Lazarus 正在尋找攻擊對象 - 網安 - 專業的網絡安全產業、社區、知識平臺

勒索軟件攻擊日益增加,2020年或許將成為歷史上令人不愉快的一年。

勒索軟件生態系統的結構

犯罪分子利用廣泛的僵尸網絡感染(例如，臭名昭著的Emotet和Trickbot惡意軟件家族)傳播到有希望的受害者網絡中，并從第三方開發者那里獲得勒索軟件“產品”的許可。當攻擊者對目標的財務和IT流程有了很好的了解后，他們會在公司的所有資產上部署勒索軟件，并進入談判階段。

該生態系統在獨立的高度專業化的集群中運行，在大多數情況下，它們之間除了業務聯系外沒有其他鏈接。這就是為什么威脅行為者的概念變得模糊的原因：最初造成違規的組織不太可能是損害受害者的Active Directory服務器的一方，而后者不是編寫事件中使用的實際勒索軟件代碼的一方。而且，在兩次事件的過程中，相同的罪犯可能會轉換業務伙伴，并且可能會完全利用不同的僵尸網絡和/或勒索軟件系列。

案例1：VHD勒索軟件

第一次事件發生在歐洲，引起了我們的注意，原因有兩個:其一，它以一個我們不知道的勒索軟件家族為特征，其二，它涉及到一種讓人想起APT集團的傳播技術(參見下面的“傳播工具”細節)。勒索軟件本身沒什么特別的:它是用c++編寫的，抓取所有連接的磁盤，加密文件，刪除任何名為“系統卷信息”的文件夾(鏈接到Windows的恢復點功能)。該程序還會停止可能鎖定重要文件的進程，如Microsoft Exchange和SQL Server。文件使用ECB模式下的AES-256和RSA-2048的組合加密。在我們最初發布的報告中，我們注意到這個程序的兩個特點:

勒索軟件使用Mersenne Twister作為隨機性的來源，但不幸的是，對于受害者來說，RNG會在每次新的數據被消耗時被重新播種。盡管如此，這仍然是一種非正統的密碼學，正如為AES算法使用“電子碼本”(ECB)模式的決定一樣。ECB和AES的組合在語義上是不安全的，這意味著在加密時保留了原始清晰數據的模式。網絡安全研究人員在2020年4月分析Zoom安全時重申了這一點。
如果加密過程中斷，VHD將實施一種恢復操作的機制。對于大于16MB的文件，勒索軟件以明文形式將當前加密材料存儲在硬盤驅動器上。此信息沒有安全刪除，這意味著可能有機會恢復某些文件。

Mersenne Twister RNG調用。

據我們所知這個惡意軟件家族首次在這篇博客文章中被公開討論。

沿著勒索軟件發現的一種傳播工具，在網絡內部傳播了該程序。它包含特定于受害者的管理憑據和IP地址的列表，并利用它們在每臺發現的計算機上暴力破解SMB服務。只要建立成功連接，就會安裝網絡共享，并通過WMI調用復制并執行VHD勒索軟件。對于我們來說，這是網絡犯罪集團的反常技術。相反，它使我們想起了APT廣告活動Sony SPE，Shamoon和OlympicDestroyer，這是三個具有 worming 功能的wipers。

我們剩下的問題多于答案。我們認為這種攻擊不符合已知大型狩獵集團的慣常作案手法。此外，在遙測中，我們只能找到數量非常有限的VHD勒索軟件樣本以及一些公共參考資料，這表明該勒索軟件系列可能不會像通常那樣在暗市場論壇上大量交易。

案例2：Hakuna MATA

兩個月后， Kaspersky’s 事件響應團隊（GERT）處理了第二起事件。這意味著我們能夠完整了解導致安裝VHD勒索軟件的感染鏈。

在這種情況下，我們認為初始訪問是通過機會性利用易受攻擊的VPN網關實現的。此后，攻擊者獲得了管理特權，在受感染的系統上部署了后門，并能夠接管Active Directory服務器。然后，他們將VHD勒索軟件部署到網絡中的所有計算機。在這種情況下，沒有傳播工具，但是勒索軟件是通過一個用Python編寫的，我們仍然相信它是在開發中。整個感染歷時10小時。

在這次事件中使用的后門是一個多平臺框架的實例，我們稱之為MATA(一些供應商也稱它為Dacls)。在 MATA:多平臺惡意軟件框架中，我們對它的能力進行了深入的描述。

結論

我們掌握的數據傾向于表明VHD勒索軟件不是商用的現成產品。據我們所知，Lazarus集團是MATA框架的唯一所有者。因此，我們得出結論，VHD勒索軟件也由Lazarus擁有和運營。

回到我們的介紹，這一發現與我們對網絡犯罪生態系統的了解不一致。Lazarus一直存在于APT和金融犯罪之間的特殊十字路口，并且在威脅情報界一直有謠言說該組織是各種僵尸網絡服務的客戶。我們只能推測他們為什么現在開始獨自行動：也許他們發現很難與網絡犯罪黑社會互動，或者也許他們覺得他們再也無法負擔與第三方分享利潤了。

很明顯，該組織無法通過針對目標勒索軟件的即時運行方法來與其他網絡犯罪團伙的效率相提并論。他們真的可以在部署勒索軟件的10個小時內為受害者確定適當的勒索價格嗎？他們甚至還能找出備份的位置嗎？最后，唯一重要的是這些操作是否為Lazarus帶來了利潤。