2021年2月恶意软件趋势报告

该报告是Varonis团队的每月摘要，记录了在响应事件，执行法医和反向工程恶意软件样本时观察到的活动。该报告旨在帮助您更好地了解不断发展的威胁形势，并相应地调整防御措施。  

恶意软件 Ø概述-  EvilQuest  

EvilQuest ，AKA ThiefQuest和 Mac.Ransom.K，是 勒索，旨在 加密MacOS的设备， 这是 一般 较少 影响 被勒索威胁我。

EvilQuest是针对野外发现的macOS设备的第三个勒索软件变体。

与其他勒索软件变体相比，EvilQuest另一个与众不同的细节是，它始终使用对称加密，而不是在加密的至少一个阶段中使用非对称密钥。 

这意味着用于加密文件的密钥可用于对其进行解密，从而使解密文件的挑战变得容易得多。 

勒索软件还包括数据泄露功能，使用三个可以发送HTTP发布请求的外部python脚本：

勒索软件包括许多勒索软件变体通常不具备的附加功能。例如，它寻找SSH密钥，这些密钥可能允许攻击者以交互方式登录受害者的设备。它还会寻找受信任的证书，这可以使攻击者访问站点而不会引起安全警告。 

我们还可以在调用API函数的代码部分中找到按键记录功能的提示，这些功能旨在查找底层硬件事件，其名称包括“ klgr”并打印出诸如“ started logging”之类的字符串： 

我们可以找到证据证明勒索软件仍在开发中，并且尚未最终形式。例如，解密功能并未完全实现。由于在代码内的任何地方都不会调用解密例程，因此即使受害者支付了赎金，受害者也肯定无法解密其文件。 

恶意软件 概述 – Agent Tesla 

特斯拉特工（Agent Tesla）是一种间谍软件/键盘记录程序，用于窃听从受害设备ii收集的数据。它主要针对印度受害者和ISP。它于2014年首次被发现，并被称为“恶意软件即服务”，分发给许多威胁参与者。威胁参与者可以从其官方网站购买该恶意软件的订阅许可证 。  

传统上，代理特斯拉通过钓鱼邮件大多传播 秩序，以 窃取受感染的设备的数据。较新版本的恶意软件以存储的凭据为目标，重点是VPN和电子邮件服务的密码。这可能表明对此数据的需求有所增加，这可能是由于远程工作导致过去一年的使用增加所致。  

新版本还滥用了看似合法和受信任的服务（例如Telegram）作为渗入数据的平台。使用Telegram Messenger可能会逃避传统的基于网络的检测。 

滴管可执行文件，写在自动IT，包含进程注入功能，它允许恶意软件注入它的shellcode到一个过程，并且控制传递给一个名为“Regsvcs.exe的”方案三。

该程序（用.NET编写）包含以下功能：从受害设备上的已安装软件（例如，流行的浏览器，如屏幕快照中所示）收集保存的凭据，并将此数据发送到C＆C服务器： 

恶意软件 概述 – Foudre APT 

 “ Foudre”是2017年被发现的伊朗APT的名称iv。它的祖先可以追溯到2007年（Infy AKA“波斯王子”）。它主要用于秘密地从组织和VIP个人中窃取数据。 

APT 主要包括但不限于针对欧洲和北美的目标，它分为几个阶段。第一阶段包括受害者打开一个包含宏代码的精心制作的文档，该宏代码会自动提取包含“ Foudre”组件的档案。发送给受害者的文件示例： 

第二阶段包括通过HTTP连接到C2服务器，目的是验证自身并下载“ Tonnerre”（第三阶段使用的恶意软件）。 

在第三阶段，执行“ Tonnerre”并承担两个职责：使用与C2服务器的HTTP通信更新自身，以及通过FTP协议窃取数据。 

C2服务器的域名和IP地址在恶意软件本身中不能作为字符串使用，因为它使用域生成算法（DGA）来查找域-一种生成并尝试与许多域名进行通信的技术，而其中只有一个是真正的C2服务器域名。此技术可能使攻击者可以隐藏自己的身份，并且可以使C2服务器的信誉长期保持干净。 

 恶意软件 概述 – Drovorub 

Drovorub是一种可攻击Linux OS的恶意软件，由FBI和NSA v归因于俄罗斯威胁参与者“ Fancy Bear”（又名“ APT28”和“ Stronium”）创建。

