SolidBit 勒索軟件進入 RaaS 領域并通過新變體瞄準游戲玩家和社交媒體用戶
最新的 SolidBit變體偽裝成不同的應用程序以吸引游戲玩家和社交媒體用戶。SolidBit 勒索軟件組織似乎正計劃通過這些欺詐性應用程序和招募勒索軟件即服務合作公司來擴大其業務。
趨勢科技研究人員最近分析了一個針對流行視頻游戲和社交媒體平臺用戶的新 SolidBit 勒索軟件變體樣本。該惡意軟件被上傳到 GitHub,偽裝成不同的應用程序,包括英雄聯盟帳戶檢查工具和Instagram follower bot,以吸引受害者。
GitHub 上的英雄聯盟帳戶檢查器與一個包含如何使用工具的說明的文件捆綁在一起,但這只是偽裝:它沒有圖形用戶界面(GUI ) 或與其假定功能相關的任何其他行為。當毫無戒心的受害者運行該應用程序時,它會自動執行惡意 PowerShell 代碼以釋放勒索軟件。勒索軟件附帶的另一個文件名為“源代碼”,但這似乎與編譯后的二進制文件不同。
一個名為“Rust LoL Accounts Checker”的惡意應用程序的圖標
GitHub 上偽裝成英雄聯盟帳戶檢查工具的 SolidBit 勒索軟件變體
關于在 Github 上發布的欺詐性英雄聯盟帳戶檢查器的詳細信息
GitHub 上與 SolidBit 的欺詐性英雄聯盟帳戶檢查器捆綁在一起的文件之一
在與帳戶檢查器捆綁的文件中,我們還發現了一個名為 Rust LoL Accounts Checker.exe的可執行文件,該文件受 Safengine Shielden 保護,該文件對示例和應用程序進行了混淆,從而使逆向工程和分析更加困難。執行此文件時,會出現一個錯誤窗口,并聲稱已檢測到調試工具,這可能是惡意軟件的反虛擬化和反調試功能之一。
使用 Detect It Easy 找到的 Rust LoL Accounts Checker.exe 的文件屬性,detect it easy是一款跨平臺的PE查殼工具,也就使我們常見的查殼軟件,它和我們常用的Exeinfo PE,PEiD,FastScanner原理與功能都是一樣的,不過因開發者不同,殼的識別率有區別。
執行 Rust LoL Accounts Checker.exe 時出現的彈出窗口
如果用戶點擊此可執行文件,它將刪除并執行 Lol Checker x64.exe,該文件會運行惡意 PowerShell 代碼,從而刪除并執行 SolidBit 勒索軟件。在 VirusTotal 和 AnyRun 中旋轉二進制文件后,我們發現 Rust LoL Accounts Checker.exe 使用以下命令下載并執行 Lol Checker x64.exe:
cmd /c start "" %TEMP%\LoL Checker x64.exe
執行 Lol Checker x64.exe 時,它將開始禁用 Windows Defender 的計劃掃描以及對以下文件夾和文件擴展名的任何實時掃描:
%UserProfile%,?%AppData%,?%Temp%,?%SystemRoot%,?%HomeDrive%,?%SystemDrive% .exe?.dll?
該文件使用以下 PowerShell 命令禁用這些掃描:
cmd /c powershell -Command "Add-MpPreference -ExclusionPath @($env:UserProfile,$env:AppData,$env:Temp,$env:SystemRoot,$env:HomeDrive,$env:SystemDrive) -Force" & powershell -Command "Add-MpPreference -ExclusionExtension @('exe','dll') -Force" & exit;?
成功禁用 Windows Defender 掃描這些目錄后,該文件將刪除并執行文件 Runtime64.exe,我們將其分析為 SolidBit 勒索軟件,使用以下命令提示符:
cmd /c start "" %TEMP%\Runtime64.exe
SolidBit 新變體的勒索軟件分析
這個新版本的 SolidBit 勒索軟件是一個 .NET 編譯的二進制文件。使用調試器和 .NET 程序集編輯器 DnSpy 打開 Runtime64.exe 后,我們發現該文件被混淆了。我們使用名為 de4dot 的 .NET 去混淆器和解包器工具來使字符串可讀。
使用 Detect It Easy Tool 的二進制文件屬性
使用de4dot對文件進行反混淆處理之前(左)和之后(右)的比較
勒索軟件會創建一個互斥鎖,如果發現設備上已經運行了它自己的另一個副本,它就會終止。
由SolidBit勒索軟件創建的互斥鎖
它還將為名為“SoftwareMicrosoftWindowsCurrentVersionRun”的目錄創建一個注冊表項,并將值“UpdateTask”作為其自動啟動機制。
SolidBit 的自動啟動機制的注冊表項
在加密之前,勒索軟件會檢查目錄是否在根路徑下,并避開以下文件和目錄,如下圖所示:
\\ProgramData?$Recycle.Bin?AMD?appdata\\local?appdata\\locallow?autorun.inf?boot.ini?boot.ini?bootfont.bin?bootmgfw.efi?bootsect.bak?desktop.ini?Documents and Settings?iconcache.db?Intel?MSOCache?ntuser.dat?ntuser.dat.log?ntuser.ini?NVIDIA?PerfLogs?ProgramData?Program Files?Program Files (x86)?thumbs.db?users\\all users?Windows?Windows.old?
