点击蓝字 关注我们
1. 简介
知识是我们对抗网络犯罪的最佳武器。了解各个黑客组织的运作方式及其使用的工具,能帮助我们建立有效防御并调查事件。本报告深入剖析了Cuba组织的历史,以及其攻击战术、技术和程序。希望本文能助您在应对此类威胁时领先一步。
2. Cuba勒索软件团伙
该组织的攻击活动最早在2020年末引起了我们的关注。当时,这个网络犯罪团伙尚未采用“Cuba”这一名字,而是以“Tropical Scorpius”为名。
Cuba组织的主要攻击目标集中在美国、加拿大和欧洲。他们对石油公司、金融服务、政府机构和医疗服务提供商发动了一系列影响深远的攻击。与大多数最近的网络勒索团伙类似,Cuba组织会加密受害者的文件,并要求支付赎金以换取解密密钥。该组织以其复杂的战术和技术而闻名,包括利用软件漏洞和社会工程技术来渗透受害者的网络。Cuba组织还被发现利用受感染的远程桌面协议(RDP)连接来获取初始访问权限。
虽然Cuba团伙的确切来源和成员身份尚不清楚,但一些研究人员认为该组织可能是另一个臭名昭著的勒索团伙Babuk的继任者。和许多类似团伙一样,Cuba组织采用勒索软件即服务(RaaS)模式,允许其合作伙伴使用其勒索软件和相关基础设施,并从中获得部分赎金分成。
该组织自成立以来曾多次更名。我们目前知道的别名包括:
-
ColdDraw -
Tropical Scorpius -
Fidel -
Cuba
今年2月,我们还发现该团伙使用了另一个名称——“V Is Vendetta”,这与其一贯的古巴主题有所不同。可能是该组织的一个子团体或关联方使用的名字。
该组织与Cuba勒索团伙的联系十分明显:新发现的团伙网站托管在Cuba的域名中:
http[:]//test[.]cuba4ikm4jakjgmkezytyawtdgr2xymvy6nvzgw5cglswg3si76icnqd[.]onion/
(译者注:下面简单介绍一下“V is Vendetta”勒索软件团队的象征性与文化背景)
V字仇杀队与黑客文化的关联科普
《V字仇杀队》(V for Vendetta)是一本广受欢迎的漫画和由其改编的电影,讲述了一个名叫“V”的蒙面反抗者反对极权主义政府的故事。这部作品中“V”所戴的盖伊·福克斯面具已经成为一种象征,用来表达对压迫的反抗、不满情绪和对自由的追求。该面具的形象被广泛地用于全球各种抗议活动中,尤其是那些带有反权威、反体制性质的活动,已成为许多人表达反抗情绪的象征。与此同时,这种象征性也吸引了许多黑客组织,他们使用这个形象来代表自己的行动,以便与这一反抗精神建立联系,增加神秘感,并传达他们的意图。
在黑客文化中,面具往往代表匿名和无畏。《V字仇杀队》的主角“V”正是一个拒绝被认出、以匿名身份对抗不公正体制的角色,这种形象与现代网络世界中的黑客行为有很多相似之处。网络黑客,尤其是那些涉及政治或社会议题的黑客组织,常常利用这种匿名性去攻击他们认为有问题的目标,以引发公众注意、实现自己的目标或传递某种信息。例如著名的黑客群体“匿名者”(Anonymous),也采用了盖伊·福克斯的面具作为象征,彰显他们挑战权威、替无声者发声的目标。
V字仇杀队与勒索病毒组织“V is Vendetta”的关联
“V is Vendetta”这个勒索软件组织显然借用了《V字仇杀队》的名称及其象征意义。这类名称选择不仅让他们看起来更为神秘,而且通过引用大众熟知的文化符号来增加威慑力。黑客们在心理层面上利用这种象征来恐吓受害者,试图营造出他们的行为是“正义”或“对不公的惩罚”。
这种手段常常见于网络犯罪活动中,通过使用具有标志性的符号和名词,他们让自己看起来像是代表某种理念或更高目标的“战士”,从而使得某些人可能对其行为产生错误的道德认知。这些团伙在网络攻击中不断尝试通过令人熟悉的符号、文化元素来扩大他们的影响力,试图让受害者认为这些攻击是不可避免且不可抗拒的。
V is Vendetta的目的和手段
