来自 网络 2021-06-09 00:08 的文章

服务器高防_高防护服务器_如何防

服务器高防_高防护服务器_如何防

齐柏林飞艇:俄罗斯勒索软件针对美国和欧洲的高知名度用户介绍齐柏林飞艇是德尔福勒索软件服务(RaaS)家族的最新成员,最初被称为Vega或VegaLocker。虽然它显然基于相同的代码,并与先前的版本共享其大部分功能,但它所参与的活动与涉及此恶意软件以前版本的活动有很大不同。Vega样本于2019年初首次被发现,与其他广泛存在的金融恶意软件一起分发,这是对Yandex直接-俄罗斯在线广告网络。这项运动的目标是讲俄语的用户(显然重点是从事会计工作的人),其目的是要有广泛的影响,而不是谨慎地瞄准目标。二进制文件通常使用有效证书进行签名,并托管在GitHub上。在今年的一个过程中,出现了几个新版本的织女星,每一个都有不同的名字(Jamper,Storm,Buran等等),其中一些在地下论坛上提供服务。最近使用最新变型齐柏林飞艇的运动明显与众不同。齐柏林飞艇的第一批样本——汇编时间不早于2019年11月6日——被发现的目标是欧洲和美国一些精心挑选的科技和医疗公司,与维加运动形成鲜明的对立,所有的齐柏林双星(以及一些更新的Buran样本)都被设计为在俄罗斯和其他一些前苏联国家的机器上运行时退出。Zeppelin似乎是高度可配置的,可以部署为EXE、DLL或封装在PowerShell加载程序中。这些样本被托管在有水洞的网站上,如果是PowerShell,ddos有专门的防御设备,高防-cdn,则在Pastebin上。有理由相信,至少有一些攻击是通过MSSP进行的,这将与最近另一个使用名为Sodinokibi的勒索软件的高度针对性的行动有相似之处。针对目标从讲俄语到西方国家的重大转变,以及受害者选择和恶意软件部署方法的差异,表明这种新的Vega勒索软件最终落入了不同的威胁参与者手中——要么被他们用作服务,要么从购买/被盗/泄露的来源重新开发。混淆Zeppelin二进制文件中的所有敏感字符串都使用一个不同的伪随机32字节RC4密钥进行模糊处理,每个加密字符串前面都有:图1:模糊字符串字符串混淆是一种粗糙的多态性机制,因为每个生成的样本将使用不同的RC4密钥。这也有助于齐柏林飞艇逃避检测,并使分析复杂化。尽管大多数样本没有打包,但黑莓赛伦斯的研究人员发现齐柏林飞艇的可执行文件受到攻击者使用额外的多态性混淆软件的保护。在这些案例中,齐柏林飞艇的可执行文件被包裹在三层模糊层中:不同大小的代码,使用一组随机API(通常与良性软件相关)和几个暂停循环来欺骗启发式机制并超越沙盒。使用从第一个硬编码的DWORD-1的静态密钥派生的简单字节。此外壳代码使用1字节的异或对有效载荷二进制文件及其加载程序进行解码,但这次每次解密时密钥都会发生变化。第二级外壳代码,将有效载荷二进制注入内存并执行它:图2:第一层模糊处理中的暂停循环示例图3:有效载荷解码外壳代码配置勒索软件似乎有以下布尔选项:身份证件姓名说明1(无)作为DLL运行:一个实例加密所有驱动器和共享(与EXE相反);与"启动"选项不兼容。2IP记录器使用IPLogger服务(IPLogger[.]ru或IPLogger[.]org)跟踪受害者的IP地址和国家代码。三启动将自身复制到另一个位置,设置持久性,使用"-start"参数启动。4删除备份执行指定的命令;用于停止某些服务、禁用恢复、删除备份和卷影副本等。5任务杀手终止指定进程。6自动解锁忙文件尝试解锁在加密过程中显示为锁定的文件。7熔化退出之前,国外免费ddos防御,将自删除线程注入记事本.exe(删除可执行文件以及所有添加的注册表值)。使用0xDEADFACE代码退出。8提示UAC重新运行时尝试提升权限(仅在设置"Startup"时使用)。