该恶意软件通过将建成 3个的操作系统内核，端口转发，和文件传输组件Rootkit的-不同的事业， 和C2通信工具。  

内核的rootkit的目的是隐藏恶意软件的活动 由 隐藏在系统调用和流程 的 文件系统，通过使用特定的功能，允许它，过滤掉来自不同的看法网络套接字和隐藏文件， 并使用不同的技术来隐藏包秒。 

据说“花哨的熊”还参与了其他几项运动，例如在2019年8月发现的对亚洲和欧洲使馆和部委的袭击，以及在次年9月对各种体育组织的袭击。虽然两种攻击都包含网络钓鱼尝试，但第一次攻击也采用了几个阶段的下载程序。其中一些是用利基编程语言编写的。 

在2018年12月至2020年5月之间，该组织的另一项行动持续了大约一年半，其中一些美国政府机构的邮件服务器和VPN服务受到威胁。 

恶意软件 概述– StrongPity 

StrongPity又名APT-C-41和“ Promethium”是由土耳其APT小组创建的后门程序，该小组专门针对欧洲的金融，工业和教育组织，旨在对其进行监视vi。该恶意软件于2012年首次在野外出现，其最后记录的活动是在2020年11月。 

该恶意软件使用一种称为“水坑”的技术进行传播，该技术通过运行声称提供这些工具的网站将其自身连接到正常合法的软件（例如WinRAR或TrueCrypt）上，但会提供木马版本vii。

该恶意软件在其执行流程中具有多个阶段 。我吨开始通过使用浇水孔技术感染的受害者。牛逼母鸡，它丢弃文件 包含恶意软件的配置路径％TEMP％下的 ndaData   

然后 ，它使用文件搜索器功能来查找配置为要查找的 文件，例如具有 特定 扩展名的文件。搜索文件的类型嵌入在恶意软件的有效负载中。 

然后将找到的文件压缩为ZIP 文件，然后将其加密， 拆分为多个 部分 并标记为隐藏。然后，使用对C2服务器的Web POST请求将这些拆分文件发送给攻击者。这种技术 我命中注定的帮助攻击者逃避检测，作为 一个 用小载荷POST请求是 在大多数组织中一种正常的活动。 

发送拆分文件后，将从受害者的磁盘中删除它们。 

瓦罗尼检测 

Varonis的 威胁检测产品具有几种内置的威胁模型，这些模型可以识别在其活动的不同阶段提到的恶意软件变体： 

• “检测到加密活动”：检测文件服务器上赎金记录的创建。 

• “检测到立即模式：用户操作类似于勒索软件”：在不依赖已知勒索软件文件名或扩展名的情况下，检测文件服务器上文件的加密过程，从而能够检测到新的勒索软件/数据破坏者变体。  

• “异常行为：异常数量的数据上载到外部网站”：通过检查发送的信息量来检测收集到的数据是否上载到组织范围之外的网站。  

• “潜在的网络钓鱼攻击：访问域名中包含非正常字符的危险站点”：根据网站URL上的非常规字符来检测用户何时访问可能包含恶意软件的网站。 

• “可疑电子邮件：收到带有可疑恶意附件的电子邮件”：检测电子邮件附件何时可能包含恶意代码或指向恶意网站的链接。 

• “检测到潜在的恶意文件下载”：检测潜在的恶意文件的下载。 

• “潜在的恶意软件感染：识别出了恶意软件”：检测恶意软件对环境的潜在感染，可用于下载恶意软件的下一阶段。 

• “已识别的域生成算法（DGA）”：检测 生成域名并 与DNS服务器通信以解析其名称的恶意软件 变体 ，以尝试查找其C2服务器。  

2021年2月观察到的主要攻击向量

参考

[i]https://www.sentinelone.com/blog/evilquest-a-new-macos-malware-rolls-ransomware-spyware-and-data-theft-into-one/

[ii]https://cofense.com/strategic-analysis-agent-tesla-expands-targeting-and-networking-capabilities/

[iii]https://www.fortinet.com/blog/threat-research/new-agent-tesla-variant-spreading-by-phishing

[iv]https://research.checkpoint.com/2021/after-lightning-comes-thunder/

[v]https://securityintelligence.com/news/malware-russian-fancy-bear-identified-drovorub/

[vi] https://0xthreatintel.medium.com/uncovering-apt-c-41-strongpity-backdoor-e7f9a7a076f4

[vii]https://cybleinc.com/2020/12/31/strongpity-apt-extends-global-reach-with-new-infrastructure/

本文始发于微信公众号（Ots安全）：2021年2月恶意软件趋势报告