亚洲综合伊人,成人欧美一区二区三区视频不卡,欧美日韩在线高清,日韩国产午夜一区二区三区,大胆美女艺术,一级毛片毛片**毛片毛片,你瞅啥图片

您當前的位置是:  首頁 > 新聞 > 國內(nèi) >
 首頁 > 新聞 > 國內(nèi) >

思科Talos發(fā)布免費解密工具、助勒索軟件受害者恢復損失

2018-07-05 09:17:37   作者:   來源:CTI論壇   評論:0  點擊:

  最近幾個月,勒索軟件變體 Thanatos 發(fā)起了多次惡意軟件攻擊活動,肆意傳播。為此,思科 Talos 團隊對該勒索軟件進行了分析。作為研究成果,我們發(fā)布了一款新的免費解密工具,幫助受害者恢復這種惡意軟件造成的損失。攻擊者利用了多個版本的 Thanatos,這表明這種威脅在不斷演變,威脅發(fā)起者在不斷積極開發(fā)該勒索軟件,目前已有多個版本在大肆傳播。與常見的其他勒索軟件不同,Thanatos 不要求使用比特幣等單一加密貨幣支付贖金,而是支持以比特幣現(xiàn)金 ( BCH )、大零幣 ( ZEC )、以太坊 ( ETH ) 等多種形式支持贖金。
  此外,由于該勒索軟件利用的加密過程中出現(xiàn)的問題,即使受害者支付贖金,惡意軟件制作者也無法將數(shù)據(jù)返回給受害者。雖然以前的報道似乎表明這屬于意外情況,但具體的攻擊活動似乎證明,在某些情況下,攻擊者是有意為之。為了應對這種威脅,Talos 團隊發(fā)布了 ThanatosDecryptor ,這是一款免費解密工具,可利用 Thanatos 所使用的文件加密方法中的設計漏洞。如果受害者的數(shù)據(jù)感染了該勒索軟件,受害者可使用此實用程序來重新獲得數(shù)據(jù)的訪問權(quán)限。
  技術(shù)詳情
  Thanatos 的不斷演進
  在跟蹤和分析各種用于傳播 Thanatos 勒索軟件的攻擊活動時,Talos 發(fā)現(xiàn)了此惡意軟件的多個不同版本,這表明惡意軟件制作者一直在積極開發(fā)這種惡意軟件。攻擊者使用勒索信通知受害者其已被感染并提供有關(guān)如何向攻擊者支付贖金的說明,從勒索信中可以直接發(fā)現(xiàn)這些不同版本之間的主要差異。Thanatos 的版本 1 是在今年 2 月中旬分發(fā)的,采用非常原始的勒索信,以 README.txt 文件形式存儲在受害者的桌面。
  在此版 Thanatos 中,勒索信只是通知用戶其文件已被加密,并指示用戶向指定的比特幣錢包支付數(shù)額為 0.01 比特幣 ( BTC ) 的贖金。Talos 團隊分析發(fā)現(xiàn),此版 Thanatos 的所有樣本都使用相同的硬編碼錢包地址,而不是在各個樣本之間使用不同的錢包地址。支付似乎采用的是手動處理方式,并且以郵件為基礎(chǔ),這意味著,相比其他更廣為人知的勒索軟件系列( 比如Locky、Cerber等 ),攻擊者的資源以及勒索軟件創(chuàng)建和傳播技術(shù)知識有限。
  版本 1 的傳播被發(fā)現(xiàn)后不久,惡意軟件傳播活動便開始傳播 Thanatos 版本 1.1,版本 1.1 的絕大多數(shù)傳播活動發(fā)生于 2018 年 2 月到 4 月之間。此更新版本的 Thanatos 在攻擊者用于接受贖金的加密貨幣類型方面與之前版本有幾個顯著差異。
  如上面的勒索信屏幕截圖所示,Thanatos 版本 1.1 支持使用比特幣、以太坊和比特幣現(xiàn)金支付贖金。此外,該惡意軟件現(xiàn)在指示受害者通過郵件將唯一計算機 ID 發(fā)送給攻擊者。
  有趣的是,Talos 團隊分析發(fā)現(xiàn),各個樣本之間對勒索信進行了多次更改。下面是此惡意軟件使用的勒索信的又一個示例。請注意,攻擊者已更改了用于與受害者通信的郵件地址。攻擊者還聲稱可以處理用大零幣支付的贖金,而不是使用其他勒索信中列出的其他加密貨幣。
  在調(diào)查攻擊者用來使受害者感染并阻止受害者訪問自己系統(tǒng)上的數(shù)據(jù)的傳播機制時,我們發(fā)現(xiàn)了一種有趣的攻擊活動,該活動表明至少在此特例中,攻擊者沒有打算向受害者提供任何類型的數(shù)據(jù)解密。該惡意軟件似乎是通過 Discord 聊天平臺,作為聊天消息附件發(fā)送給了受害者。Discord 是一種語音和文字聊天平臺,允許兩名或更多參與者直接通信。托管惡意軟件附件的 URL 如下所示:
  hxxps://cdn[.]discordapp[.]com/attachments/230687913581477889/424941165339475968/fastleafdecay.exe
  此示例中使用的文件名是 “ fastleafdecay.exe ”,這可能表明,攻擊者通過冒充電子游戲 Minecraft 中的同名 mod ,誘騙受害者執(zhí)行了該惡意軟件。在執(zhí)行時,此樣本向受害者顯示以下勒索信:
  從上面的屏幕截圖可以看出,惡意軟件制作者沒有提供任何支付贖金的說明,而是指出文件無法解密,這表明這個特例中攻擊者的目標并不是為了謀取錢財,而是為了破壞受害者系統(tǒng)中的數(shù)據(jù)。有趣的是,Talos 團隊分析發(fā)現(xiàn),此樣本的 PDB 路徑完好無損而且與其他樣本不同。在此示例中,PDB 路徑如下:
  C:\Users\Artur\Desktop\csharp - js\косте пизда\Release\Thanatos.pdb
  大多數(shù)其他樣本中,PDB 路徑如下:
  D:\Work\Thanatos\Release\Thanatos.pdb
  Talos團隊還發(fā)現(xiàn)一個以調(diào)試模式編譯的樣本,其中包含以下 PDB 路徑:
  • D:\Работа\Локер шифровчик\Thanatos-master\Debug\Thanatos.pdb
  • Thanatos 運行和加密過程
  在受害者的系統(tǒng)上執(zhí)行時,Thanatos 會將自身復制到它在 %APPDATA%/Roaming 中創(chuàng)建的子目錄下。該子目錄名稱和可執(zhí)行文件名稱是根據(jù)系統(tǒng)正常運行時間隨機生成的,并在每次惡意軟件執(zhí)行時都會更改
  Thanatos 以遞歸方式掃描當前用戶配置文件中的以下目錄,以識別要加密的文件:
  • Desktop
  • Documents
  • Downloads
  • Favorites
  • Music
  • OneDrive
  • Pictures
  • Videos
  雖然許多勒索軟件系列都有支持加密的特定文件擴展名列表,但 Thanatos 支持對任何具有擴展名的文件進行加密。每當該惡意軟件找到一個文件時,它都會調(diào)用GetTickCount,從而根據(jù)受感染系統(tǒng)運行的毫秒數(shù)來衍生出加密密鑰。然后該惡意軟件會使用高級加密標準 ( AES ) - 256 對文件進行加密,并丟棄加密密鑰。由于丟棄了加密密鑰,因此即使受害者支付了贖金,攻擊者也無法提供對解密數(shù)據(jù)的訪問權(quán)限。之后該惡意軟件使用 .THANATOS 文件擴展名將加密文件寫入文件系統(tǒng),并刪除原始文件。
  該惡意軟件還會利用名為 iplogger 的外部網(wǎng)站。該網(wǎng)站提供自定義 URL,可用于跟蹤有關(guān)訪問 URL 的系統(tǒng)的信息。通過使用這些硬編碼 URL 發(fā)出 HTTP GET 請求,攻擊者可以獲取有關(guān)已感染 Thanatos 的所有不同系統(tǒng)的信息。
  這些 HTTP GET 請求都是使用以下用戶代理發(fā)出的:
  Mozilla/5.0 (Windows NT 6.1) Thanatos/1.1
  Talos團隊觀察到有以下 iplogger URL 被硬編碼到我們所分析的各種 Thanatos 樣本中:
  • hxxp://iplogger[.]com:80/1CUTM6
  • hxxp://iplogger[.]com:80/1t3i37
  與 Thanatos 關(guān)聯(lián)的勒索信使用文件名 README.txt 保存到受感染用戶的桌面。該勒索軟件創(chuàng)建了一個注冊表項,以便每次系統(tǒng)啟動時,系統(tǒng)都會使用記事本應用顯示勒索信。該注冊表項位于以下路徑下:
