在应对针对一家美国公司的网络攻击期间发现的 Rorschach 是使用 Cortex XDR 转储服务工具(一种已签名的商业安全产品)的 DLL 侧加载组件部署的。Check Point 向趋势科技报告了该漏洞。
Halcyon 首席执行官兼联合创始人 Jon Miller 在一封电子邮件声明中告诉 SC Media,滥用合法的 Cortex XDR 转储服务工具尤其令人担忧,因为它使用“易受攻击的软件加载提供持久性和规避功能的恶意 DLL”。“DLL 旁加载并不新鲜,但有点罕见。”
Check Point 对网络攻击的分析证实,Rorschach 是独一无二的,并且没有重叠的特征,可以防止轻易归因于任何其他已知的勒索软件变体。
研究人员写道:“威胁行为者没有隐藏任何化名,而且似乎与任何已知的勒索软件组织都没有任何关系。” “这两个事实在勒索软件生态系统中很罕见,激起了 [我们] 的兴趣,并促使我们彻底分析新发现的恶意软件。”
“虽然它似乎是从一些最臭名昭著的勒索软件系列中汲取灵感,但它还包含独特的功能,这在勒索软件中很少见,例如使用直接系统调用,”他们补充道。
它也是高度可定制的。除了高速加密外,该变体还具有许多特别值得关注的特征。
这种压力是部分自主的,自动运行勒索软件参与者通常在部署期间手动执行的任务。其一,它无需人工交互即可在 Windows 域控制器上创建域组策略。LockBit 过去的交互利用了类似的功能,但 Rorschach 的部署不同。
例如,它会创建多个组策略:一个将自身复制到受害者网络上所有工作站的公用文件夹中,另一个试图“杀死一系列预定义”进程,第三个注册一个立即运行的计划任务。用户登录后,将使用相关参数部署主要可执行文件。
简而言之,“极其灵活”的变种部署在域控制器上时可以自动传播并清除受影响设备的事件日志。它运行一个内置配置和“众多可选参数”,允许它根据操作员的需要修改其策略。
正如 Check Point 在野外观察到的那样,Rorschach 使用 Cortex XDR 转储服务工具版本 7.3.0.16740 以及 winutils.dll 执行,winutils.dll 是一个用于解密和注入勒索软件的打包加载程序和注入器。
该变体还使用 config.ini,其中包含加密勒索软件的所有逻辑和配置。研究人员指出,这是主要的有效负载,“随后加载到内存中,解密并注入到勒索软件逻辑开始的 notepad.exe 中。”
甚至它的生成过程也不常见,因为它以“挂起模式”运行并给出“伪造的论据”,这使得网络防御者难以分析和修复。
伪造的参数是“一个重复的数字字符串,基于真实参数的长度,在内存中重写并替换为真实参数,从而导致独特的执行,”研究人员解释说。
另请注意:该变体将其文件添加到 DC 脚本文件夹中,然后将它们从原始位置删除以逃避检测。它的勒索软件说明与 Yanluowang 和DarkSide 勒索软件说明的格式类似,但每个“检查勒索软件的人都看到了一些不同的东西。”
对于 Miller 来说,Rorschach 最有趣的特性不是它的速度,而是它先进的安全规避能力,使有效载荷交付无法检测,这是非常值得关注的。
“通过快速加密,一旦交付了勒索软件有效载荷并暴露了操作,响应者的干预时间就会减少,”米勒说。“RaaS 供应商吹嘘他们的加密速度以吸引附属攻击者,这无疑使这种勒索软件成为一个值得关注的问题。”
检测 DLL 侧载攻击可能很困难。因此,分析师应该在可执行文件中寻找未签名的 DLL,或者“显示可执行文件编译时间和 DLL 加载时间之间存在差距的可疑加载路径和时间戳”。
“世界上所有的安全措施都不会阻止合法应用程序在这种攻击中执行恶意负载。因此,运营弹性是关键,”Miller 总结道。