首页 >> 网络安全 >>病毒分析 >> Thanos勒索软件:针对中东和北非的国有组织的破坏性变异
详细内容

Thanos勒索软件:针对中东和北非的国有组织的破坏性变异

时间:2020-09-05     作者:Robert Falcone【转载】   阅读

执行摘要

在2020年7月6日和7月9日,我们观察到与对中东和北非的两个国有组织的攻击有关的文件,这些组织最终安装并运行了Thanos勒索软件的变体。Thanos变体创建了一个文本文件,该文件显示赎金消息,要求受害者将“ 20,000 $”转入指定的比特币钱包以恢复系统上的文件。我们无法了解这些攻击的总体影响,也无法了解威胁行为者是否成功从受害者那里获得了付款。

1.png

图1.加密文件后显示的Thanos赎金记录。  

勒索软件还配置为覆盖主启动记录(MBR),该文件是计算机硬盘上加载的重要组件,计算机要找到并加载操作系统,该组件便是该组件。勒索软件会覆盖MBR,以显示与前面提到的文本文件相同的勒索消息,这是我们很少看到的一种技术。我们观察到的最著名的例子涉及Petya勒索软件在2017年。覆盖MBR是一种比往常更具破坏性的勒索软件方法。即使受害者支付了赎金,受害者也将不得不花费更多的精力来恢复他们的文件。幸运的是,在这种情况下,负责覆盖MBR的代码导致了异常,因为勒索消息中包含无效字符,这使MBR完好无损,并允许系统正确启动。这意味着即使将勒索软件配置为覆盖MBR,威胁参与者也无法成功导致感染Thanos勒索软件的计算机无法启动。

2.png

图2.如果MBR覆盖成功,则会显示Thanos赎金记录。

Thanos勒索软件最初是由Recorded Future在2020年2月讨论的,当时它在地下论坛上做广告出售。Thanos勒索软件具有一个构建器,该构建器允许参与者使用多种可用设置来自定义样本。Thanos待售的事实表明,多个威胁行为者可能使用此勒索软件。但是,我们充满信心地认为,同一演员在袭击中东和北非的两个国有组织时使用了Thanos变体。


根据遥测技术,我们于2020年1月13日首次观测到Thanos,此后已观测到130多个独特样本。我们认为威胁行为者可以事先访问这些组织的网络,因为样本包含凭据,我们认为这些参与者在交付勒索软件之前已从这些组织的网络中的系统中窃取了凭据。


这种特殊的攻击涉及多层PowerShell脚本,内联C#代码和Shellcode,以便将Thanos加载到内存中并在本地系统上运行。这些层主要基于可在开源框架(例如Sharp-Suite和Donut)中免费获得的代码。其中一层涉及自定义PowerShell,该PowerShell负责使用前面提到的被盗凭据将Thanos传播到本地网络上的其他系统。


我们分析了演员为中东和北非国营组织建立的这个特定的Thanos样本。我们确定这些组织已将勒索软件加载到内存中并在内存中运行。我们发现Thanos变体在功能上与Fortinet在2020年7月讨论的变体非常相似。Fortinet分析的样本还包含启用的网络传播功能,其中包括来自与我们所观察到的中东国营组织位于同一直辖市的另一个国营组织的网络凭证。Fortinet分析的样本包括我们观察到的相同的比特币钱包和联系电子邮件。当与在相同时间范围内以同一城市中的组织作为目标的目标相结合时,这表明这些攻击背后的共同行动者。


Palo Alto Networks的客户不受Wildfire和Cortex XDR的保护,该恶意软件由WildFire正确识别所有相关样本为恶意软件,而Cortex XDR可以阻止这种勒索软件感染的相关组件。


Thanos变体活动概述

我们不知道这些参与者是如何将Thanos勒索软件交付给中东和北非的两个国有组织的。但是,我们知道,使用这些工具背后的威胁组先前已经访问了这些网络,因为它们已经从网络中获取了有效的凭据。在这两个组织中都使用了完全相同的Thanos样本,这表明同一演员使用Thanos构建器创建了样本。