V is Vendetta勒索团队并不仅仅满足于加密受害者的数据,然后索要赎金。他们的行动通常伴随复杂的社会工程学攻击,试图利用心理威胁和恐惧使受害者更容易屈服。他们可能会使用恐吓性的语言、极具震撼性的视觉元素(如图中的红色倒V符号和恐怖面具),并且暗示他们的行为是为了实现某种“复仇”或“正义”。这种手段让人们误以为这些攻击者有某种道德高度,从而影响他们的判断力。
从技术上来看,这些黑客团队通常使用勒索软件感染目标网络,通过漏洞扫描、弱密码破解和网络钓鱼等方式获得初始访问权。一旦入侵成功,他们会迅速扩展在网络中的权限,对企业的关键数据进行加密,随后要求赎金,通常以比特币或其他难以追踪的加密货币支付。同时,这些团队会威胁说如果不支付赎金,他们会公开敏感数据,从而进一步施压。
总的来说,“V is Vendetta”利用《V字仇杀队》的文化符号来为自己的勒索活动增添象征意义和心理压力。他们通过借助这种流行文化中的反抗象征,试图让他们的犯罪行为披上一层“对抗权威”的伪装,而实际上他们的目的仅仅是经济利益。了解这些黑客组织如何利用文化符号对其行动进行包装,有助于我们更好地识别和应对这类威胁。
截至本文撰写时,Cuba勒索团伙仍在活跃,并不断传出新的勒索受害者的消息。
3. 受害者分析
在本节中,我们使用了用户自愿提供的数据以及来自公开来源的受害者信息,这些来源包括其他安全供应商的报告和勒索软件团伙自身的数据泄露网站。
该团伙已攻击全球众多公司。行业类型似乎并不是一个关键因素,受害者包括零售商、金融和物流服务公司、政府机构、制造商等多个领域的企业。从地域分布来看,大部分受害公司位于美国,但在加拿大、欧洲、亚洲和澳大利亚也有受害者。
4. 勒索软件
Cuba勒索软件是一个单一文件,无需额外的库支持。其样本通常带有伪造的编译时间戳:2020年发现的样本标记为2020年6月4日,而较新的样本则显示为1992年6月19日。这些伪造时间戳可能是为了混淆调查人员,从而掩盖其真实活动时间。
5. Cuba勒索模式
勒索软件目前主要有四种敲诈模式,通过不同手段对受害者施加压力:
-
单重敲诈:仅通过加密数据索要赎金,要求支付以获取解密密钥。 -
双重敲诈:除了加密数据,攻击者还窃取敏感信息,并威胁如果不支付赎金,不仅不会提供解密密钥,还将公开这些信息。这种模式是当前勒索软件团伙最常用的手段。 -
三重敲诈:在前两种威胁的基础上,增加对受害者内部基础设施进行DDoS攻击的威胁。LockBit团伙曾遭遇DDoS攻击,可能是某位受害者所为,因此他们开始公开承认DDoS是有效的施压工具,并引导其他团伙效仿。尽管如此,三重敲诈模式在LockBit事件之前也有个别案例。 -
四重敲诈:此模式极少见,但施加的压力最大,同时也更昂贵。除了上述威胁外,还将信息泄露给受害者的投资者、股东和客户。DDoS攻击在此模式中不是必需的。例如,AvosLocker团伙在攻击弗吉尼亚州的布鲁菲尔德大学时,通过学校的应急广播系统向学生和教职工发送短信和电子邮件,宣称他们的数据已被窃取,并敦促他们公开事件的真相。
Cuba勒索团伙使用的是经典的双重敲诈模式,通过Xsalsa20对称算法加密数据,并使用RSA-2048非对称算法加密密钥,这种方法称为混合加密,可确保在没有密钥的情况下无法解密数据。
Cuba勒索软件样本会避开特定扩展名的文件(如.exe、.dll、.sys等)以及以下文件夹:
windows
program filesmicrosoft office
program files (x86)microsoft office
program filesavs
program files (x86)avs
$recycle.bin
boot
recovery
system volume information
msocache
usersall users
usersdefault user
usersdefault
temp
inetcache
google
