2016年底旧金山市交通局遭到重大 络袭击,攻击者使用被称之为Mamba的勒索软件。这个月,卡巴斯基的研究人员注意到,Mamba最后的黑客组织又重新开始活跃起来了。
攻击范围
目前为止,观察到以下地区的一些公司遭遇了这伙犯罪分子的袭击:
巴西
沙特阿拉伯
攻击向量
像之前的攻击活动相似,犯罪分子首先获得了目标组织的 络访问权限,然而使用Psexec实用程序进行勒索。此外,需要强调的是,勒索软件对入侵 络中的每台机器上的磁盘加密程序都生成了一个独立的密码,这个密码是勒索软件 Dropper指定、通过命令行参数执行的。
勒索软件执行的示例
技术分析
简而言之,恶意活动可以分为两个阶段:
第1阶段(预备)
创建文件夹“C:xampphttp”
下发DiskCryptor(磁盘加密)组件到文件夹中
安装Diskcryptor的驱动程序
注册名为“DefragmentService”的系统服务
重新启动受害者的机器
第2阶段(加密)
使用Diskcryptor软件安装一个新的引导程序到MBR中,并加密磁盘分区
清理
重新启动受害者的机器
接下来,我们将详细简述一下各个阶段的关键技术细节:
第1阶段(预备)
由于木马使用了Diskcryptor程序,在预备阶段需要在受害者机器上完成安装这个工具的任务。恶意的Drooper样本在自己的资源中存储了Diskcryptor功能模块。
DiskCryptor模块
恶意软件能够甄别操作系统的信息,下发合适的DiskCryptor模块(32bit 或64bit)到新建的“C:xampphttp”文件夹中。
恶意软件下发必要的功能模块
然后,恶意软件下发DiskCryptor安装的驱动程序:
DiskCryptor驱动程序
DiskCryptor安装好之后,恶意程序会创建一个系统服务“DefragmentService”,这个服务包含SERVICE_ALL_ACCESS 和 SERVICE_AUTO_START两个参数。
恶意软件创建的服务的部分功能(截图)
预备阶段的最后一个步骤是重启系统。
强制重启系统的函数
第2阶段(加密)
首先,恶意软件使用Diskcryptor程序建立一个新的引导程序到MBR中。
创建一个引导程序到MBR的调用过程
注意,在引导程序中包含了显示给被害者的“赎金消息”:
勒索软件的赎金信息
引导程序安装好之后,Diskcryptor程序对磁盘进行加密,加密所实用的密码是先前Dropper中指定的通过命令行参数的形式执行。
加密过程的调用树
加密完成后,系统将重新启动,然后,受害者将在屏幕上看到下列赎金界面:
受害者机器上显示的赎金界面
关于解密
很不幸,由于DiskCryptor使用了强加密算法,在不知道密码的情况下,无法对其加密的文件进行解密。
IOCs
79ed93df3bec7cd95ce60e6ee35f46a1
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!