哈希工厂:新的CERBER RANSOMWARE变形每15秒

  • A+
所属分类:未分类

介绍

勒索软件作者处于不断创新的状态。 两周前,Invincea发现了一个Cerber版本,它不仅可以容纳受害者的机器人质,还可能被用作分布式拒绝服务攻击的一部分。 保持高变化率和创新对于恶意软件作者保持领先于安全控制非常重要,并且在他们的最新创建中,他们已经使用服务器端恶意软件工厂实现了动态制造新负载变体的能力。 Invincea发现了一种新的Cerber勒索软件攻击变种,它使用了一种前所未有的独特技巧,旨在打败基于签名的解决方案,如防病毒和威胁情报服务,以及任何其他依赖于识别已知恶意软件哈希的安全解决方案用于检测。 在这个新的“哈希工厂”攻击中,提供有效负载的服务器使用服务器端“恶意软件工厂”来变形Cerber有效负载,并且每15秒生成一次独特的哈希值。

技术分析

让我们首先看看Invincea Management Server的此事件的取证日志,看看这个Cerber变种在企业环境中的表现。 可以在此处查看下面更大版本的日志。

工人打开,phishing_lg

图1:屏幕截图显示了企业环境中端点上Cerber Ransomware行为的最新变体

日志开始显示用户从Outlook打开了Weaponized Office Document。 在这种情况下,该文档包含调用Microsoft的powershell的宏,后者调用了在Base64中编码的命令。 解码后,该命令使用Microsoft的板载后台智能传输下载服务从远程系统安装名为keyt.exe的二进制文件。 然后它将二进制文件放在当前用户的“我的文档”文件夹中。 有趣的是,赛门铁克能够使用其启发式检测来确定keyt.exe可能是恶意的,并在其日志中注明。 然而,尽管赛门铁克努力阻止攻击,但这个二进制文件已经启动并执行。 keyt.exe二进制文件将自身重命名为ntoskrnl.exe,并在系统启动时将其自身设置为自动运行。 最后,调用命令外壳程序以终止原始的keyt.exe进程并从系统中删除自身,然后通过ping自身进行检查以确保新感染的系统具有网络功能。

好消息是,感谢Invincea,这个用户没有受到这次攻击的影响。 Invincea检测到攻击并将系统恢复到干净的健康状态。

服务器端恶意软件工厂

Invincea的研究人员每天都会看到数十次Cerber感染。 但是,当我们尝试复制此变体的下载时,我们注意到我们从有效负载传递服务器收到的散列具有与上述事件中的散列不同的散列。 当我们第三次下载它时,还有另一个哈希。 15秒后,又有另一个,然后是另一个。 总之,我们下载了40多个独特的哈希Cerber有效载荷 - 所有有不同的哈希值。

看来我们正在处理服务器端恶意软件工厂。 恶意软件工厂和多态恶意软件并不新鲜。 有关恶意软件工厂及其概念的白皮书以及野外活动的证明可以从RSA下载。 该文件由RSA的Christopher Elisan(@tophs)和Patrick Belcher(@belchspeak)于2014年共同撰写,现在在Invincea。 尚不清楚Cerber传送服务器上的有效负载是在服务器本身上以编程方式生成的,还是由脚本远程生成和上载的。

我们通过我们的深度学习恶意软件检测技术运行这些有效负载,该技术是Invincea的X核心。 深度学习技术确定这些有效负载紧密地聚集在一起,表明它们共享相同的恶意软件DNA,如下所示:

KEYT

图2:Invincea的深度学习恶意软件检测X中的key2.exe样本集群显示2015年勒索软件样本的匹配

我们的深度学习技术表明,下载的keyt.exe样本具有相同的恶意软件特征,但更重要的是,它们与2015年9月收集的样本Invincea完全匹配。原始样本被检测为已经交付的勒索软件滴管通过Neutrino Exploit Kit。 您可能认为防病毒行业可以立即检测到2015年的旧代码,但上传到Virustotal的新keyt.exe样本仅由4个AV供应商检测到。 通过不断变换2015年相同的旧二进制文件,可以很容易地避开检测。

Cerber-Dridex重叠

我们的分析还显示了keyt.exe与另一个名为“SS_same_israel_freegaza.exe”的有趣二进制文件之间的关系。顾名思义,恶意软件作者不仅想要感染端点,还要对以色列做出政治声明。 这个二进制文件是在同一天的事件中收集的,详情如下:

CERBER-dridex_lg

图3:使用政治声明将Cerber下载重命名为exe

在上面的事件中,dropper文件被命名为encrypted.exe,而不是上一个事件中的keyt.exe。 此外,没有powershell命令,只有bitsadmin文件传输。 启动有效负载后,它会在端点上显示Cerber行为,因为它与keyt.exe基本上是相同的二进制类型,显示在我们的深度学习恶意软件检测工具中。 另一个区别是有效负载传送服务器是不同的。 在第一次事件中,服务器的IP为94.102.50.39。 对于encrypted.exe有效负载服务器,在8012的高端口上IP为176.107.176.63。

这个新的有效载荷服务器是否也使用服务器端恶意软件工厂? 我们测试了额外的下载,但加密的lib没有获得更多的Cerber有效负载,而是更改为Dridex银行木马,并且该二进制文件保持静态,并且在进一步测试时没有改变哈希值。

Dridex僵尸网络已经被用于提供Dridex Banking Trojans,Cerber Ransomware和Locky Ransomware的多个威胁演员。 但似乎在反以色列有效载荷的情况下,Dridex传送系统可能已经与Cerber Ransomware工作人员共享犯罪软件即服务时间,或者Dridex帮派可能会点击他们最新的“发送”按钮Dridex太早了一点。

结论

在此示例中交付有效负载的服务器使用服务器端“恶意软件工厂”来变形相同的Cerber有效负载,并且每15秒生成一次唯一的哈希值。 如此示例所示,恶意软件工厂的目的是逃避基于签名的控制系统和威胁情报工具的检测。 此外,板载Windows实用程序经常被用于绕过其他外围控制系统,直接将恶意软件下载或汇集到端点上,使攻击更加隐蔽。

来源:HTTPS://www.invincea.com/

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: