首页 >> 网络安全 >>病毒分析 >> Maze勒索软件通过虚拟机加密 分析报告
详细内容

Maze勒索软件通过虚拟机加密 分析报告

时间:2020-09-19        阅读

迷宫勒索软件操作者采用了Ragnar Locker团伙先前使用的策略;从虚拟机中加密计算机。虚拟机会将主机驱动器安装为远程共享,然后在虚拟机中运行勒索软件以加密共享文件。由于虚拟机未运行任何安全软件,并且正在安装主机的驱动器,因此主机的安全软件无法检测到恶意软件并将其阻止。与Ragnar Locker先前的攻击相比,这在磁盘大小方面是一种昂贵的攻击方法。由于Ragnar Locker的VM攻击使用Windows XP,因此总大小仅为404 MB。由于Maze使用Windows 7,因此占用空间大得多,总共为2.6 GB。


通知

本报告按“原样”提供,仅供参考。国土安全部(DHS)不对此处包含的任何信息提供任何形式的保证。国土安全部不认可本公告或其他参考的任何商业产品或服务。


本文档标记为TLP:白色-披露不受限制。根据适用的公开发布规则和程序,当信息携带的滥用风险极小或没有可预见的风险时,来源可以使用TLP:WHITE。根据标准版权规则,可以无限制地分发TLP:WHITE信息。有关交通灯协议(TLP)的更多信息,请参见http://www.us-cert.gov/tlp。


摘要

描述

与此报告相关联的基于伊朗的恶意网络参与者已知是针对整个美国与信息技术,政府,医疗,金融和保险相关的行业。已经观察到该威胁参与者利用了几个公共已知的常见漏洞和披露(CVE),它们与Pulse Secure虚拟专用网络(VPN),Citrix NetScaler和F5漏洞有关。一旦参与者利用了这些漏洞,就会使用开源Web Shell和/或Web Shell的修改版本来进一步巩固受害者网络。这些Web外壳公开称为ChunkyTuna,Tiny和China Chopper Web Shell。


该产品详细介绍了19个恶意文件的功能,包括China Chopper Web Shell的多个组件,包括一个应用程序服务提供商(ASP)应用程序,该应用程序侦听来自远程操作员的传入超文本传输协议(HTTP)连接。China Chopper Web Shell将允许操作员将JavaScript代码传递并执行到受害者的系统上。该报告还详细介绍了其他China Chopper Web Shell组件,这些组件使操作员可以使用更多特定的命令和控制(C2)功能,包括枚举目录,上载和执行其他有效载荷以及提取数据的功能。


此外,还分析了程序数据(PDB)文件和二进制文件,这些文件和二进制文件已被识别为开源项目“ FRP”的编译版本。FRP允许敌方通过隧道将各种类型的连接传送到位于受害者网络外围之外的远程操作员。此外,还分析了一个PowerShell外壳脚本,该脚本是开源项目“ KeeThief”的一部分。此代码将使操作员可以访问Microsoft“ KeePass”密码管理软件存储的加密密码凭据。


看来该对手利用了这些恶意工具来维护持久的远程访问以及从受害者的网络中泄漏数据。攻击者可能已经使用“ FRP”实用程序来建立出站远程桌面协议(RDP)会话的隧道,从而允许从防火墙外围外部对网络的持久访问。China Chopper Web Shell还提供了在外围区域内导航受害者网络的持久能力。利用“ KeeThief”实用程序,可以访问敏感的用户密码凭据,并有可能转到受害者网络之外的用户帐户。


另外7个文件包含恶意超文本预处理器(PHP)代码,这些代码旨在用作恶意Web外壳,被标识为ChunkyTuna和Tiny Web外壳。这些Web Shell的目的是接受来自远程操作员的命令和数据,从而在受到威胁的系统上为操作员提供C2功能。


恶意软件分析报告(AR20-259A)

https://us-cert.cisa.gov/ncas/analysis-reports/ar20-259a

.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录