Thanos勒索软件自动传播到Windows设备,规避安全

2020-06-11 07:03:46

Thanos勒索软件是第一个使用研究人员披露的RIPlace反勒索软件规避技术的软件,以及许多其他高级功能,使其成为一个严重的威胁,需要密切关注。

Thanos第一次开始私人分发是在2019年10月底,但直到2020年1月,受害者才为当时被称为Quimera的勒索软件寻求帮助。

随着时间的推移,受害者继续在嗡嗡作响的电脑和论坛上寻求帮助,以获得相同的勒索软件,但现在它似乎被确认为Hakbit。

在Record Future的一份新报告中,我们了解到这种勒索软件名为Thanos,自2月份以来一直在俄语黑客论坛上作为勒索软件即服务进行推广。

在一位名叫Nosophorus的威胁行为人的推动下,Thanos正在招募黑客和恶意软件分销商来分发勒索软件。这样做,他们将获得任何赎金支付的收入份额,通常在60-70%左右。

加入Thanos RAAS的附属公司可以访问用于生成自定义勒索软件可执行文件的私人勒索软件生成器。

虽然大多数用C#编写的勒索软件没有很高的复杂度,但是Thanos有许多高级特性,这些特性使它从其他软件中脱颖而出。

正如您在上面看到的,该构建器允许广泛的功能,包括内置的未加密文件窃取器,自动传播到其他设备,以及采用研究人员披露的RIPlace规避技术。

2019年11月,Bleepingcomputer报道了一种名为RIPlace的新的反勒索软件规避技术,该技术是由端点保护公司Nyotron的安全研究人员披露的。

Nyotron发现,当勒索软件将文件重命名为使用DefineDosDevice()函数创建的符号链接时,反勒索软件将无法准确检测该操作。

取而代之的是,他们的监控功能将收到一个错误,而重命名仍然有效,从而绕过反勒索软件程序。

如果在调用rename之前,我们调用了DefineDosDevice(创建符号链接的遗留函数),我们可以传递任意名称作为设备名,传递原始文件路径作为指向的目标。这样,我们就可以让我们的设备引用";C:\passwords.txt";。

RIPlace发现在回调函数中,当使用公共例程FltGetDestinationFileNameInformation时,过滤驱动程序无法解析目的地路径。它在传递DosDevice路径时返回错误(而不是返回路径,后处理);但是,Rename调用成功。

Thanos是第一个采用RIPlace技术的勒索软件,如下面的代码所示。

当Nyotron公司负责任地向安全公司披露这项技术时,大多数人告诉他们,由于这是一种理论上的技术,不会在野外使用,因此不会得到解决。

在被告知的公司中,只有卡巴斯基和碳黑修改了他们的软件来阻止这种技术。

我们还针对微软的受控文件夹访问功能对该技术进行了测试,该功能无法检测到该方法。

当我们向微软询问RIPlace时,Bleepingcomputer被告知这项技术不被认为是一个漏洞,因为它不符合他们的安全服务标准。

描述的技术不是安全漏洞,不满足我们的安全服务标准。受控文件夹访问是一种深度防御功能,所报告的技术需要提升对目标计算机的权限。";

在过去的一年里,勒索软件操作采用了在加密计算机之前窃取受害者文件的策略。然后,威胁行为者威胁说,如果不支付赎金,他们将在数据泄露网站上公布被盗文件。

这种文件盗窃通常是通过公司的云备份或通过手动将文件复制到远程位置来完成的。

Thanos包括ftp_file_exfile()函数,该函数在加密计算机时自动执行文件外泄到远程FTP站点。

Record Future声明默认窃取的文件是';.docx';、';.xlsx';、';.pdf';和';.csv';,但其他扩展名可以由勒索软件附属公司在构建勒索软件可执行文件时指定。

除了内置的文件窃取功能外,Thanos还包括一项功能,该功能将尝试将勒索软件横向传播到网络上的其他设备。

执行时,Thanos将从其GitHub存储库下载SharpExec攻击性安全工具包。勒索软件将使用SharpExec捆绑的PSExec程序在其他计算机上复制和运行勒索软件可执行文件。

此功能允许勒索软件附属机构危害一台计算机,并可能使用它来加密网络上的其他设备。

在嗡嗡作响的计算机看到的Thanos赎金纸条中,这种勒索软件被用于对多台服务器被加密的公司进行有针对性的攻击。

众所周知,他们还监控研究人员、开发人员和记者的活动,以改进他们的恶意软件。

在beepingcomputer看到的Thanos赎金纸条中,这种勒索软件已经出现在有针对性的公司攻击中,其中多台服务器被加密。