并打開了一個Word文檔。

2. 在文檔中的宏被調用,來在隱藏模式下運行PowerShell。

3. 控制命令傳遞給PowerShell,使其連接到惡意站點并下載勒索軟件。

4. 成功連接后,勒索軟件被寫入受害者的磁盤。

5. PowerShell運行勒索軟件。

6. 勒索軟件通過創建命令行、屏幕保護程序、startup.run和runonce注冊表項來配置多個并行的持續機制。

7. 該程序使用本地Windows工具,如WMIC和VSSAdmin,來刪除備份和卷影副本。

8. 加密文件并給用戶發送消息要求付款。


漏洞衛士在上述攻擊周期的絕大部分步驟上提供全方位保護——在這種情況下從第二步開始,而不是等到第四步或第五步開始攻擊時再進行防護。


發送勒索軟件最常用的方法是利用嵌入了宏的Word文檔或Microsoft Office 漏洞。FireEye漏洞衛士能在攻擊周期的開始階段就檢測到它們。


PowerShell的濫用

當受害者打開附加的Word文檔時,惡意宏將會寫一小塊的VBScript到內存中并執行它。該VBScript運行PoweShell來連接到攻擊者控制的服務器,并下載勒索軟件(profilest.exe),如圖1:

分析勒索軟件Cerber的攻擊方法

圖1.Cerber運行順序——宏負責調用Powershell,Powershell下載并運行勒索軟件。


威脅者使用惡意宏來感染用戶變得越來越普遍,因為大多數企業允許宏從在線Office文檔運行。


在這種情況下,我們觀察到的宏代碼調用PowerShell來繞過執行策略——在隱藏和加密模式下運行——使PowerShell在受害者不知情的情況下下載和運行勒索軟件。


對鏈接和可執行文件的進一步調查顯示,每過幾秒鐘,勒索軟件的哈希值就會基于更新的時間戳和不同的附加數據字節變更——這種技術通常用來逃避基于哈希值的檢測。


Cerber在行動

有效載荷的最初行為

運行時,Cerber將會檢查它的啟動目錄。除非它是從一個特定目錄(%APPDATA%/<GUID>)啟動,否則它將在受害者的%APPDATA%目錄下,以一個從%WINDIR%/system32文件夾隨機獲取的文件名創建它自己的副本。

當它從上述的特定目錄啟動,并清除了從內部列表得到的黑名單文件名后,它會使用從“system32”目錄偽隨機選擇的名字,創建一個重命名過的副本到“%APPDATA%/<GUID>”目錄。然后它執行新位置的軟件,并在結束后清理。

卷影刪除

如同其他勒索軟件,Cerber會繞過UAC檢查,刪除所有卷影副本,并禁用安全啟動選項。Cerber利用各個參數運行以下進程來實現這一點:

· Vssadmin.exe "delete shadows /all /quiet"

· WMIC.exe "shadowcopy delete"

· Bcdedit.exe "/set {default} recoveryenabled no"

· Bcdedit.exe "/set {default} bootstatuspolicy ignoreallfailures

脅迫

人們可能會問,為什么受害者要向威脅者支付贖金。在某些情況下,他們就是單純地想要拿回文件,但在其他情況下,受害者可能覺得受到脅迫甚至恐嚇。我們注意到了在這次行動中所使用的戰術,受害人在被Cerber感染后將會收到如圖2所示的信息。

分析勒索軟件Cerber的攻擊方法

圖2.文件被加密后受害者受到的消息

勒索軟件的作者試圖讓受害者更快地付款——在一定時間內付款可以得到50%的折扣,如圖3。

分析勒索軟件Cerber的攻擊方法

 

圖3.向受害者要求贖金,在5天之內打折

多語言支持

如圖4所示,Cerber用12種語言展現信息和說明,這表示這次攻擊是全球性的。

分析勒索軟件Cerber的攻擊方法

圖4.受害者支付贖金的頁面支持12種語言

加密

Cerber針對294種不同的文件拓展名加密,包括.doc(典型的Microsoft Word文檔)、.ppt(通常的Microsoft PowerPoint幻燈片)、.jpg和其他圖像文件。它同樣針對金融文件格式,例如.ibank(用于某些個人金融管理軟件)和.wallet(用于比特幣)。

選擇性靶向

在這次行動中使用了選擇性靶向。攻擊者被觀察到使用如ipinfo.io的在線服務,來驗證主機的公網IP的國家代碼,以針對JSON配置文件中黑名單里的國家。黑名單(受保護)國家包括:亞美尼亞、阿塞拜疆、白俄羅斯、格魯吉亞、吉爾吉斯斯坦、哈薩克斯坦、摩爾多瓦、俄羅斯、土庫曼斯坦、塔吉克斯坦、烏克蘭和烏茲別克斯坦。

這次襲擊同樣檢查了系統鍵盤布局,來進一步確保避免感染攻擊者地理位置的機器:1049-俄語、1058-烏克蘭語、1059-白俄羅斯語、1064-塔吉克語、1067-亞美尼亞語、1068-阿塞拜疆語(拉丁語)、1079-格魯吉亞語、1087-哈薩克語、1088-吉爾吉斯語(西里爾文)、1090-土庫曼語、1091-烏茲別克語(拉丁語)、2072-羅馬尼亞語(摩爾多瓦)、2073-俄語(摩爾多瓦)、2092-阿塞拜疆語(西里爾文)、2115-烏茲別克語(西里爾文)。

