勒索软件Snatch行使平安模式绕过杀毒软件

访客4年前关于黑客接单1084

  研究职员发现勒索软件Snatch可使Windows重新启动到平安模式来绕过平安珍爱。

  10月中旬,研究职员发现名为Snatch的勒索软件将自身设置为一个服务,并在平安模式指导时代运行。它可以快速地将盘算机重新启动到平安模式,并在大多数软件(包罗平安软件)不运行的平安模式环境中加密受害者的硬盘驱动器。

  

  点击图片查看原图

  Snatch勒索软件自年炎天以来一直很活跃,该恶意软件的平安模式启动是一个新增添的功效。恶意软件包罗一个勒索软件组件和一个单独的数据窃取器,这两个工具显然都是由 *** 罪犯开发的,此外另有几个公然的工具,这些工具自己并不是恶意的,通常被渗透测试职员、系统管理员或手艺职员使用。Snatch勒索软件不支持多平台,该软件可以运行在最常见的Windows版本上,从7到10,32位和64位版本。发现的样本是使用开源打包程序UPX打包,举行了内容混淆。

  恶意软件接纳自动自动攻击模式,他们通过对易存在破绽的服务举行自动暴力攻击来渗透企业 *** ,并在目的组织的 *** 内部举行流传。恶意软件在勒索的同时能够一直从目的组织窃取大量信息。

  Snatch小组成员曾经在线举行手艺讨论与寻找合作同伴,并免费培训其他人使用恶意软件,允许潜在同伴使用其基础设施,提供运行Metasploit的服务器。

  

  在其中一起针对一家大型国际公司的攻击事宜中,MTR想法从目的公司获得勒索软件无法加密的详细日志。攻击者最初通过强行将密码强制输入到Microsoft Azure服务器上的管理员帐户来接见公司的内部 *** ,并能够使用远程桌面(RDP)登录到服务器。

  攻击者使用Azure服务器作为渗透立足点,行使该管理员帐户登录到统一 *** 上的域控DC,然后在数周内对目的 *** 执行监视义务。查询有权登录的用户列表,并将效果写入文件。此外还将WMIC系统用户数据、历程列表,Windows LSASS服务的内存内容存储到文件中,然后上传到c2服务器。

  

  User information stolen by Snatch

  Snatch dumps lsass from memory then uploads the dump

  攻击者设置了一次性Windows服务来部署特定义务。这些服务有很长的随机文件名,可从tasklist程序查询正在运行的历程的列表,将其输出到temp目录中的一个文件,然后运行一个批处理文件(也位于temp目录中),将tasklist文件上传到C2服务器。

  

  它使用同样的方式将大量信息上传到C2服务器。例如,它使用此下令把提取的用户帐户和其他配置文件信息(.txt文件)发送回C2,然后执行它在Windows暂且目录中建立的批处理。

  

  攻击者在约莫台盘算机上安装了监视软件,占组织内部盘算机数目的5。攻击者安装了几个恶意文件;其中一组文件是为了让攻击者能够远程接见这些盘算机,而不必依赖Azure服务器。攻击者还安装了一个名为“高级端口扫描程序”的Windows程序,使用该工具在 *** 上发现他们其他潜在目的盘算机。

  

  研究职员还发现一个名为Update_Collector.exe的恶意软件,该工具行使WMI *** 的数据寻找 *** 上其他盘算机和用户帐户的更多信息,随后将该信息转储到文件中,上传到攻击者的服务器。还发现了一系列其他正当的工具,包罗 Process Hacker, IObit Uninstaller, PowerTool, 和 PsExec。在其他几起攻击中使用了完全相同的工具集,攻击者针对世界各地组织的举行攻击,包罗美国、加拿大和几个欧洲国家。受害组织至少有一台或多台带有RDP的盘算机暴露在internet上。

  在攻击过程中的某个时间点(可能是在初始 *** 攻击后几天到几周),攻击者将勒索软件组件下载到目的盘算机。此组件名称包罗每个受害者唯一五个字符代码和“_pack.exe”。

  下载勒索软件并通过PSEXEC启动

  当恶意软件挪用PSEXEC服务来执行勒索软件时,它已将自己解压缩到Windows文件夹中,并使用相同的五个字符和“unpack.exe”。

  The “unpack” version ends up in the Windows directory

  勒索软件将自己安装为一个名为SuperBackupMan的Windows服务。服务形貌文本“This service make backup copy every day,”有助于其在服务列表中隐藏。此注册表项在盘算机更先重新启动之前立刻设置。

  SuperBackupMan服务可组织用户住手或暂停。

  

  恶意软件将此key添加到Windows注册表中,以便在平安模式指导时代启动。

  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SuperBackupMan:Default:Service

  

  使用Windows上的BCDEDIT工具发出下令,将Windows操作系统设置为以平安模式启动,然后立刻强制重新启动受熏染的盘算机。

  bcdedit.exe /set {current} safeboot minimal

  shutdown /r /f /t 00

  当盘算机在重新启动后进入平安模式,恶意软件使用Windows组件net.exe住手SuperBackupMan服务,然后使用Windows组件vssadmin.exe删除系统上的所有Volume Shadow副本,可阻止手艺职员对勒索软件加密的文件举行取证恢复。

  net stop SuperBackupMan

  vssadmin delete shadows /all /quiet

  勒索软件然后更先加密受熏染机械的内陆硬盘上的文件。

  勒索软件在加密文件中会附加一个由五个字母数字字符组成的伪随机字符串。此字符串出现在勒索软件可执行文件名和勒索通知中,而且对于每个目的组织都是唯一的。例如,若是勒索软件名为abcdex64.exe,则加密的文件将文件扩展名.abcde附加到原始文件名后,勒索信息使用诸如README_abcde_files.txt或DECRYPT_abcde_DATA.txt之类的命名规范。

