Sophos 是新一代网路安全领域的全球领导者,今天发布最新研究《Dridex 殭尸网路在近期攻击中散布 Entropy 勒索软体》,详细介绍用途广泛的 Dridex 殭尸网路和鲜为人知的 Entropy 勒索软体程式码极为相似。相似之处包括用于隐藏勒索软体程式码的软体打包程式、寻找和模糊命令 (API 呼叫) 的恶意软体副程式,以及用于解密加密文字的副程式。
Sophos 在调查两起攻击者使用 Dridex 散播 Entropy 勒索软体的事件时发现了这些相似之处。上述攻击锁定了一家媒体公司和一家地方政府机构,使用特製版本的 Entropy 勒索软体动态连结程式库 (DLL),并将目标名称嵌入在勒索软体程式码中。在两次攻击中,攻击者还在一些受害电脑上部署了 Cobalt Strike,并使用合法的 WinRAR 压缩工具将资料外洩到云端储存供应商,然后在未受保护的电脑上启动勒索软体。
Sophos 首席研究员 Andrew Brandt 表示:恶意软体操作者共用、借用或窃取彼此的程式码并非新鲜事,目的无非是为了节省撰写程式码的时间、故意误导追蹤,或是分散安全研究人员的注意力。这种做法使我们更难找出能证实其与恶意软体家族相关或是被栽赃的证据,使得调查人员更难着手且攻击者更容易消遥法外。在本次分析中,Sophos 仔细分析 Dridex 和 Entropy 用来增加鉴识分析难度的程式码,包括防止对底层恶意软体进行简单静态分析的打包程式码、程式用来隐藏命令 (API) 呼叫的副程式,以及解密恶意软体内加密文字字串的副程式。研究人员发现,两种恶意软体中的副程式基本上都使用了相似的程式码和逻辑。
不同的攻击方法
除了在程式码中发现相似处外,Sophos 研究人员还发现了一些显着的差异。在针对媒体机构的攻击中,攻击者利用 ProxyShell 对有弱点的 Exchange 伺服器安装远端命令介面,以便日后能利用它将 Cobalt Strike 信标传播到其他电脑。攻击者在网路中待了四个月,然后于 2021 年 12 月初启动 Entropy。
在针对地方政府组织的攻击中,受害者是经由恶意电子邮件附件感染 Dridex 恶意软体。攻击者随后使用 Dridex 传递额外的恶意软体,并在目标网路内横向移动。事件分析表明,在最初侦测到某一电脑上出现可疑登入后 75 小时,攻击者开始窃取资料并将其转移到多个云端供应商。
持续获得保护
调查发现,在这两个案例中,攻击者都利用了未修补且易受攻击的 Windows 系统并滥用合法工具。定期安全修补,以及安排威胁捕猎人员和安全营运团队对可疑警示积极调查,有助于使攻击者更难获得目标的初始存取权限和部署恶意程式码。
Sophos 端点产品 (例如 Intercept X) 能透过侦测勒索软体和其他攻击的动作和行为来保护使用者,例如上述 Sophos 研究中描述的攻击。