此外,Cuba勒索软件优先加密存储在%AppData%MicrosoftWindowsRecent目录下的Microsoft Office文档、图像、压缩文件等,以节省加密时间。它还会终止所有SQL服务,以便对数据库进行加密,并搜索本地及网络共享的数据进行加密。
除了加密数据外,Cuba勒索软件团伙还会窃取受害组织内发现的敏感数据。黑客所针对的数据类型通常与目标公司的行业相关,但在大多数情况下,他们会窃取以下信息:
-
财务文件 -
银行对账单 -
公司账户详细信息 -
如果公司为软件开发企业,则还包括源代码
这些数据被视为高度敏感,一旦被公开或泄露,可能会对公司的财务状况、业务机密和声誉造成严重影响。Cuba团伙通过这种方式对受害者施加压力,增加其支付赎金的可能性。
6. 攻击工具库
该组织使用了广为人知的“经典”凭证获取工具,如 Mimikatz,以及自编应用程序。此外,他们利用受害公司使用的软件中的漏洞,主要是一些已知的安全问题,例如攻击 Exchange 服务器的 ProxyShell 和 ProxyLogon 漏洞组合,以及 Veeam 数据备份和恢复服务中的安全漏洞。这些漏洞的利用使他们能够进一步入侵和控制目标系统,从而获取敏感数据或实施加密操作。
-
Bughatch -
Burntcigar -
Cobeacon -
Hancitor (Chanitor) -
Termite -
SystemBC -
Veeamp -
Wedgecut -
RomCOM RAT
-
Mimikatz -
PowerShell -
PsExec -
Remote Desktop Protocol
ProxyShell:
-
CVE-2021-31207 -
CVE-2021-34473 -
CVE-2021-34523
ProxyLogon:
-
CVE-2021-26855 -
CVE-2021-26857 -
CVE-2021-26858 -
CVE-2021-27065
Veeam vulnerabilities:
-
CVE-2022-26501 -
CVE-2022-26504 -
CVE-2022-26500
ZeroLogon:
-
CVE-2020-1472
7. 利润
黑客在其赎金通知中提供的比特币钱包地址显示,这些钱包的入账和出账总额已超过3600 BTC,按当前汇率1 BTC约为28,624美元,换算超过1.03亿美元。该团伙拥有大量比特币钱包,通过在多个钱包之间频繁转账,并使用比特币混币器来混淆资金流向。比特币混币器通过一系列匿名交易将比特币重新分配,使得资金来源难以追踪,从而掩盖了资金的真正来源。
8. Cuba勒索软件事件调查及恶意软件分析
8.1 Host:SRV_STORAGE
在12月19日,我们在客户主机上发现了可疑活动。我们将此主机称为“SRV_STORAGE”。遥测数据显示该主机上出现了三个可疑的新文件。这些文件的活动引起了我们的关注,可能表明主机上存在异常行为或安全威胁。
对文件 kk65.bat 的分析显示,它充当了初始启动程序(stager),用于启动后续所有活动。具体来说,该脚本通过 rundll32 命令加载了 komar65 库,并调用了其中的 DLLGetClassObjectGuid 回调函数。这一函数的执行标志着进一步恶意活动的开始,可能包括更多的后续加载或恶意指令的执行。
让我们看看这个可疑的 DLL 内部。
8.1.1 Bughatch
komar65.dll 又称为“Bughatch”,此名称最早由 Mandiant 的一份报告命名。这个名字的来源是DLL文件路径中包含的一个文件夹“mosquito”(俄语“комар”,意为蚊子),与komar这个俄语词根相吻合,暗示背后的攻击团伙可能有俄语背景成员。这一细节为分析攻击来源和攻击者身份提供了线索,也突显了攻击代码命名和开发过程中的语言因素。
该 DLL 在连接以下两个地址时将 Mozilla/4.0 作为用户代理:
