2020年無文件病毒攻擊分析

20202020年無文件攻擊防護(hù)分析2020年惡意病毒綜述目錄2020年惡意病毒綜述 01無文件勒索病毒分析 03無文件攻擊Windows平臺特定攻擊技術(shù)無文件攻擊Linux平臺特定攻擊技術(shù)06勒索病毒的無文件攻擊技術(shù)新趨勢 0506待分析樣本類型介紹 Sodinokibi家族勒索無文件攻擊技術(shù)分析?Windows平臺Phobos家族勒索無文件攻擊技術(shù)攻擊?Windows平臺RansomEXX勒索無文件攻擊分析?LinuxBotnet無文件攻擊分析?Linux平臺無文件攻擊勒索病毒的有效解決方案 23總結(jié) 25PAGEPAGE102020年惡意病毒綜述202020幾點(diǎn)：1.20201描述勒索病毒造成的直接損2020年上升了50%400圖1勒索軟件歷年估算損失不光Windows勒索病毒呈現(xiàn)井噴趨勢Linux平臺的勒索病毒的數(shù)量也逐步呈現(xiàn)指數(shù)級增長。2020年新增的勒索樣本大多數(shù)采用無文件攻擊技術(shù)，2020年成功入侵的攻擊事件中80%都是通過無文件攻擊完成病毒工具對此攻擊收效甚微。勒索病毒從2017年的WannaCry2020年達(dá)到新的高度，Linux平臺也順理成章成為了勒索攻擊的重要目標(biāo)。病毒在Windows平臺和Linux方案。圖2歷年勒索病毒樣本分布無文件勒索病毒分析無文件攻擊介紹什么是無文件攻擊PowerShellVBSPhp腳本無文件攻擊無文件攻擊Fir測今年非常著名的FireEye紅客武器庫泄漏，被攻擊時(shí)所采用的攻擊方式就是無文件攻擊，eEye作為全球領(lǐng)先的安全公司都能被無文件攻擊攻陷，這也從側(cè)面反映了該技術(shù)的難以被檢Fir測，需要被好好分析。無文件攻擊Windows平臺特定攻擊技術(shù)：惡意文檔無文件攻擊并非真正的沒有任何文件,相反,該攻擊方式實(shí)際上是會涉及到文檔文件。這些惡意文檔是被植入特定威脅代碼的Word文檔、PDF文檔等。惡意腳本運(yùn)PowerShellJsVBS運(yùn)的目的。病毒執(zhí)行體代碼混淆(4)無須依賴其他組件例如WMregsvr32ee等白名單工圖3歷年勒索病毒樣本分布無文件攻擊Linux平臺特定攻擊技術(shù)通過漏洞進(jìn)行感染Linux下的無文件病毒會通過利用Linux修改Linux進(jìn)程通常使用ptrace()等系統(tǒng)調(diào)用來修改并使某個(gè)正在運(yùn)行的Linux進(jìn)程處于異常狀態(tài)，然后通過異常狀態(tài)實(shí)施攻擊。將惡意代碼注入內(nèi)存當(dāng)惡意軟件成功使指定的Linux執(zhí)行內(nèi)存中的惡意代碼大多數(shù)的LinuxPythoerl或Php放至/dev/shm或/run/shm運(yùn)行。圖4歷年勒索病毒樣本分布勒索病毒的無文件攻擊技術(shù)新趨勢從亞信安全威脅情報(bào)團(tuán)隊(duì)收集的數(shù)據(jù)分析來看，截止到2020年年底一共獲取到的各個(gè)家族樣本總數(shù)是18,158,720個(gè)，接近完整的2020年統(tǒng)計(jì)總體勒索樣本的總和，如圖4，我們羅列了樣本家族的分布，如圖5：圖52020年勒索家族樣本占比SodinokibGlobelmosteDharmPhoboNemty分別位列第一中Sodinokibi的樣本一共收集了403萬個(gè)左右接近15GlobelmPoster樣本一共收集了290萬個(gè)左右接近11Dharma11Phobos7Nemty6待分析樣本類型介紹Sodinokibi家族勒索無文件攻擊技術(shù)分析Windows平臺發(fā)本文中選擇的樣本包括Windows平臺五大勒索病毒家族的樣本的兩大類家族Sodinokibi家族和PhoboLinux平臺的RansomEXXBotnetSodinokibi家族勒索無文件攻擊技術(shù)分析Windows平臺發(fā)Sodinokibi勒索病毒在國內(nèi)首次被發(fā)現(xiàn)于2019年42019年5月24日首次在意大利被RDPGandCrabGandCrab勒索病毒運(yùn)營團(tuán)隊(duì)停止更新之后，就馬上接管了之前Gand-CrabFlash攻擊方式，主要的攻擊流程見圖6。