  

  一家专门从事勒索受害者和攻击者之间的谈判的公司称,从7月到10月,他们已经代表客户12次与罪犯谈判。赎金从美元到美元不等,四个月内呈上升趋势。

  与许多其他勒索软件一样, Snatch对于某些文件和文件夹位置列表不会加密。通常勒索软件这样做是为了维护系统的稳定性,将目的集中在事情文档或小我私家文件上。它跳过的位置包罗:

  C:\

  windows

  recovery

  recycle.bin

  perflogs

  C:\ ProgramData

  start menu

  microsoft

  templates

  favorites

  C:\Program Files\

  windows

  perflogs

  recycle.bin

  system volume information

  common files

  dvd maker

  internet explorer

  microsoft

  mozilla firefox

  reference assemblies

  tap-windows

  windows defender

  windows journal

  windows mail

  windows media player

  windows nt

  windows photo viewer

  

  在其中一个样本中发现攻击者在监控运行其署理的系统。当分析员意外注销时,分析员嫌疑攻击者将机械识别为平安研究平台,于是他给攻击者写了一条新闻,并将其留在了测试机械的桌面上。片晌之后,攻击者再次将分析员盘算机注销,阻止分析员使用的IP地址重新连接到C2服务器。

  

  还发现勒索软件正在使用OpenPGP,二进制文件将PGP公钥块硬编码到文件中。

  建议任何组织都不要将远程桌面界面暴露在不受珍爱的互联网上,应将它们置于VPN后,没有VPN凭证的人都无法接见。

  攻击者还示意希望寻找其他的合作同伴,能够使用其他类型远程接见工具(如VNC和TeamViewer)以及Web外壳或SQL注入手艺。

  组织应立刻为具有管理权限的用户实现多因素身份验证,使攻击者更难强行行使这些帐户凭证。

  大多数初始接见和立足点都在未受珍爱和未受监视的装备上。组织应定期检测装备确保 *** 上没有被疏忽的装备机械。

  勒索软件的勒索行为发生在攻击者进入 *** 后的几天。在勒索软件执行之前,需要一个成熟的威胁搜索程序识别攻击者的软件。

  通过以下署名检测Snatch的种种组件和此攻击中使用的文件:

  Troj/Snatch-H

  Mal/Generic-R

  Troj/Agent-BCYI

  Troj/Agent-BCYN

  HPmal/GoRnSm-A

  HPmal/RansMaz-A

  PUA Detected: ‘PsExec’

  *参考泉源:sophos,由Kriston编译,转自FreeBuf

相关文章

国内知名农民企业家孙大午被抓-孙大午到底多有

很多网友对孙大午有印象是因为2003年的“孙大午案”,孙大午被指向3000多户农民借款达1.8亿米,最后以非法集资的罪名被收押。近日高碑店市公安局通报孙大午再次被抓,这位国内知名农民企业家孙大午被抓是...

长春高端商务预约潜规则

今天来看一看“哈尔滨市高端商务预约内幕”。各位好!,相关哈尔滨市高端商务预约内幕,网编为大家小结得了七个内幕,要关键环节。重中之重的事,相关哈尔滨市高端商务预约内幕的详细内容,报道。 模特预约留言:希...

党委的主体责任是什么?正确认识党委主体责任

党委的主体责任是什么(正确认识党委主体责任)正确认识党委主体责任 -庞宝庆 党委的主体责任是由党委的领导地位和统一领导党风廉政建设工作的主体定位所决定的,党委能否落实好主体责任,直接关系党风廉政建...

黑客林勇是哪里人(黑客林勇什么学历)

黑客林勇是哪里人(黑客林勇什么学历)

本文目录一览: 1、“一夜走红”的中国黑客,把中国国旗插在白宫网站上,后来怎样了? 2、红衣黑客是真的吗 3、中国顶级黑客,为报南海王伟撞机之仇,将国旗插到了白宫上,他是谁? 4、中国的黑...

刚愎自用的意思?什么是刚愎自用的人

刚愎自用的意思?什么是刚愎自用的人

国学文化《道德经》:刚愎自用之人,才是最大的问题。   在《道德经》之前的一些文章中,我们聊到了道德经所强调的一个文化智慧。有这样一句话叫做:知人者智,自知者明。当你了解别人的时候是一种聪明,...

窗帘加盟品牌连锁店有哪些,窗帘加盟费用是多

窗帘加盟品牌连锁店有哪些,窗帘加盟费用是多

窗帘布艺加盟如何加盟?怎样开店?—摩尔登窗帘品牌加盟 窗帘布艺行业,是现在装饰软装行业中一个比较火热的行业。因其美观而不可或缺利润又比较丰厚,导致很多人也想要加入到这个行业里,重新创业的话时间久,投...