-
com:该地址似乎用于检查外部连接是否正常。 -
攻击者的指挥与控制中心:如果初始的网络连接成功,恶意软件将尝试向指挥与控制服务器发送信息,以“呼叫主机”,实现与攻击者的进一步通信。
在被感染的主机上,我们观察到了类似的活动。在 Bughatch 成功与指挥与控制(C2)服务器建立连接后,它开始收集有关网络资源的信息。此类活动通常包括扫描本地网络,以识别可能的目标设备和服务器,从而获取更多有关网络拓扑结构的信息,并为后续的横向移动做好准备。这种数据收集通常用于进一步探查并识别目标环境中的潜在漏洞,帮助攻击者扩大攻击范围并获取更多关键数据。
在深入分析C2服务器后,我们发现除了 Bughatch 外,这些服务器还分发了用于扩展恶意软件功能的模块。其中一个模块专门用于收集受感染系统上的信息,并通过HTTP POST请求将信息发送回服务器。这类模块通常包含收集主机名、IP地址、操作系统信息、活动进程以及网络连接等信息的功能,便于攻击者更好地掌握受害系统的详细配置和状态,从而实施进一步的攻击操作。这种数据传输以加密或混淆的形式进行,以便在网络中掩盖通信痕迹并增强隐蔽性。
可以将 Bughatch 理解为一种后门程序,它被加载到进程的内存中,并在分配的内存空间内执行shellcode。这一过程通过调用Windows API实现,包括 VirtualAlloc
(用于分配内存)、CreateThread
(用于创建线程)以及 WaitForSingleObject
(用于同步线程),从而连接到指挥与控制(C2)服务器并等待进一步的指令。通常情况下,C2服务器可以发送指令,要求Bughatch下载其他恶意软件,比如 Cobalt Strike Beacon、Metasploit,或进一步的Bughatch模块。这种设计使得攻击者能够远程控制被感染的系统,并动态加载所需的攻击工具,以实现持久性和灵活性。
8.2 SRV_Service host
8.2.1 Veeamp
经过一段时间,我们发现了一个恶意进程在相邻的主机上启动,我们将其命名为“SRV_Service”。
Veeamp.exe 是一个用 C# 编写的定制数据导出工具,专门利用 Veeam 备份和恢复服务中的安全漏洞,连接到 VeeamBackup SQL 数据库,以提取账号凭证。
Veeamp 工具利用了以下 Veeam 漏洞:CVE-2022-26500、CVE-2022-26501 和 CVE-2022-26504。前两个漏洞允许未认证用户远程执行任意代码,而第三个漏洞允许域用户实现同样的操作。在利用其中任意一个漏洞后,恶意软件会在控制面板中输出以下信息:
-
用户名 -
加密的密码 -
解密后的密码 -
Veeam 凭证表中的用户描述,包括群组成员身份、权限等
该恶意软件并非 Cuba 黑客组织独家使用。我们还观察到其他黑客组织,如 Conti 和 Yanluowang,也在其攻击中使用了该工具。
在 SRV_Service 主机上观察到的 Veeamp 工具运行完后的活动,类似于我们在 SRV_STORAGE 上通过 Bughatch 工具观察到的活动模式。
与在 SRV_STORAGE 上的情况类似,恶意软件在 temp 文件夹中释放了三个文件,并以相同的顺序执行这些文件,连接到相同的地址。这种一致的行为表明,恶意软件可能使用了相同的加载和执行流程,同时指向同一 C2(指挥与控制)服务器,以执行远程指令或进一步传播恶意活动。
8.2.2 Avast Anti-Rootkit driver
在成功建立Bughatch与其C2(指挥与控制)服务器的连接后,我们观察到该组织使用了一种越来越流行的技术:自带漏洞驱动程序(BYOVD)。这种技术允许攻击者利用特意引入的、已知存在漏洞的驱动程序,绕过安全控制并获得系统内核级权限,从而执行更具侵入性的操作。此方法为攻击者提供了一种在不依赖零日漏洞的情况下增加攻击成功率的有效手段,并且已经被多个黑客组织所广泛采用。