圖6Sodinokibi勒索病毒執(zhí)行流程無文件攻擊方式分析根據(jù)亞信安全最新截獲的Sodinokibi該病毒利用了無文件攻擊中多個(gè)特征的技術(shù)：內(nèi)存執(zhí)行PowerShell腳本等執(zhí)行多層的腳本間接混淆加密真正的病毒執(zhí)行體Sodinokibi勒索病毒樣本分析過在磁盤中創(chuàng)建白名單文件或者感染白名單文件的無文件攻擊方式，防止被防病毒軟件查殺，qv05zPowerShell的無文件攻擊自2017在我們的調(diào)查中，我們發(fā)現(xiàn)了以下信息：根據(jù)進(jìn)程樹關(guān)系顯示，一個(gè)叫WINWORD.EXE的可執(zhí)行程序打開了一個(gè)名為“info_17.07.docPowerShell腳本,我們在另“VolonariDipendenti-addetamento-ongiunto8-12Lugli.doc的Word文檔中O?ce文件實(shí)例,他們僅僅具有不同的名稱/哈希而已。圖7Sodinokibi勒索病毒執(zhí)行體PowerShell執(zhí)行base64給反病毒引擎造成了極大的檢測困難。圖8Sodinokibi勒索病毒PowerShell混淆后的執(zhí)行體個(gè)被解碼后勒索病毒腳本命令內(nèi)容也并不包含直接造成危害的病毒執(zhí)行體代碼，其通過另一個(gè)也很容易造成誤報(bào)和漏報(bào)：圖9Sodinokibi勒索病毒一層解混淆后PowerShell代碼PowerShell開始展示：圖10Sodinokibi勒索病毒兩層解混淆后PowerShell代碼最終的PowerShellKiLde該文件來自惡意URLhxxp://amylleibahim[.]op/sy-wo/fgoow[.]php?l=dxclass2.gxl“$env:userpro?le“C:Users\user\user_name)惡意URL已經(jīng)不可用KiLde進(jìn)一步嘗試從另一個(gè)URL下載其他代碼URLhxxp://185[.]193[.]141[.]248gs[.]ph：圖11Sodinokibi勒索病毒KiLrd下載的php文件代碼首先檢查主機(jī)的處理器體系結(jié)構(gòu)，以便啟動(dòng)正確的PowerShell（32位或64位啟動(dòng)PowerShell該進(jìn)程調(diào)用駐留在其他URL中的代碼“\hhttp://pastebin[.]com/raw/-CY2EEMJNEmpire如下所述/EmpireProject/Empire/blob/master/data/mod-ule_source/code_execution/Invoke-Re?ectivePEInjection.ps1EmpirePowerShell2.0的Windowsagent和一個(gè)純Python2.6/2.7的LinuxOSXaen該項(xiàng)目即較早的erShellEmpie和PythonEmPyeEmpie在erShellEmpie實(shí)現(xiàn)了運(yùn)行PowerShell代理而無需父進(jìn)程，可快速部署的后開發(fā)模塊，從關(guān)鍵記錄器到Mimikat攻擊者使用上述模塊將DLL反射式加載到PowerShellDLL是從內(nèi)攻擊者創(chuàng)建了一個(gè)包含惡意DLLEmpirebase64編碼并轉(zhuǎn)換為字節(jié)數(shù)組的圖11Sodinokibi勒索病毒KiLrd下載的php文件一旦此模塊與PowerShell一起運(yùn)行，惡意DLL將在PowerShell進(jìn)程內(nèi)存中自行執(zhí)行，并對受感染計(jì)算機(jī)的文件進(jìn)行加密，然后刪除一個(gè)指令文件，以要求用戶為解密加密文件支付贖金?！?qv05z“qv05z-readmett。最終勒索軟件對文件進(jìn)行加密并更改桌面墻紙，還轉(zhuǎn)儲了一個(gè)txt文件以獲取有關(guān)如何為解密文件支付勒索費(fèi)的說明，如下面的屏幕截圖所示：攻擊流