  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  除此之外,該惡意軟件不會讓可執(zhí)行文件本身持久潛伏在受害者系統(tǒng)中。
  ThanatosDecryptor
  如前文所述,攻擊者用于加密受害者系統(tǒng)中文件的加密密鑰是根據(jù)系統(tǒng)最近一次啟動后經(jīng)過的毫秒數(shù)衍生而來的。此數(shù)值為 32 位,這意味著加密密鑰實際上也是 32 位。此外,一個 32 位值中能存儲的最大毫秒數(shù)大約相當于 49.7 天,比很多系統(tǒng)的平均正常運行時間都要長(由于需要安裝補丁、重啟系統(tǒng)和其他因素,系統(tǒng)偶爾會中斷運行)。所以,從時間的角度來看,使用暴力破解方法來獲得密鑰值明顯成本更低。
  此外,由于系統(tǒng)正常運行時間會寫入到 Windows 事件日志中,大約每天一次,因此還可以據(jù)此優(yōu)化解密方法。既然 Thanatos 不會在加密文件上修改文件創(chuàng)建日期,那我們就可以將密鑰搜索范圍進一步縮小至 24 小時內(nèi)感染之前大約經(jīng)過的毫秒數(shù)。在這類情況下,按照每秒可進行 10 萬次暴力破解嘗試計算(這是虛擬機測試所采用的基準),大約需要 14 分鐘就可以成功恢復加密密鑰。
  Talos 團隊特此發(fā)布一種解密實用程序 ThanatosDecryptor,Thanatos 受害者可以利用該解密程序嘗試重新獲得對受感染系統(tǒng)上存儲的數(shù)據(jù)和文件的訪問權(quán)限。該解密程序在 1 和 1.1 版本的 Thanatos 勒索軟件以及 Talos 團隊目前檢測到的所有已知 Thanatos 樣本上進行了測試。
  注意:為了盡快解密文件,受害者應該在受感染的原始設備上,對該惡意軟件創(chuàng)建的原始加密文件執(zhí)行 ThanatosDecryptor。
  此解密程序目前支持解密以下類型的文件:
  • 圖片:。gif、。tif、。tiff、。jpg、。jpeg、。png
  • 視頻:。mpg、。mpeg、。mp4、。avi
  • 音頻:。wav
  • 文檔:。doc、。docx、。xls、。xlsx、。ppt、
  • pptx、。pdf、。odt、。ods、。odp、。rtf
  • 其他:。zip、。7z、。vmdk、。psd、。lnk
  首先,該解密程序會搜索與此勒索軟件相同的目錄,找到包含 .THANATOS 文件擴展名的文件。然后,對包含 .THANATOS 文件擴展名的文件,該解密程序會獲取原始文件擴展名( 感染期間,原始文件擴展名保持不變 ),并將其與上述支持的文件類型列表進行比較。如果是支持的文件類型,該解密程序會將文件加入解密隊列。
  ThanatosDecryptor 還可以解析 Windows 事件日志以獲取正常運行時間消息,并且可以使用加密文件創(chuàng)建時間元數(shù)據(jù)來為解密確定起始值。然后,它會利用此值衍生出加密密鑰,并且對文件內(nèi)容執(zhí)行 AES 解密運算。接著,它會將所得的字節(jié)與特定文件類型的已知有效文件頭的值進行比較。如果不匹配,則意味著解密過程失敗,ThanatosDecryptor 會將加密密鑰的種子值遞增,再重復上述過程。一旦成功,原始文件就會寫入文件系統(tǒng),從而恢復原始文件名。成功解密一個文件之后,ThanatosDecryptor 會將成功的解密嘗試的種子值用作對其他文件執(zhí)行解密嘗試的起始值,因為這兩個值可能很相似。
  要執(zhí)行 ThanatosDecryptor,請點擊頁面最下方 “閱讀原文” 獲取更多的信息,然后執(zhí)行釋放目錄下的 ThanatosDecryptor.exe。在該頁面可以獲取更多的信息和輸出示例。
  對贖金情況(或未能收到贖金的情況)的分析
  正如前面提到的,在 Thanatos 的各種攻擊活動和相關(guān)樣本中,此威脅的幕后攻擊者會更改其聲稱接受支付贖金的加密貨幣類型。通過分析各種加密貨幣錢包和相應的加密貨幣交易,我們發(fā)現(xiàn)了這些惡意軟件攻擊活動的規(guī)模及其所取得的成功,結(jié)果很有意思。在所有樣本中,隨惡意軟件一起發(fā)送給受害者的勒索信中列明了以下加密貨幣錢包以及如何支付贖金的說明。