恶意攻击者在系统中安装了一个存在漏洞的驱动程序,并随后利用它完成各种操作,例如终止特定进程或通过权限提升到内核级别来绕过防御机制。
黑客选择使用漏洞驱动程序,因为这些驱动程序运行在内核模式下,拥有较高的系统访问权限。此外,带有数字签名的合法驱动程序不会轻易引起安全系统的警觉,这有助于攻击者在系统中保持更长时间的隐蔽性。
在攻击过程中,恶意软件在临时文件夹中创建了以下三个文件:
-
aswarpot.sys:这是Avast发布的一个合法反根工具驱动程序,但存在两个漏洞(CVE-2022-26522和CVE-2022-26523),这些漏洞允许权限受限的用户在内核级别运行代码。 -
KK.exe:这是一种名为Burntcigar的恶意软件变种,利用该有缺陷的驱动程序终止特定进程。 -
av.bat批处理脚本:此脚本作为启动程序,帮助内核服务加载Avast驱动程序并执行Burntcigar。
对BAT文件及其遥测数据的分析表明,av.bat使用了sc.exe工具创建一个名为“aswSP_ArPot2”的服务,指定驱动程序路径为C:windowstemp目录,并将服务类型设定为内核服务。随后,BAT文件通过sc.exe启动该服务,并运行KK.exe以连接到存在漏洞的驱动程序。
8.2.3 Burntcigar
在分析Burntcigar恶意软件时,我们首先注意到其PDB文件路径中包含一个名为“Musor”的文件夹,这在俄语中意为“垃圾”。这一细节进一步表明,Cuba勒索团伙的成员可能会说俄语。
我们进一步发现,这次分析的样本是Burntcigar的新版本,在事件发生时还无法被安全系统检测到。黑客显然更新了该恶意软件,因为在此前的攻击后,许多厂商已经能够轻松检测到旧版本的执行逻辑。
如以下截图所示,这次的新样本中,所有要终止的进程信息都已加密,而旧版本中则直接显示了攻击者希望终止的所有进程名称。这一变化表明黑客在提升恶意软件的隐蔽性,以绕过检测。
该恶意软件会搜索可能与流行的防病毒(AV)或终端检测与响应(EDR)产品相关的进程名称,并将这些进程的ID添加到堆栈中,以便稍后终止。
Burntcigar通过调用DeviceIoControl函数来访问有漏洞的Avast驱动程序,指定包含该安全问题代码的位置作为执行选项。此代码片段中包含ZwTerminateProcess函数,攻击者利用它来终止指定的进程。这一机制使得恶意软件能够有效地规避目标系统的防护措施,从而继续执行其恶意活动。
幸运的是,我们的产品具有自我防护能力,成功阻止了该恶意软件对驱动程序的所有挂钩操作。
之后,我们在Exchange服务器和SRV_STORAGE主机上也发现了类似的活动,攻击者在这两台设备上都利用了Avast的反根工具驱动程序漏洞。在这两种情况下,攻击者均使用了一个BAT文件来安装不安全的驱动程序,并随后启动了Burntcigar恶意软件。
8.3 SRV_MAIL host (Exchange server)
12月20日,客户应我方请求将Exchange服务器纳入监控范围。该服务器可能被用作攻击者进入客户网络的入口点,因为其缺少关键更新,并且易受该攻击组织常用的初始访问漏洞影响。具体来说,SRV_MAIL服务器上仍存在未修补的ProxyLogon、ProxyShell和Zerologon漏洞。这些因素让我们相信,攻击者通过Exchange服务器成功渗透了客户网络。
在SRV_MAIL服务器上,我们观察到SqlDbAdmin用户表现出与之前主机上类似的可疑活动。
我们发现攻击者使用合法工具 gotoassistui.exe 在被感染的主机之间传输恶意文件。
GoToAssist 是一款常用于远程桌面支持的工具,通常被技术支持团队使用,但它也常被攻击者滥用,用来在系统之间传输文件,以绕过安全防护措施和应急响应团队。
