勒索软件的最新攻击趋势分析
针对企业的勒索软件攻击与日俱增。仅在今年5月,美国最大的私营输油管道运营企业就遭到勒索软件的攻击,导致输油管道设施全面停止运营。此外,韩国某知名外卖平台企业也遭到了勒索软件的攻击,使数万家店铺和骑手蒙受了损失。
本文将介绍针对企业的勒索软件的最新攻击趋势。
根据韩国科学技术信息通信部最近发布的报道资料,“最近三年韩国勒索软件的举报情况”呈逐年增加的趋势。勒索软件将企业的服务运营和内部敏感信息当作“人质”,索要数字货币等金钱。由于最近数字货币的价格大幅上涨,针对需要快速恢复服务的企业的攻击不断增加。
(单位:举报数)
|
区分 |
2018年 |
2019年 |
2020年 |
2021年(~5.16) |
|
勒索软件入侵举报 |
22 |
39 |
127 |
55 |
【表1】过去3年韩国勒索软件的举报情况(来源:科学技术信息通信部)
从最近恶意代码功能的发展趋势来看,针对企业的攻击功能比针对个人的攻击功能有所增加。此外,它的特点是确认攻击目标是普通用户还是企业,以便执行按攻击目标的攻击功能。
从最近恶意代码功能的发展趋势来看,针对企业的攻击功能比针对个人的攻击功能有所增加。此外,它的特点是确认攻击目标是普通用户还是企业,以便执行按攻击目标的攻击功能。
由于拥有大量用户的企业的特性,在大多数情况下,系统属于配置AD(Active Directory)环境的域。恶意代码以域的存在与否作为判断其是否为企业的标准。如果是加入域的系统,则会安装黑客工具或下载其他的恶意代码以窃取帐户和内部传播。恶意代码窃取企业信息,并最终运行勒索软件。
此前,AhnLab分析并公开的恶意代码中,有以下几个事例是针对企业的恶意代码。
- Bazar加载程序(BazarLoader),Bazar后门(BazarBackdoor)
- Ryuk勒索软件(Ryuk Ransomware)
- Hancitor下载器(Hancitor Downloader)
- BlueCrab下载器(BlueCrab Downloader)
- Snake勒索软件(Snake Ransomware)
- Ammyy下载器(FlawedAmmyy Downloader)
作为参考,后门程序或下载器类恶意代码并不直接创建和运行勒索软件,而是通过额外安装后门程序以使用黑客工具进行控制并掌握企业系统。然后,攻击者使用黑客工具在系统上运行勒索软件。迄今为止确认的攻击都使用了Cobalt Strike黑客工具。
Bazar加载程序、Bazar后门以及Ryuk勒索软件
Bazar加载程序下载的Bazar后门收集用户的计算机信息和企业环境信息。通过与攻击者的C&C通信传输的数据中,有连接域名、连接的域资源(计算机名)列表、域信任列表、管理员(Administrators)组的成员列表和域管理员帐户结果等。如果被确认是企业,则执行下载其他恶意代码的下载器功能。根据海外的感染事例来看,Cobalt Strike用于在企业系统中运行Ryuk勒索软件或Conti勒索软件。
Ryuk勒索软件还对韩国某企业造成了损害,它是在窃取企业的域控制器后分发的。勒索软件本身也具有扫描内部网络并通过访问SMB共享文件夹进行传播的功能。
【图1】Ryuk勒索软件攻击结构图
Hancitor下载器
Hancitor是一款通过垃圾邮件附件传播的下载器,下载额外的恶意代码。过去下载信息泄漏型恶意代码,而最近下载FickerStealer信息泄漏型恶意代码。此时,如果系统属于域,则传送域信息并安装Cobalt Strike而不是FickerStealer , 如【图2】所示。
【图2】域信息
BlueCrab勒索软件
BlueCrab勒索软件在传播过程中通过域环境变量来检查是否为企业。如果不是企业,则安装并运行BlueCrab勒索软件;但如果是企业,则安装Cobalt Strike黑客工具。在连接C&C服务器之前,通过确认用户系统中是否存在%USERDNSDOMAIN%环境变量来检查。
【图3】确认是否存在%USERDNSDOMAIN%环境变量
Snake勒索软件
虽然现在没有出现,但是在2020年6月被发现的Snake勒索软件通过网络查询(如IP)确认了其是否为企业。这是一个针对少数特定企业的特殊情况,本田(Honda)等企业曾是目标企业。
【图4】通过网络查询确认是否为企业
Ammyy下载器
下载Ammyy后门的恶意代码是一个根据判断是否为企业以执行不同功能的典型事例。通过“cmd.exe /c net user /domain”命令来确认是否为企业。如果是普通个人用户,则显示默认设置名称“WORKGROUP”,而如果是企业,则显示域名。后续功能仅在满足企业的条件时才执行。