  比特幣 ( $BTC ):
  1HVEZ1jZ7BWgBYPxqCVWtKja3a9hsNa9Eh
  1DRAsxW4cKAD1BCS9m2dutduHi3FKqQnZF
  以太坊 ( $ETH ):
  0x92420e4D96E5A2EbC617f1225E92cA82E24B03ef
  比特幣現(xiàn)金 ( $BCH ):
  Qzuexhcqmkzcdazq6jjk69hkhgnme25c35s9tamz6f
  大零幣 ( $ZEC ):
  t1JBenujX2WsYEZnzxSJDsQBzDquMCf8kbZ
  我們在分析比特幣錢包時,發(fā)現(xiàn)攻擊者從受害者那里一筆贖金都沒收到。事實上,我們分析的所有樣本中最經(jīng)常列出的錢包(1HVEZ1jZ7BWgBYPxqCVWtKja3a9hsNa9Eh) 甚至都不是一個有效的比特幣錢包。
  這意味著,即使受害者嘗試使用比特幣支付贖金,也無法完成支付。第二個錢包(1DRAsxW4cKAD1BCS9m2dutduHi3FKqQnZF) 也沒有任何交易往來。
  同樣,樣本中列出的比特幣現(xiàn)金錢包也從來沒有任何交易。
  我們分析了 Thanatos 的一封相關(guān)勒索信中列出的大零幣錢包,結(jié)果發(fā)現(xiàn)其中有幾筆交易,但是此錢包中收到的大零幣總金額只有 2.24767084 ZEC,大約相當于 450 美元。
  最后,攻擊者使用的以太坊錢包也收到了幾筆交易。但是,與網(wǎng)絡威脅領(lǐng)域更成功的常見勒索軟件攻擊活動相比,該錢包中收到的以太坊幣總金額也很低,只有 0.52087597 ETH,約合 270 美元。
  這說明,在我們所發(fā)現(xiàn)的所有真實樣本中,攻擊者的錢包總共只收到了 720 美元的贖金。如果這些錢包中收到的加密貨幣都是直接來自于受害者為 Thanatos 感染支付的贖金,則可以看出,與其他以謀取錢財為動機的網(wǎng)絡犯罪活動相比,很明顯此攻擊并未獲得可觀的收入。
  結(jié)論
  如今,攻擊者越來越頻繁地將目標瞄準最終用戶,意圖謀取錢財或者破壞數(shù)據(jù)。本文所述的這個勒索軟件證明,任何人都可以非常輕松地對用戶發(fā)起攻擊。他們無需掌握復雜的攻擊技術(shù),就可以制造災難。此外,攻擊者還可以獲得源源不斷的攻擊媒介。例如,在此次攻擊中,攻擊者利用的是 Discord 聊天平臺。因此,您必須重視安全問題,采取必要措施保護您的系統(tǒng),這既包括個人系統(tǒng),也包括業(yè)務系統(tǒng)。另外,由于很多此類攻擊都是以用戶作為突破口,因此您在打開未知來源的附件或點擊未知鏈接時,必須保持謹慎。
  防護
  思科客戶可通過其他方式檢測并阻止此威脅,包括:
  高級惡意軟件防護 ( AMP ) 解決方案,可以有效防止執(zhí)行威脅發(fā)起者使用的惡意軟件。
  思科云網(wǎng)絡安全 ( CWS ) 或網(wǎng)絡安全設備 ( WSA ),通過網(wǎng)絡掃描防止訪問惡意網(wǎng)站,并且可以檢測這些攻擊中所用的惡意軟件。
  郵件安全設備,可以攔截威脅發(fā)起者在攻擊活動中發(fā)出的惡意郵件。
  網(wǎng)絡安全設備,例如下一代防火墻 ( NGFW )、下一代入侵防御系統(tǒng) ( NGIPS )和 Meraki MX,可以檢測與此威脅相關(guān)的惡意活動。
  AMP Threat Grid,可幫助識別惡意二進制文件,使所有思科安全產(chǎn)品都有內(nèi)置保護措施。
  Umbrella,我們的安全互聯(lián)網(wǎng)網(wǎng)關(guān) ( SIG ),可阻止用戶連接惡意域、IP 和 URL( 無論用戶是否位于公司網(wǎng)絡上 )。
  開源 Snort 用戶規(guī)則集客戶可以在 Snort.org 上下載出售的最新規(guī)則包,保持最新狀態(tài)。
  YARA 簽名
  Talos 團隊還提供了以下 YARA 簽名,可用于識別與 Thanatos 勒索軟件系列相關(guān)的樣本。
