新的準系統勒索軟件應變表面

Sophos Labs 的研究人員發現了一種新的勒索軟件菌株，他們說該病毒以其精簡的功能和大量使用而不是 PowerShell 腳本來執行其各種惡意功能而著稱。

在一份新報告中，Sophos 描述了最近觀察到的勒索軟件 - 稱為 Epsilon Red - 在針對一家美國酒店業組織的實際攻擊中作為最終可執行文件交付。現有數據表明，至少有一名 Epsilon Red 受害者在 5 月中旬支付了約 210,000 美元的比特幣贖金。

根據 Sophos 的說法，Epsilon Red 以其大部分早期組件都是 PowerShell 腳本而著稱。勒索軟件組件本身是一個用 Go 編程語言編寫的基本 64 位可執行文件。它的唯一功能是加密目標系統上的文件。勒索軟件組件不建立網絡連接，也不執行通常集成到其他勒索軟件菌株中的功能。例如，刪除卷影副本和殺死進程等功能已卸載到 PowerShell 腳本。

Sophos 的首席研究員 Andrew Brandt 表示，攻擊者的目標是讓 Epsilon Red 及其活動更難被發現。“如果你將勒索軟件活動分解為一系列正常的良性任務，防御者就更難將它們識別為相互關聯并與惡意活動相關聯，”他說。“當他們將諸如‘刪除卷影副本’之類的內容卸載成碎片時，基于行為的端點安全工具就變得不那么可疑了。” 例如，惡意軟件檢測工具可能只是將卷影復制活動視為良性活動，因為它與其他惡意行為沒有特別關聯。

Sophos 觀察到的針對美國組織的攻擊似乎始于易受攻擊的 Microsoft Exchange Server。Sophos 表示，目前尚不清楚攻擊者是利用最近披露的Exchange Server 中的ProxyLogon 漏洞來獲得未經身份驗證的訪問，還是利用了其他缺陷。

從最初的切入點開始，攻擊者使用 Windows Management Instrumentation (WMI) 安裝其他軟件，以便在他們可以從 Exchange Server 訪問的所有其他系統上下載勒索軟件。在攻擊期間，攻擊者使用了十多個 PowerShell 腳本——包括用于刪除卷影副本和復制 Windows 安全帳戶管理 (SAM) 的腳本，以便他們可以檢索存儲在計算機上的密碼。

Sophos 對 Epsilon Red 的分析表明，勒索軟件二進制文件本身不包含目標文件和擴展名的列表。相反，它似乎旨在加密目標系統上的所有內容，包括保持系統正常運行所需的關鍵動態鏈接庫 (DLL) 和擴展。這與大多數成熟的勒索軟件系列大不相同，后者的勒索軟件二進制文件明確包含用于從加密中排除 DLL 和可執行文件的邏輯。

“勒索軟件威脅者知道，如果沒人能看到他們的勒索字條，他們就不可能獲得報酬——因為計算機無法啟動，”他說。“人們普遍認為加密可執行文件和 DLL 對業務不利。” 由于 Epsilon Red 似乎沒有做出這種區分，惡意軟件可能會使受感染的系統無法啟動。Brandt 說，在這些情況下，即使攻擊者提供解密工具，受害者也很可能無法在該計算機上運行它。

不斷發展的趨勢

Epsilon Red 勒索軟件活動是最近許多其他攻擊活動的典型代表，在這些活動中，攻擊者嚴重依賴腳本和命令解釋器（例如 Windows Command Shell 和 PowerShell）來執行腳本、命令和二進制文件。Red Canary 最近對來自客戶網絡的威脅數據進行的分析表明，48.7% 的客戶經歷了使用 PowerShell 的攻擊，38.4% 的攻擊涉及 Windows Command Shell。Red Canary 發現攻擊者通常使用 PowerShell 執行惡意軟件混淆、惡意命令執行和下載額外負載等任務。

“我們當然已經看到 PowerShell 與 WMIC [WMI 命令行] 和可能不需要的應用程序一起使用，例如滲透測試工具，”Brandt 說，“或者遠程訪問軟件在過去與多個攻擊者一起使用攻擊和樞軸策略年。”