勒索軟件利用間歇性加密躲避檢測(cè)算法

布加迪
據(jù)研究人員聲稱(chēng),間歇性加密讓攻擊者可以更有效地規(guī)避使用統(tǒng)計(jì)分析來(lái)檢測(cè)當(dāng)前勒索軟件感染的系統(tǒng)。這種分析基于操作系統(tǒng)文件輸入和輸出操作的強(qiáng)度,即基于文件的已知版本與可疑修改版本之間的相似性。

6f061d950a7b02082ebb5c93028ee5da572cc836.jpeg

本文來(lái)自嘶吼網(wǎng),作者/布加迪。

大多數(shù)開(kāi)展索軟件活動(dòng)的網(wǎng)絡(luò)犯罪分子都備受關(guān)注。他們不僅遭到執(zhí)法部門(mén)和安全公司的調(diào)查,就連他們從技術(shù)上傳播惡意軟件的方式以及惡意軟件在受感染計(jì)算機(jī)上運(yùn)行和工作的方式也受到嚴(yán)密調(diào)查。

SentinelOne公司的一份新報(bào)告披露了一些勒索軟件組織采用的一種新技術(shù),這種最近在外頭盛行的技術(shù)名為“間歇性加密”(intermittent encryption)。

什么是間歇性加密?

這個(gè)術(shù)語(yǔ)可能令人困惑,因此立即予以澄清似乎很重要:間歇性加密不是旨在加密所選擇的完整文件,而是選擇性加密文件中的部分字節(jié)。

據(jù)研究人員聲稱(chēng),間歇性加密讓攻擊者可以更有效地規(guī)避使用統(tǒng)計(jì)分析來(lái)檢測(cè)當(dāng)前勒索軟件感染的系統(tǒng)。這種分析基于操作系統(tǒng)文件輸入和輸出操作的強(qiáng)度,即基于文件的已知版本與可疑修改版本之間的相似性。因此,間歇性加密降低了文件輸入/輸出操作的強(qiáng)度,在某個(gè)特定文件的非加密版本和加密版本之間表現(xiàn)出極高的相似性,因?yàn)槲募兄挥幸恍┳止?jié)被更改。

間歇性加密還具有在很短的時(shí)間內(nèi)加密較少內(nèi)容但仍導(dǎo)致系統(tǒng)無(wú)法使用的好處,這使得在感染時(shí)間和加密內(nèi)容時(shí)間之間檢測(cè)勒索軟件活動(dòng)變得更困難了。

針對(duì)使用不同文件大小的BlackCat勒索軟件的研究表明,間歇性加密為威脅分子在速度方面帶來(lái)了顯著優(yōu)勢(shì)。

LockFile勒索軟件是2021年年中第一個(gè)使用間歇性加密的惡意軟件系列,不過(guò)現(xiàn)在有幾個(gè)不同的勒索軟件系列也在使用它。

哪些威脅組織在使用間歇性加密?

同樣重要的是要知道間歇性加密在眾多地下論壇中變得越來(lái)越流行,地下論壇在大力宣傳間歇性加密,以吸引更多的買(mǎi)家或勒索軟件組織加盟機(jī)構(gòu)。

•Qyick勒索軟件

SentinelOne的研究人員報(bào)告,他們?cè)诎稻W(wǎng)的一個(gè)流行犯罪論壇上看到了一個(gè)名為Qyick的新型商業(yè)勒索軟件所打的廣告。名為lucrostm的廣告商此前被發(fā)現(xiàn)在兜售其他軟件,比如遠(yuǎn)程訪(fǎng)問(wèn)工具(RAT)和惡意軟件加載程序,并出售Qyick,價(jià)格從0.2個(gè)比特幣到約1.5個(gè)比特幣不等,具體取決于買(mǎi)家想要的功能選項(xiàng)。Lucrostm作出的保證之一是,如果勒索軟件系列的二進(jìn)制文件在購(gòu)買(mǎi)后六個(gè)月內(nèi)被安全解決方案檢測(cè)出來(lái),未檢測(cè)到的新勒索軟件樣本將給予60%至80%的大幅折扣。

該勒索軟件是用Go語(yǔ)言編寫(xiě)的,據(jù)開(kāi)發(fā)人員聲稱(chēng),這有望加快勒索軟件的運(yùn)行,此外使用間歇性加密(圖1)。

