- A+
QNAPCrypt继续通过暴力攻击传播。
一个罕见的勒索软件针对基于Linux的文件存储系统(特别是网络附加存储服务器)的实例已经被发现,通过15个独立但相关的活动传播。 据研究人员称,这项努力背后的对手正在持续进行掠夺,因此预计目标将会激增。
在QNAP之后,Intezer Labs的研究人员将该恶意软件称为“QNAPCrypt”,QNAP是其中一家较大的NAS服务器供应商。
“NAS服务器通常存储大量重要数据和文件,这使得它们成为攻击者的宝贵目标,尤其是勒索软件活动的可行目标,”Intezer研究员Ignacio Sanmillan在本周发布的恶意软件分析中表示。 但是,他指出“很少看到勒索软件被用来瞄准Linux操作系统。”
研究人员表示,QNAPCrypt有一些与标准勒索软件包不同的属性。 与许多勒索软件一样,它是一种ARM变体,可以对所有文件进行加密,但是赎金票据仅作为文本文件保留在机器上,屏幕上没有任何消息。 “自然,因为它是服务器而不是终点,”Sanmillan指出。
此外,每个受害者都会获得一个不同的,独特的比特币钱包 - 一个可以帮助攻击者避免通过资金流追踪的方面 - 被追踪。 受害者受到攻击后,恶意软件会在文件加密之前从命令和控制服务器(CC2)请求钱包地址和公共RSA密钥。
这个钱包功能已被证明是攻击者的阿基里斯之踵。 研究人员确定了研究人员所说的几个“主要设计缺陷”,使他们能够暂时阻止演员的威胁。
首先,比特币钱包列表是静态的,并在活动开始之前创建。
研究人员解释说:“因此,它不会为每个新受害者实时创建新的钱包,而是从固定的预定列表中提取钱包地址。”
其次,列表是静态的,也是有限的。 “一旦分配(或发送)所有钱包,勒索软件将无法继续在受害者的机器上进行恶意操作,”他们说。
这为Intezer打开了大门,通过模拟超过1,091名受害者的感染,能够实现本质上是拒绝服务(DoS)的攻击,迫使攻击者通过他们的独特比特币钱包列表供应给受害者。
“在研究恶意软件的ARM实例时,我们发现有一个请求通过他们的REST API来检索新的受害者配置密钥,”Sanmillan解释说,并补充说这是通过连接到SOCKS5代理来完成的。 这就是第三个设计漏洞,这个与SOCKS5代理的连接在没有强制执行任何身份验证的情况下完成,因此任何人都可以连接到它。
“这个想法只是滥用了没有强制执行身份验证以连接到SOCKS5代理的事实,”Sanmillan解释说。 “由于这些勒索软件背后的作者是从已经生成的钱包的静态池中为每个受害者提供一个比特币钱包,我们可以复制感染包以检索所有钱包,直到他们无法控制其他钱包为止。 因此,当发生真正的感染时,赎金客户端将无法检索配置工件。“
攻击者注意到了,不久之后Intezer发现了更新的QNAPCrypt变种。
“因此......这个恶意软件背后的作者被迫更新他们的植入物,以避免他们的基础设施中的这种设计缺陷继续他们的恶意操作,”Samillan说。 “经过几天连续DoS的QNAPCrypt客户,我们遇到了另一个QNAPCrypt样本 - 但这次是针对x86系统的。”
这个较新的植入物将大部分代码重新用于x86 Linux.Rex的旧实例,这是一种恶意软件,它在2016年成为一个自我复制的木马,使用受感染的机器创建点对点僵尸网络,以便进行勒索软件和DDoS操作。
“我们将这些具有硬编码配置的新实例的发现解释为该竞选活动背后的威胁行为者试图绕过DoS的回应,”Sanmillan说。 “这意味着他们被迫改变他们的植入物并集中他们的比特币钱包,通过他们的勒索软件活动跟踪他们的收入更方便。”
Intezer确定广告系列的初始攻击媒介是SSH暴力攻击,因此管理员应注意使用强密码更新其凭据以避免感染。
至于针对NAS的决定,Vectra安全分析负责人克里斯莫拉莱斯告诉Threatpost,将端点监控部署到Linux专用网络文件服务器并不常见 - 因此,QNAPCrypt恶意软件代表了它的演变和适应性。绕过安全控制的攻击。
“在勒索软件攻击中经常发生的事情是桌面计算机,即Windows或OS X,将通过现有的漏洞或网络钓鱼活动受到攻击,”他解释道。 “一旦主机被感染,恶意软件就会在用户系统中传播并加密连接到这些系统的网络文件服务器。 通过直接定位网络文件服务器,攻击极有可能绕过监控本地加密行为的端点安全工具的检测。
不要错过 7月24日星期三美国东部时间下午2点 的免费直播 威胁邮件网络研讨会 “ 精简补丁管理”。 请加入Threatpost编辑Tom Spring和一个补丁专家小组讨论补丁管理的最新趋势,如何为您的企业找到合适的解决方案以及在部署程序时面临的最大挑战。 注册并了解更多信息
