勒索軟件利用間歇性加密躲避檢測算法
大多數開展索軟件活動的網絡犯罪分子都備受關注。他們不僅遭到執法部門和安全公司的調查,就連他們從技術上傳播惡意軟件的方式以及惡意軟件在受感染計算機上運行和工作的方式也受到嚴密調查。
SentinelOne公司的一份新報告披露了一些勒索軟件組織采用的一種新技術,這種最近在外頭盛行的技術名為“間歇性加密”(intermittent encryption)。
什么是間歇性加密?
這個術語可能令人困惑,因此立即予以澄清似乎很重要:間歇性加密不是旨在加密所選擇的完整文件,而是選擇性加密文件中的部分字節。
據研究人員聲稱,間歇性加密讓攻擊者可以更有效地規避使用統計分析來檢測當前勒索軟件感染的系統。這種分析基于操作系統文件輸入和輸出操作的強度,即基于文件的已知版本與可疑修改版本之間的相似性。因此,間歇性加密降低了文件輸入/輸出操作的強度,在某個特定文件的非加密版本和加密版本之間表現出極高的相似性,因為文件中只有一些字節被更改。
間歇性加密還具有在很短的時間內加密較少內容但仍導致系統無法使用的好處,這使得在感染時間和加密內容時間之間檢測勒索軟件活動變得更困難了。
針對使用不同文件大小的BlackCat勒索軟件的研究表明,間歇性加密為威脅分子在速度方面帶來了顯著優勢。
LockFile勒索軟件是2021年年中第一個使用間歇性加密的惡意軟件系列,不過現在有幾個不同的勒索軟件系列也在使用它。
哪些威脅組織在使用間歇性加密?
同樣重要的是要知道間歇性加密在眾多地下論壇中變得越來越流行,地下論壇在大力宣傳間歇性加密,以吸引更多的買家或勒索軟件組織加盟機構。
? Qyick勒索軟件
SentinelOne的研究人員報告,他們在暗網的一個流行犯罪論壇上看到了一個名為Qyick的新型商業勒索軟件所打的廣告。名為lucrostm的廣告商此前被發現在兜售其他軟件,比如遠程訪問工具(RAT)和惡意軟件加載程序,并出售 Qyick,價格從0.2個比特幣到約1.5個比特幣不等,具體取決于買家想要的功能選項。Lucrostm作出的保證之一是,如果勒索軟件系列的二進制文件在購買后六個月內被安全解決方案檢測出來,未檢測到的新勒索軟件樣本將給予60%至80%的大幅折扣。
該勒索軟件是用Go語言編寫的,據開發人員聲稱,這有望加快勒索軟件的運行,此外使用間歇性加密(圖1)。
圖1. 網絡犯罪地下論壇上的Qyick勒索軟件廣告(來源:SentinelOne)
Qyick仍然是一種正在開發中的勒索軟件。雖然它現在沒有將數據外泄的功能,但未來版本將讓控制者可以執行任意代碼,主要用于此目的。
? PLAY勒索軟件
該勒索軟件于2022年6月首次露面。它根據當前文件的大小使用間歇性加密。它以十六進制加密0x100000字節塊(十進制為1048576字節),并根據文件大小加密兩個、三個或五個塊。
? Agenda勒索軟件
這個勒索軟件是另一種用Go語言編寫的勒索軟件。它支持控制者可以配置的幾種不同的間歇性加密方法。
第一種方法名為“skip-step”,讓攻擊者可以加密文件的每X MB(兆字節),跳過指定MB數量的部分。第二種方法名為“fast”,允許只加密文件的前N MB部分。最后一種方法名為“percent”,允許只加密文件的一部分。
?Black Basta勒索軟件
這個勒索軟件自2022年4月以來一直充當勒索軟件即服務(RaaS)。它是用C++語言編寫的,其運營團伙一直將它與雙重勒索結合使用,如果受害者不支付贖金,就揚言要泄露數據。
Black Basta的間歇性加密方法每加密64個字節,就跳過192個字節,如果文件大小不到4KB。如果文件大于4KB,該勒索軟件每加密64個字節,就跳過128個字節,而不是跳過192個字節。
? BlackCat/ALPHV
BlackCat又叫ALPHV,是一種用Rust語言開發的勒索軟件,被用作RaaS模式。該威脅組織很早就擅長使用勒索手段,比如通過數據泄露或分布式拒絕服務(DDoS)攻擊來威脅其受害者。
BlackCat勒索軟件為控制者提供了幾種不同的加密模式,從完全加密到集成間歇性加密的模式:它提供僅加密文件前N個字節的功能,或者每加密N個字節就跳過X個字節的功能。
它還擁有更高級的加密功能,比如將文件分成不同大小的塊,只加密每個塊的前P個字節。
除了間歇性加密,BlackCat還包含一些盡可能加快速度的邏輯功能:如果被感染的計算機支持硬件加速,該勒索軟件使用AES(高級加密標準)進行加密。要不然,它就使用完全用軟件實現的ChaCha20算法。
如何防范這種威脅?
建議始終確保操作系統及在其上面運行的所有軟件是最新版本,并打上補丁,避免受到常見漏洞的影響。
還建議在勒索軟件在一臺或多臺計算機上被植入之前,部署安全解決方案以嘗試檢測威脅。
如果有可能,應盡量部署多因素身份驗證,以便攻擊者無法僅使用憑據就能訪問可以運行勒索軟件的網絡部分。
應該提高每個用戶的安全意識,尤其是電子郵件方面的意識,因為電子郵件是勒索軟件最常用的感染途徑之一。
