首页 科技开发工具 娱乐游玩工具 热门工具   APP 登录/注册 联系/合作
   
 
“Rorschach”威胁逃避正常策略,拥有快速勒索软件加密
根据Check Point 研究和事件响应团队的说法,一种新发现的名为“Rorschach”的变体是加密速度最快的勒索软件之一。

在应对针对一家美国公司的网络攻击期间发现的 Rorschach 是使用 Cortex XDR 转储服务工具(一种已签名的商业安全产品)的 DLL 侧加载组件部署的。Check Point 向趋势科技报告了该漏洞。

Halcyon 首席执行官兼联合创始人 Jon Miller 在一封电子邮件声明中告诉 SC Media,滥用合法的 Cortex XDR 转储服务工具尤其令人担忧,因为它使用“易受攻击的软件加载提供持久性和规避功能的恶意 DLL”。“DLL 旁加载并不新鲜,但有点罕见。”

REvil 威胁参与者在 2021 年的大规模 Kaseya 勒索软件攻击中利用了该策略,使“下游受害者”能够通过使用有效数字证书签名的合法软件更新受到威胁。

Check Point 对网络攻击的分析证实,Rorschach 是独一无二的,并且没有重叠的特征,可以防止轻易归因于任何其他已知的勒索软件变体。

研究人员写道:“威胁行为者没有隐藏任何化名,而且似乎与任何已知的勒索软件组织都没有任何关系。” “这两个事实在勒索软件生态系统中很罕见,激起了 [我们] 的兴趣,并促使我们彻底分析新发现的恶意软件。”

“虽然它似乎是从一些最臭名昭著的勒索软件系列中汲取灵感,但它还包含独特的功能,这在勒索软件中很少见,例如使用直接系统调用,”他们补充道。

它也是高度可定制的。除了高速加密外,该变体还具有许多特别值得关注的特征。

这种压力是部分自主的,自动运行勒索软件参与者通常在部署期间手动执行的任务。其一,它无需人工交互即可在 Windows 域控制器上创建域组策略。LockBit 过去的交互利用了类似的功能,但 Rorschach 的部署不同。

例如,它会创建多个组策略:一个将自身复制到受害者网络上所有工作站的公用文件夹中,另一个试图“杀死一系列预定义”进程,第三个注册一个立即运行的计划任务。用户登录后,将使用相关参数部署主要可执行文件。

简而言之,“极其灵活”的变种部署在域控制器上时可以自动传播并清除受影响设备的事件日志。它运行一个内置配置和“众多可选参数”,允许它根据操作员的需要修改其策略。 

正如 Check Point 在野外观察到的那样,Rorschach 使用 Cortex XDR 转储服务工具版本 7.3.0.16740 以及 winutils.dll 执行,winutils.dll 是一个用于解密和注入勒索软件的打包加载程序和注入器。

该变体还使用 config.ini,其中包含加密勒索软件的所有逻辑和配置。研究人员指出,这是主要的有效负载,“随后加载到内存中,解密并注入到勒索软件逻辑开始的 notepad.exe 中。”

甚至它的生成过程也不常见,因为它以“挂起模式”运行并给出“伪造的论据”,这使得网络防御者难以分析和修复。

伪造的参数是“一个重复的数字字符串,基于真实参数的长度,在内存中重写并替换为真实参数,从而导致独特的执行,”研究人员解释说。

另请注意:该变体将其文件添加到 DC 脚本文件夹中,然后将它们从原始位置删除以逃避检测。它的勒索软件说明与 Yanluowang 和DarkSide 勒索软件说明的格式类似,但每个“检查勒索软件的人都看到了一些不同的东西。”

对于 Miller 来说,Rorschach 最有趣的特性不是它的速度,而是它先进的安全规避能力,使有效载荷交付无法检测,这是非常值得关注的。

“通过快速加密,一旦交付了勒索软件有效载荷并暴露了操作,响应者的干预时间就会减少,”米勒说。“RaaS 供应商吹嘘他们的加密速度以吸引附属攻击者,这无疑使这种勒索软件成为一个值得关注的问题。” 

检测 DLL 侧载攻击可能很困难。因此,分析师应该在可执行文件中寻找未签名的 DLL,或者“显示可执行文件编译时间和 DLL 加载时间之间存在差距的可疑加载路径和时间戳”。

“世界上所有的安全措施都不会阻止合法应用程序在这种攻击中执行恶意负载。因此,运营弹性是关键,”Miller 总结道。
最新文章:
所有文章资讯、展示的文字、图片、数字、视频、音频、其它素材等内容均来自网络媒体,仅供学习参考。内容的知识产权归属原始著作权人所有。如有侵犯您的版权,请联系我们并提供相应证明,本平台将仔细验证并删除相关内容。
工具综合排行榜
TOP 1
双计算器 双计算器
同时用两个计算器,用于价格对比、数字分别计算等
TOP 2
推算几天后的日期 推算几天后的日期
推算从某天开始,增加或减少几天后的日期
TOP 3
随机密码生成 随机密码生成
随机生成安全复杂的密码,自由设置密码长度及复杂度
TOP 4
推算孩子的血型 推算孩子的血型
根据父母的血型推测子女的血型
TOP 5
日期转中文大写 日期转中文大写
把数字日期转成中文大写,是财务或商务合同常用的工具
热门内容:       双计算器       推算孩子的血型       随机密码生成       日期转中文大写       推算几天后的日期       达轻每日一景       高校分数线       高校查询       周公解梦大全
首页 科技开发工具大全
娱乐游玩工具大全
登录/注册
联系我们
  用户咨询/建议
kf@ss3316.com


商务合作/推广
hz@ss3316.com

达轻工具 APP

访问手机版网站
使用本平台必读并同意:任何内容仅供谨慎参考,不构成建议,不保证正确,平台不承担任何责任,同意用户协议隐私政策   
BaiduTrust安全认证签章
© 达轻科技 版权所有 增值电信业务经营许可证 ICP备 沪B2-20050023-3