6f061d950a7b02082ebb5c93028ee5da572cc836.jpeg

圖1.網(wǎng)絡(luò)犯罪地下論壇上的Qyick勒索軟件廣告(來(lái)源:SentinelOne)

Qyick仍然是一種正在開(kāi)發(fā)中的勒索軟件。雖然它現(xiàn)在沒(méi)有將數(shù)據(jù)外泄的功能,但未來(lái)版本將讓控制者可以執(zhí)行任意代碼,主要用于此目的。

•PLAY勒索軟件

該勒索軟件于2022年6月首次露面。它根據(jù)當(dāng)前文件的大小使用間歇性加密。它以十六進(jìn)制加密0x100000字節(jié)塊(十進(jìn)制為1048576字節(jié)),并根據(jù)文件大小加密兩個(gè)、三個(gè)或五個(gè)塊。

•Agenda勒索軟件

這個(gè)勒索軟件是另一種用Go語(yǔ)言編寫(xiě)的勒索軟件。它支持控制者可以配置的幾種不同的間歇性加密方法。

第一種方法名為“skip-step”,讓攻擊者可以加密文件的每X MB(兆字節(jié)),跳過(guò)指定MB數(shù)量的部分。第二種方法名為“fast”,允許只加密文件的前N MB部分。最后一種方法名為“percent”,允許只加密文件的一部分。

•Black Basta勒索軟件

這個(gè)勒索軟件自2022年4月以來(lái)一直充當(dāng)勒索軟件即服務(wù)(RaaS)。它是用C++語(yǔ)言編寫(xiě)的,其運(yùn)營(yíng)團(tuán)伙一直將它與雙重勒索結(jié)合使用,如果受害者不支付贖金,就揚(yáng)言要泄露數(shù)據(jù)。

Black Basta的間歇性加密方法每加密64個(gè)字節(jié),就跳過(guò)192個(gè)字節(jié),如果文件大小不到4KB。如果文件大于4KB,該勒索軟件每加密64個(gè)字節(jié),就跳過(guò)128個(gè)字節(jié),而不是跳過(guò)192個(gè)字節(jié)。

•BlackCat/ALPHV

BlackCat又叫ALPHV,是一種用Rust語(yǔ)言開(kāi)發(fā)的勒索軟件,被用作RaaS模式。該威脅組織很早就擅長(zhǎng)使用勒索手段,比如通過(guò)數(shù)據(jù)泄露或分布式拒絕服務(wù)(DDoS)攻擊來(lái)威脅其受害者。

BlackCat勒索軟件為控制者提供了幾種不同的加密模式,從完全加密到集成間歇性加密的模式:它提供僅加密文件前N個(gè)字節(jié)的功能,或者每加密N個(gè)字節(jié)就跳過(guò)X個(gè)字節(jié)的功能。

它還擁有更高級(jí)的加密功能,比如將文件分成不同大小的塊,只加密每個(gè)塊的前P個(gè)字節(jié)。

除了間歇性加密,BlackCat還包含一些盡可能加快速度的邏輯功能:如果被感染的計(jì)算機(jī)支持硬件加速,該勒索軟件使用AES(高級(jí)加密標(biāo)準(zhǔn))進(jìn)行加密。要不然,它就使用完全用軟件實(shí)現(xiàn)的ChaCha20算法。

如何防范這種威脅?

建議始終確保操作系統(tǒng)及在其上面運(yùn)行的所有軟件是最新版本,并打上補(bǔ)丁,避免受到常見(jiàn)漏洞的影響。

還建議在勒索軟件在一臺(tái)或多臺(tái)計(jì)算機(jī)上被植入之前,部署安全解決方案以嘗試檢測(cè)威脅。

如果有可能,應(yīng)盡量部署多因素身份驗(yàn)證,以便攻擊者無(wú)法僅使用憑據(jù)就能訪(fǎng)問(wèn)可以運(yùn)行勒索軟件的網(wǎng)絡(luò)部分。

應(yīng)該提高每個(gè)用戶(hù)的安全意識(shí),尤其是電子郵件方面的意識(shí),因?yàn)殡娮余]件是勒索軟件最常用的感染途徑之一。

本文翻譯自:https://www.techrepublic.com/article/ransomware-makes-use-of-intermittent-encryption-to-bypass-detection-algorithms/

THEEND

最新評(píng)論(評(píng)論僅代表用戶(hù)觀(guān)點(diǎn))

更多
暫無(wú)評(píng)論