勒索軟件新技術(shù)趨勢:間歇性加密

Avenger
防御者可以使用統(tǒng)計分析來檢測勒索軟件的加密操作,通過評估文件IO操作強(qiáng)度或文件修改的相似性可以進(jìn)行檢測。與完全加密相比,間歇加密可以有效規(guī)避此類分析。

本文來自FreeBuf,作者/Avenger。

攻擊者正在大量應(yīng)用間歇性加密來快速加密受害者的文件,這也是一個重大的賣點。

從兩方面來看,間歇性加密對勒索軟件運(yùn)營者來說是非常重要的:

速度:完全加密是非常耗時的,而時間對攻擊者來說是非常重要的,加密速度越快就越能防止被檢測與攔截

逃避:防御者可以使用統(tǒng)計分析來檢測勒索軟件的加密操作,通過評估文件IO操作強(qiáng)度或文件修改的相似性可以進(jìn)行檢測。與完全加密相比,間歇加密可以有效規(guī)避此類分析

2021年夏天,LockFile勒索軟件是首批引入間歇性加密技術(shù)的勒索軟件家族之一。后來,越來越多的勒索軟件都應(yīng)用了這一技術(shù)。

Qyick勒索軟件

2022年8月末,研究人員發(fā)現(xiàn)一個名為lucrostm的用戶在地下犯罪論壇上宣傳一種名為Qyick的新型勒索軟件。

Qyick勒索軟件是一次性買斷制,而非更常見的訂閱制。根據(jù)購買的級別,價格從0.2比特幣到1.5比特幣不等。賣家可以得到保證,如果勒索軟件在購買六個月內(nèi)被安全軟件檢測到,攻擊者將會以六折到八折的價格提供一個新的樣本。

2345截圖20220818151609.png

【Qyick勒索軟件廣告】

Qyick勒索軟件是用Go編寫的,并且具備間歇性加密功能。lucrostm聲稱Qyick勒索軟件具備如此快的加密能力,就是通過間歇性加密實現(xiàn)的。

當(dāng)前版本的Qyick并不具備數(shù)據(jù)泄露功能,但lucrostm表示未來將會新增執(zhí)行任意可執(zhí)行代碼的功能,主要用于數(shù)據(jù)泄露。

Agenda勒索軟件

Agenda勒索軟件在2022年8月首次被發(fā)現(xiàn),主要針對非洲和亞洲的醫(yī)療保健和教育組織進(jìn)行攻擊。該勒索軟件有一些自定義選項,包括更改加密文件的文件擴(kuò)展名以及要終止的進(jìn)程和服務(wù)列表。

Agenda勒索軟件支持多種加密模式(skip-step、percent和fast),如下所示:

2345截圖20220818151609.png

【幫助信息】

每種模式如下所示:

2345截圖20220818151609.png

BlackCat勒索軟件

BlackCat勒索軟件在2021年底開始頻繁攻擊,也是第一個已知的使用Rust編寫的勒索軟件。BlackCat背后的開發(fā)者于2021年12月初首次被發(fā)現(xiàn)在俄羅斯地下犯罪論壇上進(jìn)行宣傳。

2345截圖20220818151609.png

【論壇信息】

BlackCat勒索軟件運(yùn)行著勒索軟件即服務(wù)(RaaS),使用防彈主機(jī)來部署網(wǎng)站,并且使用比特幣混合服務(wù)來進(jìn)行匿名交易。

2345截圖20220818151609.png

【ALPHV Collections一個可搜索泄露受害者數(shù)據(jù)的數(shù)據(jù)庫】

BlackCat勒索軟件攻擊全球各種組織與企業(yè),2022年9月,BlackCat勒索軟件針對意大利的國有能源服務(wù)公司GSE發(fā)起攻擊。

SentinelLabs研究員Aleksandar Milenkoski對BlackCat勒索軟件樣本進(jìn)行了逆向分析,加密模式如下所示:

1(1)(1).jfif.jpg

【加密模式信息】

與完全加密相比,使用Auto模式的BlackCat勒索軟件可以顯著減少加密時間。

P=LAY勒索軟件

該勒索軟件是勒索軟件領(lǐng)域的新玩家,于2022年6月下旬首次被發(fā)現(xiàn)。最近,該勒索軟件攻擊了多個知名目標(biāo),如2022年8月攻擊了阿根廷科爾多瓦法院。

2345截圖20220818151609.png

【勒索軟件勒索信息】

與Agenda和BlackCat相比,該勒索軟件不可配置。其加密模式是固定的:

如果文件大小小于或等于0x3fffffff字節(jié),加密2個塊

如果文件大小小于或等于0x27fffffff字節(jié),加密3個塊

如果文件大小大于0x280000000字節(jié),加密5個塊

分析時觀察到一個樣本每隔一個0x100000字節(jié)塊進(jìn)行加密,該文件包含空字符串,可以有效區(qū)分加密塊與未加密塊。

2345截圖20220818151609.png

【加密文件的部分內(nèi)容】

Black Basta勒索軟件

Black Basta是一個RaaS程序,于2022年4月出現(xiàn)。Black Basta勒索軟件接棒Conti勒索軟件出現(xiàn),該勒索軟件采用C++語言編寫。

Black Basta在勒索軟件領(lǐng)域迅速占據(jù)了一席之地,兩周內(nèi)公布了二十多個受害者,主要集中在公用事業(yè)、技術(shù)、金融和制造業(yè)。

2345截圖20220818151609.png

【Black Basta網(wǎng)站】

與P=LAY勒索軟件一樣,Black Basta不具備可配置加密模式。其加密模式為:

如果文件大小小于704字節(jié),完全加密

如果文件大小小于4 KB,則從文件開頭開始跳過192字節(jié)并每64字節(jié)進(jìn)行加密

如果文件大小大于4 KB,則從文件開頭開始跳過128字節(jié)并每64字節(jié)進(jìn)行加密

與P=LAY勒索軟件類似,由于包含空字符,使加密塊和未加密塊在視覺上更容易區(qū)分。

2345截圖20220818151609.png

【Black Basta加密內(nèi)容】

結(jié)論

間歇性加密對于攻擊者來說是非常有用的,這種方法有助于規(guī)避勒索軟件檢測機(jī)制,更快地加密文件。研究人員預(yù)計,間歇性加密將會被更多勒索軟件家族所采用。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論

本月熱門

精選文章

熱點資訊