我们还发现了新的 Bughatch 样本被执行。这些新样本使用了稍微不同的文件名、回调函数和指挥控制(C2)服务器,因为我们的系统当时已成功阻止了该恶意软件的旧版本。
8.3.1 SqlDbAdmin
我们对 SqlDbAdmin 用户的身份产生了疑问。答案通过一个可疑的 DLL 文件——addp.dll——浮现了出来。我们在手动检查受感染的主机时发现了这个文件。
我们发现该 DLL 使用了 WIN API 函数 NetUserAdd 来创建用户,用户名和密码是硬编码在 DLL 内部的。
进一步深入研究该库时,我们发现它使用了 RegCreateKey
函数,通过修改注册表设置来为新创建的用户启用 RDP 会话。接着,它将该用户添加到注册表中的“Special Account”树,从而在系统登录界面上隐藏该用户。这是一种相当独特且少见的持久性技术。大多数情况下,恶意行为者会通过脚本添加新用户,而这些脚本通常会被安全产品检测到。
8.3.2 Cobalt Strike
我们在 Exchange 服务器上发现了一个可疑的 ion.dll
,它作为 rundll32
进程的一部分运行,并带有异常的执行选项。起初,我们认为此活动与之前观察到的 Bughatch 恶意活动类似。然而,进一步分析表明,该库实际上是一个 Cobalt Strike Beacon。这一发现表明攻击者利用 Cobalt Strike 作为其指挥和控制工具,以便在系统中保持持久访问,并执行进一步的恶意操作。
在我们查看 ion.dll
的代码时,特别引起我们注意的是它的执行设置,以及其中使用的 Cobalt Strike 配置。该库调用了 VirtualAlloc
函数来分配进程内存,以便随后在分配的内存中执行 Cobalt Strike Beacon 负载。通过使用该方法,攻击者能够在被感染的系统上成功加载和运行恶意代码,同时绕过某些安全检测,这进一步表明他们的操作是高度复杂且有计划的。
所有的配置数据均经过加密,但我们找到了用于解密的函数。为了确定 Cobalt Strike 的 C2 服务器,我们检查了带有 ion.dll
的 rundll32
进程的内存转储,并在该进程中加载了 ion.dll
,以与其在受害者主机上运行时的设置保持一致。通过这种方法,我们成功提取了 Cobalt Strike 的命令和控制服务器的相关信息。这一发现进一步揭示了攻击者的攻击链和后续控制策略,从而为分析其完整的操作流程提供了重要的线索。
我们确认了C2服务器的名称后,借助遥测数据定位了该服务器的通信历史。在恶意软件连接到C2服务器后,它将两个可疑文件下载到了被感染服务器的Windows文件夹中并执行了这些文件。然而,遗憾的是,我们未能获取到这两个文件进行分析,因为黑客在前一步操作中未能完全禁用安全防护系统,导致这些文件在感染主机上被清除。不过,我们推测这些文件很可能就是勒索软件的主体。
客户迅速隔离了受感染的主机,并将该事件提交给卡巴斯基应急响应团队以便进一步调查并寻找可能的痕迹。这是我们在客户系统中最后一次观察到该恶意行为者的活动。由于客户按照我们的建议和指导及时响应了事件,受感染的主机成功避免了被加密的风险。
9.新型恶意软件
我们发现,VirusTotal 中包含了新的 Cuba 恶意软件样本,这些样本的文件元数据与上述事件中的一致。其中一些样本成功避开了所有网络安全厂商的检测。我们对每个样本进行了分析。从下面的截图可以看到,这些是使用加密数据进行反恶意软件逃避的新版本 Burntcigar。我们已经创建了检测这些新样本的 Yara 规则,并在本文附件中提供了这些规则。
10. BYOVD (利用自身漏洞驱动)
我们将深入分析一种利用不安全驱动程序的攻击方式,这是在调查事件时观察到的,当前正被多个APT组织和勒索软件团伙广泛采用。所谓“自带漏洞驱动(BYOVD)”攻击,是指攻击者利用合法的签名驱动程序中已知的安全漏洞,在系统中执行恶意行为。一旦成功,攻击者便能利用驱动代码中的漏洞,在内核级别执行任何恶意操作!