在生成勒索软件二进制文件期间,可以从Zeppelin builder用户界面设置这些选项以及公共RSA密钥和其他可配置字符串:图4:示例配置所有可配置数据存储在齐柏林二进制文件的.itext部分,包括:硬编码公钥(模和指数分开)GUID(每个示例不同)IPLogger签入的URL地址排除的文件夹列表排除的文件列表排除的扩展名列表要终止的进程列表要运行的命令列表自述文件名自述文件内容执行勒索软件二进制文件可以使用以下参数执行:参数说明加密一个文件加密指定目录中的文件-开始跳过安装并执行第二阶段的恶意代码(即文件加密)-代理以代理身份运行;加密HKCU/Software/Zeppelin/Paths key下的值指定的路径中的文件,其中是值的名称(以0开头的连续数字)(无参数)默认加密例程安装在初始执行时(无参数),恶意软件将检查受害者的国家代码,以确保它没有在以下国家之一运行:俄罗斯联邦乌克兰白俄罗斯哈萨克斯坦根据构建过程中设置的选项,它将检查计算机的默认语言和默认国家/地区呼叫代码,或使用联机服务获取受害者的外部IP地址:图5:检查受害者的国家恶意软件在%TEMP%目录中创建一个空文件,扩展名为".zeppelin",名称是恶意软件路径的CRC32哈希值。如果设置了"Startup"选项,恶意软件将使用从活动进程列表中随机选择的名称将自身复制到%APPDATA%\Roaming\Microsoft\Windows目录(忽略使用"install"或"setup"命令行参数调用的任何进程)。然后,使用随机生成的32字节RC4密钥对所选名称进行加密,base64编码(与前置密钥一起),并保存到HKCU\Software\Zeppelin下名为"Process"的注册表值中。通过注册表中的HKCU\Software\Microsoft\Windows\CurrentVersion\Run键设置持久性后,勒索软件将使用"-start"参数从新路径重新执行自己。如果设置了"UAC prompt"选项,它将尝试使用提升的权限运行。如果设置了"熔化"选项,则会将一个自删除线程注入到新生成的线程中记事本.exe进程,恶意软件将以代码0xDEADFACE退出。否则,它将以代码0退出。网络通信和其前身一样,如何防止正常用户被cc防御,Zeppelin允许攻击者通过IPLogger web服务跟踪受害者的IP地址和位置。如果设置了相关选项,勒索软件将通过向使用IPLogger URL Shortener服务生成的硬编码URL发送GET请求来尝试签入。用户代理字段id设置为"ZEPPELIN",referer字段包含在密钥生成阶段创建的唯一受害者id:图6:带有定制头的GET请求为了防止受害者多次报到,HKCU\Software\Zeppelin下会写入一个0x29A(666)的"敲门"值。如果该值已经存在,恶意软件将不会在后续运行时尝试联系该URL。攻击者可以使用IPLogger web服务查看受害者列表,并使用缩短的URL将用户重定向到其他恶意内容。密钥生成与以前的Buran版本相比,加密算法没有实质性的变化。使用加密密钥的非对称加密方式(每个加密文件都随机生成一个加密密钥,每个加密文件都使用一个自定义的加密方式,每个加密文件都使用加密密钥)。首先,恶意软件将为受害者生成一对512位的RSA密钥,并以以下格式将其保存到内存中: {privatekey\umodule_hexstr}{privatekey\uexponent_hexstr}{publickey\umodule_hexstr}{publickey_exponent_hexstr} 图7:加密密钥示例:攻击者的公钥(蓝色)、生成的受害者的公钥(绿色)和私钥(红色),个人防御ddos,它们的加密和base64编码版本(黄色)此对中的私钥将使用攻击者在二进制文件的.itext部分中硬编码的2048位公钥RSA密钥进行加密。受害者的RSA加密私钥及其对应的公钥将被随机生成的32字节RC4密钥进一步混淆,该密钥采用base64编码(与预先添加的RC4密钥一起),并分别作为"公钥"和"加密私钥"保存到HKCU\Software\Zeppelin\Keys下的注册表中:图8:加密受害者的私钥然后使用受害者的RSA公钥模数的前11个字节创建一个唯一的受害者ID