圖13Sodinokibi勒索病毒勒索界面PowerShellPowerShellPowerShellPow-erShell還嘗試禁用多項(xiàng)本地安全組件以及協(xié)助加密本地文件：圖14Sodinokibi勒索病毒進(jìn)程樹上下文從圖14可以看到vssadmin.exe在引導(dǎo)階段使用以下命令禁用Windows恢復(fù)和修復(fù)功能文件生成的進(jìn)程命令行要?jiǎng)h除文件的卷影副本，達(dá)到刪除備份的目的：“C:\Windows\Sytem32\cmd.exe/cvssadmin.exeDeleteShadows/All/Quietbcdedit/set{default}recoveryenabledNo&bcdedit/set{default}bootstatus-policyignoreallfailures圖15Sodinokibi勒索病毒執(zhí)行命令行參數(shù)Sodinokibi勒索病毒無文件攻擊技術(shù)總結(jié)內(nèi)存執(zhí)行PowerShell腳本執(zhí)行多層的腳本混淆加密是非常難被防病毒引擎檢測到的。Phobos家族勒索無文件攻擊技術(shù)攻擊Phobos家族勒索無文件攻擊技術(shù)攻擊Windows平臺2020年，獲取到大量勒索家族PhobosPhobos勒索病毒于2018年12月Phobos添加到加密文件中而得名。該病毒使用諸如系統(tǒng)激活工具之類的軟件作為載體，誘使用戶下載和安裝，竊取用戶的機(jī)器信息，并進(jìn)一步通過TrojanC服務(wù)器下載與勒索軟件相關(guān)的加密程序并實(shí)施比特幣勒索軟件。在僅僅一周的時(shí)間里，該變體已經(jīng)傳播到十多個(gè)國家。無文件攻擊方式分析Phobos勒索病毒變體使用典型的無文件攻擊方式：多個(gè)且多層的PowerShell腳本W(wǎng)MDLL等Phobos勒索病毒樣本分析“sheepskin的PowerShellPowerShell下載另一個(gè)PowerShellpps.pspps.ps1將解密并釋放病毒載體的base64編碼的exe文件數(shù)據(jù)到％userpro?leexe圖16Phobos勒索病毒腳本和執(zhí)行流圖17Phobos勒索病毒執(zhí)行的腳本解析Phobos勒索病毒將添加一個(gè)名為id[XXXXXXXX-2275].[helprecover@fox-mail.om].help的特定后綴“XXXXXXXXinfo.hta和info.txt的文件。通過調(diào)用具有與info.txt相同的文本內(nèi)容的info.hta“您的所有文件已被加密的對話框?qū)⑼ㄖ芎φ卟《咀髡叩穆?lián)系信息和比特幣贖金付款方式。Phobos勒索病毒主體文件在特定目錄釋放并運(yùn)行勒索病毒：圖18Phobos勒索病毒多層釋放病毒主體Phobosexe將自身代碼寫入正常exe勒索進(jìn)程在運(yùn)行。圖19Phobos勒索病毒互斥執(zhí)行Phobos勒索信截圖：圖20Phobos勒索病毒勒索信Phobos勒索病毒無文件攻擊技術(shù)總結(jié)PowerShell腳本執(zhí)行多層的腳本混淆加密Phobos病毒家族與Dharma家族的存在著某種非常相似“血緣關(guān)系Phobos勒索病毒也即同等分析了Dharma勒索病面變種樣本以及攻擊數(shù)量都很高。RansomEXX勒索無文件攻擊分析RansomEXX勒索無文件攻擊分析Linux平臺2020年，亞信安全已經(jīng)捕獲到面向Linux操作系統(tǒng)的勒索軟件。在2020年11月，卡巴斯基研究人員截獲并給出一種新型的面向Linux系統(tǒng)的勒索病毒的分析報(bào)告。該勒索病毒名稱為RansomEXX。RansomEXX的前身為面向Windows2020年一年間就造成了世界多家知名公司的數(shù)據(jù)加密與服務(wù)中斷事件，如KonicaMinol6月底遭受攻擊與xDexas5月初開始遭受攻擊。