選擇性靶向歷來被用于阻止惡意軟件感染作者所在地理區域內的終端,同時保護他們免受當局的怒火。威脅者同樣使用這種技術控制風險。在這種情況下,有理由懷疑威脅者處在俄羅斯或周邊地區。

反虛擬機檢查

勒索軟件會搜索一系列連接模塊、特定的文件名和路徑以及已知的沙箱序列號,包括:sbiedll.dll、dir_watch.dll、api_log.dll、dbghelp.dll、Frz_State、C:/popupkiller.exe、C:/stimulator.exe、C:/TOOLS/execute.exe、/sand-box/、/cwsandbox/、/sandbox/、0CD1A40、6CBBC508、774E1682、837F873E、8B6F64BC。

除了上述的檢查和黑名單,還有一個備用選項,讓有效載荷在被感染的機器啟動加密程序前延遲運行。這種技術很可能被實施,來進一步避免在沙箱環境中被檢測到。

持續性

一旦執行,Cerber將部署以下持續的技術來確保系統保持感染:

· 添加一個注冊表項,使系統空閑時運行勒索軟件而非屏幕保護程序。

· “命令提示符”的自動運行鍵值被改為指向Cerber有效載荷,使得每當“cmd.exe”運行時,勒索軟件就會運行。

· 一個快捷方式(.lnk)文件被添加到啟動文件夾中。該文件目標為勒索軟件,并且會在用戶登入Windows后立刻執行。

· 常見的持續性方法,如run和runonce鍵也被使用。

穩固的防御

對于受到影響的企業來說,減輕勒索軟件的影響成為了重中之重,因為被動防御技術,如基于簽名的控制,已經被證實是無效的。


惡意軟件作者已經證明了通過細微的二進制差異,編譯出的多種惡意軟件變體的超過大多數的終端控制的能力。通過使用替代的封裝器和編譯器,作者正在為研究人員和逆向工程師而加大努力。

不幸的是,這些努力并未奏效。


    有兩種方法減少感染的可能性,一是禁用網上的文檔對宏的支持,二是提高用戶的關注。如果可以的話,請阻止連接到你未明確列入白名單的網站。但是,這些控制可能不足以阻止所有的感染,或者在你的企業中不可行。

    FireEye終端安全和漏洞衛士有助于檢測勒索軟件進行攻擊(或其他威脅活動)時所利用的漏洞和技術,并提供更清楚的分析。這有助于你的安全團隊對更多類型的威脅進行更詳細的調查。這些信息能夠讓你的企業迅速阻止威脅,并根據需要調整防御。

結論

勒索軟件已經成為了一種越來越普遍和有效的攻擊方式。它能夠影響企業、影響工作效率以及阻止用戶訪問文件和數據。

減輕勒索軟件的威脅需要強大的終端控制,以及可能包括能讓安全人員迅速分析多個系統和關聯事件來識別和應對威脅的技術。

HX和漏洞衛士使用行為感知技術來加速這一進程,快速分析你的企業內的終端并警告你的團隊,使他們能夠進行調查并即時處理。

傳統的防御沒有所需的顆粒狀視圖,也不能連接起可能是攻擊步驟的單個謹慎過程。這需要行為感知技術來快速分析一大串進程并發出警告,從而使分析師和安全團隊能夠進行完整的調查,得知發生過什么,或者說正在發生什么。這只有在這些專業人士有合適的工具和對所有終端活動的觀察時,才能實時、有效的發現威脅的方方面面并處理它。此外,在FireEye,我們會更進一步,并聯系相關部門,來擊垮這類行為。

本文由 360安全播報 翻譯,轉載請注明“轉自360安全播報”,并附上鏈接。
原文鏈接:https://www.fireeye.com/blog/threat-research/2016/07/cerber-ransomware-attack.html

本文標簽:
?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)
我是如何打造一款自動化SQL注入工具的
Joy:一款用于捕獲和分析網絡內部流量數據的工具Joy:一款用于捕獲和分析網絡內部流量數據的工具One-Lin3r:懶人的福音,滲透測試單行化工具One-Lin3r:懶人的福音,滲透測試單行化工具EvilURL v2.0一個生成用于釣魚攻擊的IDN域名的工具EvilURL v2.0一個生成用于釣魚攻擊的IDN域名的工具國產網站惡意代碼監測(網馬監控)工具優化版國產網站惡意代碼監測(網馬監控)工具優化版

已有1條評論,歡迎點評!

smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley

  1. #1 sm

    寫的不錯, 還有類似的文章嗎

    2016-10-15 上午 2:34回復


河北家乡麻将下载 福州麻将用什么app 策略论坛 河北排列7走势图 湖人篮网拉塞尔 3171李逵劈鱼刷分 宁夏划水麻将群 今天深圳风采开奖结果 皇马街机电玩捕鱼 南昌麻将1毛微信群 安徽麻将和哪里麻将一样 辉煌棋牌最新网站 广东省快乐十分开奖 贵州快3技巧 腾讯时时彩官网开奖 重庆哪里卖麻将机的多 卡五星什么牌能点炮胡