SolidBit 勒索軟件檢查要避免的文件
此 SolidBit 變體使用 256 位高級加密標準 (AES) 加密來加密受害者計算機中的文件。附加在加密文件內容中的密鑰將充當 SolidBit 的感染標記。密鑰來自通過 Rivest-Shamir-Adleman (RSA) 加密并編碼為 Base 64 的二進制硬編碼字符串。勒索軟件還將 .SolidBit 文件擴展名附加到加密文件并更改其文件圖標(圖 14)。它的加密例程只加密具有特定文件擴展名的文件。
SolidBit 勒索軟件的加密例程
文件的加密內容
一個被SolidBit勒索軟件加密的文件
這個 SolidBit 變體還將終止多個服務,刪除所有卷影副本和備份目錄,并刪除受害者計算機中的 42 個服務。
SolidBit 刪除卷影副本
SolidBit 刪除備份目錄
它還將刪除一個文件 RESTORE-MY-FILES.txt,其中包含有關受害者如何向每個目錄支付贖金的說明,并在受害者的設備上顯示一個彈出窗口。
SolidBit 勒索軟件釋放的勒索信
SolidBit 勒索軟件在受害者屏幕上顯示的彈出窗口
SolidBit是LockBit的模仿者
SolidBit 被懷疑是 LockBit 勒索軟件的模仿者,因為兩者在聊天支持網站的格式和勒索信的文件名上有相似之處。
LockBit(左)和 SolidBit(右)聊天支持網站的相似之處
LockBit(左)和 SolidBit(右)的勒索信
但是,SolidBit 勒索軟件是使用 .NET 編譯的,實際上是 Yashma 勒索軟件的變體,也稱為 Chaos。SolidBit 的勒索軟件攻擊者目前可能正在與 Yashma 勒索軟件的原始開發者合作,并可能修改了 Chaos 構建器的一些功能,后來將其重新命名為 SolidBit。
SolidBit 勒索軟件(左)和 Yashma 勒索軟件(右)的功能介紹
SolidBit 勒索軟件(左)和 Yashma 勒索軟件(右)檢查目標系統目錄中的文件
與早期 SolidBit 變體的 159 KB 相比,新的 SolidBit 樣本比其前身大 5.56 MB。它使用虛假League of LegendsAccount Checker 應用程序來刪除其勒索軟件有效負載是其武器庫中的一項新技術。
SolidBit 冒充社交媒體工具
除了欺詐性的英雄聯盟帳戶檢查器應用程序之外,上述 GitHub 帳戶還上傳了這個新的 SolidBit 變體,偽裝成其他名為“Social Hacker”和“Instagram Follower Bot”的合法應用程序。但是,在撰寫本文時,該帳戶已被刪除。
偽裝成名為 Social Hacker 的應用程序的新 SolidBit 勒索軟件變體的文件屬性
偽裝成名為 Instagram Follower Bot 的應用程序的新 SolidBit 勒索軟件變體的文件屬性
這兩個惡意應用程序在虛擬機上執行時都會顯示錯誤消息,它們表現出與虛假英雄聯盟帳戶檢查器相同的行為,其中它們釋放并執行一個可執行文件,而該可執行文件又會釋放并執行 SolidBit 勒索軟件有效負載。
Social Hacker 和 Instagram Follower Bot 應用程序在虛擬機上運行時顯示的錯誤消息
三個包含新 SolidBit 變體的惡意應用程序的執行流程
SolidBit 作為勒索軟件即服務
SolidBit 背后的攻擊者不僅僅將惡意應用程序作為傳播勒索軟件的手段。一名研究人員發現,SolidBit 勒索軟件組織還于 6 月 29 日在地下論壇上發布了招聘廣告,為他們的勒索軟件即服務 (RaaS) 活動招募潛在的合作機構。這些負責滲透受害者系統并傳播 SolidBit 的合作機構將獲得 80% 的勒索軟件支出作為傭金。
防御措施
SolidBit 勒索軟件背后的惡意軟件開發者似乎正準備通過招募勒索軟件即服務合作伙伴來擴大其業務,這些合作伙伴將在新發現的變體的傳播方法之上促進更廣泛的感染。SolidBit 的開發者提供的高比例傭金可能會吸引其他機會主義者,因此我們預計該勒索軟件組織在不久的將來會有更多活動。
雖然勒索軟件將自己偽裝成合法程序或工具作為社會工程誘餌并不是什么新鮮事,但 SolidBit 的新變體針對的是擁有大量用戶群的游戲和應用程序。這使得 SolidBit 的勒索軟件攻擊者可以廣泛覆蓋潛在受害者,而可能不精通安全衛生的用戶(例如兒童或青少年)可能會成為欺詐性應用程序和工具的受害者,就像之前的Minecraft和Roblox惡意軟件感染的情況一樣。
最終用戶和組織都可以通過遵循以下安全最佳實踐來降低勒索軟件感染的風險:
1.啟用多因素身份驗證 (MFA) 以防止攻擊者在網絡內執行橫向移動;
2.備份重要文件時,請遵守 3-2-1 規則,即以兩種不同的文件格式創建三個備份副本,其中一個副本存儲在單獨的位置。
3.定期修復和更新系統。保持操作系統和應用程序處于最新狀態非常重要,這將防止惡意行為者利用任何軟件漏洞。
4.使用多層檢測和響應的安全解決方案中受益。
