LockFile 勒索軟件使用間歇性加密來逃避檢測
自 7 月以來,一種名為 LockFile 的新型勒索軟件威脅一直是全球企業的受害者。其成功的關鍵是一些新技巧,這些技巧使反勒索軟件解決方案更難檢測到它。
該威脅使用了來自防病毒供應商 Sophos 的研究人員所說的“間歇性加密”,這意味著它只加密文件內的數據塊而不是其完整內容。這顯著加快了加密過程,或者更好地說是數據損壞過程,但也顯著地欺騙了依賴統計分析來檢測潛在未授權文件加密的勒索軟件保護系統。、
LockFile 在構建時考慮到了規避
LockFile 使用多種技術來逃避檢測,從它自己的可執行文件開始,該文件既打包又格式錯誤。文件的第一部分全是零,然后是包含編碼數據的第二部分。位于末尾的三個函數解碼來自第二部分的數據,將其放入第一部分,然后跳轉到該代碼執行它。此例程的目標是拋棄監控文件執行的端點保護軟件。
然后惡意軟件利用 Windows 管理界面 (WMI) 掃描并殺死與業務應用程序相關的重要進程,包括 Hyper-V 虛擬機、Oracle VM Virtual Box 管理器、Oracle VM Virtual Box 服務、Microsoft SQL Server、MySQL 數據庫、Oracle MTS恢復服務、Oracle RDBMS 內核、Oracle TNS 偵聽器和 VMware 虛擬機。
殺死這些進程的目標是移除數據庫、虛擬機或這些應用程序放置的配置文件上的任何系統鎖,以便勒索軟件可以加密它們。通過利用 WMI,進程將被系統本身終止,而不是由勒索軟件可執行文件終止。這是另一種檢測規避技術,也旨在使事件響應復雜化。
另一個值得注意的技巧是 LockFile 對文件執行操作的方式。惡意軟件不會直接修改磁盤上的文件,而是首先將它們映射到系統的 RAM 內存中,在那里執行修改,然后依賴 Windows 系統進程將修改提交到磁盤。
對于行為監控產品,這將表現為操作系統本身執行的輸入/輸出 (I/O) 操作,而不是潛在可疑進程。它也會發生延遲,從幾秒到幾分鐘不等,具體取決于磁盤的繁忙程度。
LockFile 并不是第一個使用內存映射 I/O 的勒索軟件威脅。Sophos 下一代技術工程總監馬克·洛曼 (Mark Loman) 在博客文章中表示,Maze 和 WastedLocker 也使用了這種技術,但這種技術并不常見。
間歇性加密
然而,間歇性加密的使用是 Sophos 研究人員在勒索軟件中從未見過的新發展。LockBit 2.0、DarkSide 和 BlackMatter 等其他威脅使用了部分加密,僅加密文檔的開頭以加快進程,但 LockFile 的方法不同且意義重大。
從安全角度來看,不完整的加密很糟糕,因為它會使數據暴露在外,但勒索軟件的目標不是數據隱私。它是可控且可逆的數據損壞,僅使用加密作為工具。因此,勒索軟件不需要對文件的全部內容進行加密,只需加密足以使用戶無法使用它們即可,這就是 LockBit 2.0、DarkSide 和 BlackMatter 通過加密文件的起始部分來實現的。
然而,LockFile 的方法是加密文件的每隔 16 個字節。因此,生成的文件將包含 16 字節的加擾數據,然后是 16 字節未觸及的原始數據,然后是另外 16 字節的加擾數據,依此類推。這個過程不像只加密起始部分那么快,但還有另一個好處:它會扭曲統計分析。
一些勒索軟件檢測程序使用統計分析測試來檢測文件修改是否是文件加密的結果。如果測試表明文件已被加密,程序將阻止該進程修改其他文件。
這是有效的,因為由隨機數據組成的加密文件與未加密的文件在統計分析中看起來非常不同。通常用于檢測數據中統計顯著差異的一種檢驗稱為卡方 (chi^2) 檢驗。
“一個 481KB 的未加密文本文件(比如一本書)的 chi^2 分數為 3850061。如果文檔被 DarkSide 勒索軟件加密,它的 chi^2 分數將為 334——這清楚地表明該文檔已加密,”洛曼解釋說。“如果同一個文檔被 LockFile 勒索軟件加密,它的 chi^2 分數仍然會很高,為 1789811。” 換句話說,如果一個檢測程序被它的創建者校準為只檢測和處理非常大的統計差異以避免誤報,它可能會錯過 LockFile 執行的加密。
LockFile 的劇本中的最后一個技巧是在完成加密過程后刪除自身。這可能會阻礙事件響應,因為響應者將搜索勒索軟件二進制文件來分析和清理系統。
鎖文件分發
LockFile 勒索軟件是通過利用 Microsoft Exchange 服務器中統稱為ProxyShell的一系列漏洞(CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207)進行分發的。這些漏洞的補丁自 4 月和 5 月就已經可用,但盡管比用于在 Exchange 服務器上安裝 web shell的ProxyLogon漏洞更嚴重、更容易被利用,但它們并沒有受到同等程度的關注。因此,許多組織還沒有修補他們的服務器。
勒索軟件背后的組織還利用稱為PetitPotam的 NTLM 中繼攻擊來訪問公司網絡內的域控制器。