  rule Thanatos
  {
  strings:
  $s1 =  ".THANATOS\x00" ascii
  $s2 =  "\\Desktop\\README.txt" ascii
  $s3 =  "C:\\Windows\\System32\\notepad.exe C:\\Users\\" ascii
  $s4 =  "AppData\\Roaming" ascii
  $s5 =  "\\Desktop\x00" ascii
  $s6 =  "\\Favourites\x00" ascii
  $s7 =  "\\OneDrive\x00" ascii
  $s8 = "\\x00.exe\x00"  ascii
  $s9 = "/c taskkill /im" ascii
  $s10 =  "Software\\Microsoft\\Windows\\CurrentVersion\\Run" ascii
  condition:
  6 of  ($s1, $s2, $s3, $s4, $s5, $s6, $s7, $s8, $s9, $s10)
  }
  感染指標 (IOC)
  文件散列值 ( SHA256 )
  bad7b8d2086ac934c01d3d59af4d70450b0c08a24bc384ec61f40e25b7fbfeb5
  fe1eafb8e31a84c14ad5638d5fd15ab18505efe4f1becaa36eb0c1d75cd1d5a9
  8df0cb230eeb16ffa70c984ece6b7445a5e2287a55d24e72796e63d96fc5d401
  97d4145285c80d757229228d13897820d0dc79ab7aa3624f40310098c167ae7e
  55aa55229ea26121048b8c5f63a8b6921f134d425fba1eabd754281ca6466b70
  02b9e3f24c84fdb8ab67985400056e436b18e5f946549ef534a364dff4a84085
  241f67ece26c9e6047bb1a9fc60bf7c45a23ea1a2bb08a1617a385c71d008d79
  0bea985f6c0876f1c3f9967d96abd2a6c739de910e7d7025ae271981e9493204
  42748e1504f668977c0a0b6ac285b9f2935334c0400d0a1df91673c8e3761312
  URL
  hXXps://cdn[.]discordapp[.]com/attachments/230687913581477889/424941165339475968/fastleafdecay.exe
  hXXp://iplogger[.]com:80/1CUTM6
  hXXp://iplogger[.]com:80/1t3i37
  用戶代理
  Mozilla/5.0 (Windows NT 6.1) Thanatos/1.1
  作者:Edmund Brumaghin、Earl Carter 和 Andrew Williams
  思科 Talos 簡介
  思科 Talos 團隊由業(yè)界領(lǐng)先的網(wǎng)絡安全專家組成,他們分析評估黑客活動,入侵企圖,惡意軟件以及漏洞的最新趨勢。包括 ClamAV 團隊和一些標準的安全工具書的作者中最知名的安全專家,都是思科 Talos 的成員。這個團隊同時得到了 Snort、ClamAV、Senderbase.org 和 Spamcop.net 社區(qū)的龐大資源支持,使得它成為網(wǎng)絡安全行業(yè)最大的安全研究團隊。也為思科的安全研究和安全產(chǎn)品服務提供了強大的后盾支持。
【免責聲明】本文僅代表作者本人觀點,與CTI論壇無關(guān)。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內(nèi)容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔全部責任。

專題