要点
-
Time-to-Ransom (TTR) 不到 4 小时:从初始感染到加密仅需不到 4 小时,给防御者留下的时间非常有限。
-
高严重性:鉴于攻击的破坏潜力,研究团队将其威胁级别评估为高的。
-
人为操作的攻击:在安装勒索软件之前,攻击者试图渗透到整个组织并横向移动,实施全开发(fully-developed)的RansomOps攻击。
Quantum 勒索软件是 MountLocker勒索软件的又一次更名,后者于 2020 年 9 月推出。从那时起,勒索团伙已将其行动进行多次重命名,包括AstroLocker、XingLocker,以及现在阶段的 Quantum Locker:
Mount Locker更名
与其它遵循双重勒索趋势的勒索软件一样,Quantum Locker 拥有自己的数据泄露 TOR 网站Quantum Blog。据报道,该团伙已攻击了 20 多个目标,其中7个是截至2022年4月的新目标:
Quantum数据泄露网站
该团伙的赎金要求因人而异,有些攻击只需 15 万美元就能获得解密器,而有些则需要数百万美元,如下所示:
Quantum支持聊天
目标需要在 72 小时内与该团伙取得联系,否则,被盗数据将被公开在数据泄露网站中,供公众免费下载:
Quantum Blog网站上公开的被盗数据
攻击细节
初始感染载体 ICEDID
银行木马IcedID最早于 2017 年开始活跃,被各种勒索团伙用作初始访问载体,包括Conti、REvil和 Quantum的前身 the Xing Locker。QuantumLocker 的活动始于通过电子邮件进行的网络钓鱼攻击。该电子邮件包含一个 .iso 图像文件,其中包含 DLL (dar.dll) 形式的 IcedID 加载程序payload和一个快捷方式文件(. lnk文件),该文件以IcedID payload为目标,并伪装成一个文档。
安装 .iso 文件时,最终用户只能看到名为“document”的快捷方式文件,而 DLL 本身是隐藏的。用户点击快捷方式后,IcedID DLL 被执行:
Document.lnk属性
解压后的 DLL 被加载到内存 (loader_dll_64.dll) 并开始与 C2 通信:
IcedID payload的执行
与大多数商品恶意软件(例如TrickBot )一样,IcedID 执行最初的侦查命令,然后通过 C2 通道传出结果。如果攻击者对该组织感兴趣,他们将启动下一阶段:
Cmd.exe /c chcp >&2Ipconfig /allSysteminfoNet config workstationNltest /domain_trusts /all_trustsNet view /all /domainNet view /allNet group Domain Admins /domain
IcedID侦查命令
在 IcedID 将侦察结果发送回 C2 之后,攻击的下一阶段开始。有些时候,它在用户点击 .lnk 文件后的两个小时就开始了。在此阶段,攻击者在被入侵的网络中启动交互式攻击。为此,他们使用初始 IcedID 植入程序下载并执行另一个植入程序。在大多数情况下,该团伙使用Cobalt Strike beacon来启动交互阶段。
首先,攻击者想要进行额外的、更深入的侦察活动。他们执行名为adfind.bat的脚本,该脚本使用AdFind工具收集有关 Active Directory 的信息。此外,他们还会运行一个名为ns.bat的批处理脚本,为域中的每个主机运行nslookup。
AdFind.bat脚本与名为 7.exe 的 AdFind.exe 二进制文件和 7Zip 二进制文件一起放在 %temp% 目录中。输出保存为 .txt 文件并发送到 C2。之后,批处理文件通过删除脚本、AdFind 二进制文件、.txt 文件和 7Zip 二进制文件来删除痕迹:
AdFind.bat 的执行
横向移动
为了在网络中横向移动,攻击者首先转储 lsass 进程并获得凭据。
然后,他们开始与网络中的其它服务器建立 RDP 连接并执行远程 WMI 侦察任务以测试获得的凭据:
凭证转储
在确认凭据有效后,攻击者继续为安装 Quantum Locker 做准备。他们通过将勒索软件二进制文件复制到其它设备的c$windowstemp共享文件夹,然后通过WMI和PsExec远程执行,开始在网络中传播。
勒索软件执行
执行后,勒索软件首先检查是否存在与安全软件相关的服务和进程,例如 AV、恶意软件分析工具、Microsoft Office、浏览器和数据库。如果找到,勒索软件会尝试终止服务和进程:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
要终止的进程列表
然后,勒索软件开始其加密程序。它对光盘上的文件进行加密,并在其上附加 .quantum 扩展名。它还留下了一个名为README_TO_DECRYPT.html的赎金记录:
由 Quantum Locker 加密的文件
Quantum Locker 赎金记录
此外,勒索软件还会执行创建一个名为 <ransom_binary>.exe.log 的日志文件。此日志文件包含有关设备、用户、域、已终止进程和服务以及每个文件的状态(如果已加密或跳过)的信息。
安全建议
-
为系统打补丁:确保系统已经打好补丁,以减少漏洞。
-
定期备份文件到远程服务器:从备份中恢复文件是重新获得数据访问权限的最快方法。
-
使用安全解决方案:使用组织防火墙、代理、Web 过滤和邮件过滤来保护系统网络。
IoC
|
|
|
|
|
|
|
|
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
SHA256
|
|
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
|
|
|
|
||
|
|
||
|
|
|
|
|
|
||
|
|
||
|
|
MITRE ATT&CK TECHNIQUES
原文链接:
https://www.cybereason.com/blog/cybereason-vs.-quantum-locker-ransomware
原文始发于微信公众号(维他命安全):Quantum Locker的分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论