为这些网络创建的Thanos示例在.NET Thanos勒索软件在系统上运行之前执行几层,特别是使用来自多个开源框架的代码。这些层从一个PowerShell脚本开始,该脚本不仅将另一个PowerShell脚本作为子层加载,而且还尝试使用以前被盗的凭据将勒索软件传播到网络上的其他系统。第二层中的PowerShell只做内联加载嵌入式C#代码,因此初始PowerShell脚本可以执行它。C#代码是第三层,它基于UrbanBishop,可作为GitHub上Sharp-Suite框架的一部分公开获得。UrbanBishop代码负责将shellcode写入远程进程并执行它,其中shellcode是运行Thanos勒索软件之前的最后一层。在这种情况下,shellcode是由Donut创建的,Donut是另一个开源框架,它将生成可以在内存中加载和执行.NET程序集的shellcode。

3.png

图3.为在系统上运行Thanos勒索软件而执行的层。

PowerShell传播器

PowerShell扩展器(我们称为LogicalDuckBill)具有两个主要用途:

  1. 加载并运行Thanos勒索软件。

  2. 通过将自身复制到远程系统并在远程系统上执行,将其传播到其他系统。

LogicalDuckBill中的加载程序功能以base64编码的PowerShell脚本开始,它将使用IEX命令解码并运行。解码并执行的PowerShell包含以下代码,该代码有效地加载基于UrbanBishop的C#代码,随后LogicalDuckBill将调用该代码以注入Shellcode:

image.png

然后,LogicalDuckBill将在运行之前检查“ c:\”驱动器中是否存在名为“ logdb.txt”或“ logdb.txt.locked”的文件,这是散布器用来确保仅运行一个实例的方法每个系统上的嵌入式勒索软件的数量。我们还观察到另一个相关示例,该示例查找“ logdbnnn.txt”,这就是为什么我们将此脚本称为LogicalDuckBill。如果这些文件不存在,则LogicalDuckBill将向该文本文件写入“ 1”,然后继续执行其功能。


然后,LogicalDuckBill创建一个“ notepad.exe”进程,然后该进程将迭代正在运行的进程以查找已创建的“ notepad.exe”进程的进程ID(PID)。利用记事本进程的PID,PowerShell脚本基于UrbanBishop在已加载的C#代码中调用“ Do”方法,该方法最终将Donut框架生成的shellcode注入记事本进程并执行。然后,shellcode解密并将嵌入式.NET可执行文件加载到内存中并执行该程序,这就是Thanos勒索软件有效载荷。


LogicalDuckBill的扩展器功能从使用Get-NetTCPConnection cmdlet的脚本开始,以获取系统上当前TCP连接的远程地址。然后代码看起来通过为那些与启动这些远程地址10,172和192作为第一字节和通过每个发现的网络通过改变从最后一个八位字节将迭代1至254中的循环。对于每次迭代,该脚本将使用Test-NetConnection cmdlet来查看该脚本是否可以通过SMB端口tcp / 445连接到每个远程系统,如果可以,它使用net use命令以以前的方式连接到远程系统。凭证被盗并安装远程系统的C:驱动器到本地系统的X:驱动器。然后,脚本使用copy命令将自身复制到新映射的X:驱动器,该驱动器将LogicalDuckBill有效地复制到远程系统。然后,脚本将使用wmic在远程系统上运行流程调用create,以在远程系统上运行新复制的LogicalDuckBill示例。扩展功能通过删除映射的驱动器来完成每次迭代,所有这些操作均通过以下代码执行:

image.png

LogicalDuckBill中的这种传播方法与Thanos的C#代码中的传播方法相似。但是,使用PowerShell脚本进行传播可以允许参与者在创建映射的驱动器以及使用wmic运行复制的PowerShell脚本时包括以前被盗的网络凭据。


Thanos勒索软件

Thanos勒索软件是由Recorded Future在2020年2月首次发现的,当时它在地下论坛上做广告出售。Thanos勒索软件的代码与其他勒索软件变体(例如Hakbit)重叠,并且具有允许用户使用各种可用设置自定义样本的构建器。该勒索软件似乎仍在积极开发中,因为与Recorded Future分析的原始样本相比,我们观察到了在中东和北非国有企业运行的样本中新增的功能。实际上,运行在这两个组织网络上的Thanos勒索软件在可用功能上更接近于Fortinet在2020年7月讨论的变体。最明显的区别是,这些示例中没有提供Fortinet讨论的禁用安全启动的功能。


与其他Thanos勒索软件样本一样,为在这两个组织的网络上运行而构建的变体使用2048位RSA公钥来加密文件扩展名与表1中列出的文件匹配的文件。在加密文件内容之后,Thanos将添加文件扩展名。 “ .locked”到磁盘上的文件。

.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

猜你喜欢
更多
联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录