理解这一攻击为何极具危险性,需快速回顾一下驱动程序的作用。驱动程序是一种软件,负责在操作系统和设备之间充当中介,将操作系统的指令转换为设备可理解和执行的命令。此外,驱动程序还支持操作系统本身不具备的应用程序或功能。正如下图所示,驱动程序充当用户模式与内核模式之间的桥梁。
应用程序在用户模式下运行时权限较低,只能访问与系统其余部分隔离和保护的虚拟内存区域。而驱动程序在内核模式中运行,能够像内核本身一样执行任何操作。驱动程序可以访问并修改关键的安全结构,这种修改使系统容易受到特权提升、禁用操作系统安全服务和任意读写等攻击的威胁。
2021年,Lazarus黑客组织利用这一技术,通过滥用包含CVE-2021-21551漏洞的戴尔驱动程序获得了内核内存的写入权限,并成功禁用了Windows的安全功能。
由于任何驱动程序都可能存在安全缺陷,因此没有万无一失的防御措施。为防御此类攻击,Microsoft发布了一系列建议:
-
启用超级管理程序保护的代码完整性(Hypervisor-Protected Code Integrity)。 -
启用内存完整性(Memory Integrity)。 -
启用驱动程序数字签名验证。 -
使用易受攻击的驱动程序阻止列表。
然而,研究表明,即使启用所有Windows保护功能,这些建议仍可能无法完全防御此类攻击。
为对抗此技术,许多安全厂商在产品中增加了自防御模块,以防止恶意软件终止进程并阻止对易受攻击驱动程序的利用。我们的产品也具备这一功能,并在此次事件中有效阻止了相关攻击。
11. 结论
Cuba网络犯罪团伙(Cuba cybercrime gang)拥有庞大的攻击工具库,包括公开获取的和定制的工具,并不断更新这些工具库。同时,他们采用各种技术和手段,其中一些极具威胁性,比如“自带易受攻击的驱动程序”(BYOVD)。应对这种复杂度的攻击需要先进的技术,能够检测高级威胁并防止安全功能被禁用,还需要一个持续更新的庞大威胁知识库,帮助手动检测恶意代码。
本文所述的事件表明,现实中的网络攻击调查与事件响应(例如托管检测和响应,MDR)是获取最新恶意战术、技术和流程(TTPs)的重要信息源。特别是在此次调查中,我们发现了新的、此前未被检测到的Cuba恶意软件样本,并找到了暗示团伙成员中至少有部分讲俄语的证据。
需要指出的是,有效的调查和响应始于对当前网络威胁的了解,这些信息可通过威胁情报服务获得。在卡巴斯基,威胁情报团队和MDR团队密切合作,持续交换数据并改进服务,以提升应对能力。
12. 附录
Sigma and YARA rules: https://github.com/BlureL/SigmaYara-Rules
Indicators of Compromise: Download PDF
Mitre ATT&CK matrices: Download PDF
13. 文章来源
https://securelist.com/cuba-ransomware/110533/
以下是solar安全团队近期处理过的常见勒索病毒后缀:后缀.lol勒索病毒,.360勒索病毒,.halo勒索病毒,.phobos勒索病毒,.Lockfiles勒索病毒,.stesoj勒索病毒,.src勒索病毒,.svh勒索病毒,.Elbie勒索病毒,.Wormhole勒索病毒.live勒索病毒, .rmallox勒索病毒, .mallox 勒索病毒,.hmallox勒索病毒,.jopanaxye勒索病毒, .2700勒索病毒, .elbie勒索病毒, .mkp勒索病毒, .dura勒索病毒, .halo勒索病毒, .DevicData勒索病毒, .faust勒索病毒, ..locky勒索病毒, .cryptolocker勒索病毒, .cerber勒索病毒, .zepto勒索病毒, .wannacry勒索病毒, .cryptowall勒索病毒, .teslacrypt勒索病毒, .gandcrab勒索病毒, .dharma勒索病毒, .phobos勒索病毒, .lockergoga勒索病毒, .coot勒索病毒, .lockbit勒索病毒, .nemty勒索病毒, .contipa勒索病毒, .djvu勒索病毒, .marlboro勒索病毒, .stop勒索病毒, .etols勒索病毒, .makop勒索病毒, .mado勒索病毒, .skymap勒索病毒, .aleta勒索病毒, .btix勒索病毒, .varasto勒索病毒, .qewe勒索病毒, .mylob勒索病毒, .coharos勒索病毒, .kodc勒索病毒, .tro勒索病毒, .mbed勒索病毒, .wannaren勒索病毒, .babyk勒索病毒, .lockfiles勒索病毒, .locked勒索病毒, .DevicData-P-XXXXXXXX勒索病毒, .lockbit3.0勒索病毒, .DevicData勒索病毒.blackbit勒索病毒等。
勒索攻击作为成熟的攻击手段,很多勒索家族已经形成了一套完整的商业体系,并且分支了很多团伙组织,导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同,TellYouThePass勒索软件家族常常利用系统漏洞进行攻击;Phobos勒索软件家族通过RDP暴力破解进行勒索;Mallox勒索软件家族利用数据库及暴力破解进行加密,攻击手法极多防不胜防。
而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份,在其基础上加强公司安全人员意识。
如果您想了解有关勒索病毒的最新发展情况,或者需要获取相关帮助,请关注“solar专业应急响应团队”。
原文始发于微信公众号(solar专业应急响应团队):【文章转载】从加勒比海岸到你的设备:深入解析Cuba勒索软件
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论