無文件攻擊方式異常注入腳本執(zhí)行RansomEXX勒索病毒樣本分析攻擊者將RansomEXX病毒由Windows版本移植至LinuxLinux操RansomEXXLinux版惡意樣本通常是64位的ELF可執(zhí)行文件了開源庫mbedtls256比特的密鑰，該密鑰會被用于加密所有受害者機(jī)器上的文件。文件加密方式采用了AESAES密鑰會進(jìn)一步通過惡意軟件內(nèi)部的4096比特的公鑰進(jìn)行RSAAES密鑰會被附加到每個(gè)被加密文件的文件尾。重新生成加密所用的AES21所示。圖21RansomEXXLinux加密偽代碼研究報(bào)告同樣指出，RansomEXX的Linux版本與Windows版本的代碼除所用系統(tǒng)API不一樣以外，其代碼的組織方式，加密功能的實(shí)現(xiàn)方式與引用的加密庫均相同，這有力的證明了Linux版實(shí)際上是由Windows版本移植而來的。圖22-1RansomEXXWindows密鑰加密偽代碼圖22-2RansomEXXWindows密鑰加密偽代碼上圖給出了兩種版本的樣本中加密AES密鑰的反匯編代碼，圖22為Linux樣本的代碼，和其對應(yīng)的Windows版本的代碼?？梢钥闯?，除調(diào)用系統(tǒng)函數(shù)的代碼以外，其邏輯流程大體相同。圖23勒索通知字符串片段研究人員同樣在樣本中找到了該樣本完成加密后發(fā)給用戶的通知字符串，值得注意的是，該文本風(fēng)格與2020年11月發(fā)生的一起針對巴西政府部門Windows系統(tǒng)的定向勒索攻擊事件RansomEXXLinux版本與Windows版本的同源性。RansomEXX勒索病毒無文件攻擊技術(shù)總結(jié)異常注入腳本執(zhí)行Windows版本的勒索軟件移植至Linux系統(tǒng)上。Botnet無文件攻擊分析Botnet無文件攻擊分析Linux平臺Botnet控制者和被感染主機(jī)之間所形成的一個(gè)可以一對多控制的網(wǎng)絡(luò)。TrickBot是一個(gè)多功能的Windows平臺下的僵尸網(wǎng)絡(luò)攻擊程序，該惡意程序可以利用多種模塊實(shí)施惡意攻擊行為，如信息竊取，密碼盜用，Windows域滲透與惡意軟件載荷傳送。TrickBot被廣泛的用于網(wǎng)絡(luò)攻擊中。著名的黑客團(tuán)體如Ryuk與Conti采用該惡意程序以進(jìn)行Ransomware投遞從而加密被攻擊的機(jī)器上的文件。在2019年底，有安全公司報(bào)告有新的一種名為Ancho_DNS的TrickBot惡意軟件變種，該惡意軟件通過DNS來與C&C服務(wù)器進(jìn)行交流。該變種除被用于投送勒索軟件外，還會在APT攻擊中扮演后門角色。無文件攻擊方白名單利用DNS隱秘隧道RansomEXX勒索病毒樣本分析擊2020年，有研究表明該惡意軟件已經(jīng)被移植至Linux環(huán)境下，該移植后的惡意軟件可以攻目標(biāo)網(wǎng)絡(luò)中的高價(jià)值Linux目標(biāo)。研究報(bào)告指出，當(dāng)該惡意軟件被執(zhí)行時(shí)，其會配置crontab，擊使得其能夠每分鐘被執(zhí)行，以下為crontab中的配置項(xiàng)：*/1****root[?lename]圖24TrickBot配置crontab偽代碼該Linux版的惡意軟件同樣也嵌入了其對應(yīng)的Windows版本的惡意軟件，以確保其同樣能夠滲透至同一網(wǎng)絡(luò)下的Windows環(huán)境的機(jī)器。下圖為從TrickBot中提取出來的Windows版本的PE惡意軟件的文件頭。圖25TrickBot內(nèi)嵌Windows惡意樣本文件頭當(dāng)遇到同一網(wǎng)絡(luò)下的Windows設(shè)備時(shí)，該惡意樣本會將自己嵌入的Windows版的惡意軟件通過SMB與$IPC拷貝至Windows機(jī)器上。當(dāng)完成拷貝后，該惡意軟件會將Windows版本的程序配置為Windows服務(wù)。當(dāng)服務(wù)配置完成后，該惡意程序會在Windows上啟動(dòng)起來，連接回C&C服務(wù)器。圖26TrickBot惡意樣本擴(kuò)散偽代碼圖26TrickBot惡意