勒索软件新技术趋势:间歇性加密

Avenger
防御者可以使用统计分析来检测勒索软件的加密操作,通过评估文件IO操作强度或文件修改的相似性可以进行检测。与完全加密相比,间歇加密可以有效规避此类分析。

本文来自FreeBuf,作者/Avenger。

攻击者正在大量应用间歇性加密来快速加密受害者的文件,这也是一个重大的卖点。

从两方面来看,间歇性加密对勒索软件运营者来说是非常重要的:

速度:完全加密是非常耗时的,而时间对攻击者来说是非常重要的,加密速度越快就越能防止被检测与拦截

逃避:防御者可以使用统计分析来检测勒索软件的加密操作,通过评估文件IO操作强度或文件修改的相似性可以进行检测。与完全加密相比,间歇加密可以有效规避此类分析

2021年夏天,LockFile勒索软件是首批引入间歇性加密技术的勒索软件家族之一。后来,越来越多的勒索软件都应用了这一技术。

Qyick勒索软件

2022年8月末,研究人员发现一个名为lucrostm的用户在地下犯罪论坛上宣传一种名为Qyick的新型勒索软件。

Qyick勒索软件是一次性买断制,而非更常见的订阅制。根据购买的级别,价格从0.2比特币到1.5比特币不等。卖家可以得到保证,如果勒索软件在购买六个月内被安全软件检测到,攻击者将会以六折到八折的价格提供一个新的样本。

2345截图20220818151609.png

【Qyick勒索软件广告】

Qyick勒索软件是用Go编写的,并且具备间歇性加密功能。lucrostm声称Qyick勒索软件具备如此快的加密能力,就是通过间歇性加密实现的。

当前版本的Qyick并不具备数据泄露功能,但lucrostm表示未来将会新增执行任意可执行代码的功能,主要用于数据泄露。

Agenda勒索软件

Agenda勒索软件在2022年8月首次被发现,主要针对非洲和亚洲的医疗保健和教育组织进行攻击。该勒索软件有一些自定义选项,包括更改加密文件的文件扩展名以及要终止的进程和服务列表。

Agenda勒索软件支持多种加密模式(skip-step、percent和fast),如下所示:

2345截图20220818151609.png

【帮助信息】

每种模式如下所示:

2345截图20220818151609.png

BlackCat勒索软件

BlackCat勒索软件在2021年底开始频繁攻击,也是第一个已知的使用Rust编写的勒索软件。BlackCat背后的开发者于2021年12月初首次被发现在俄罗斯地下犯罪论坛上进行宣传。

2345截图20220818151609.png

【论坛信息】

BlackCat勒索软件运行着勒索软件即服务(RaaS),使用防弹主机来部署网站,并且使用比特币混合服务来进行匿名交易。

2345截图20220818151609.png

【ALPHV Collections一个可搜索泄露受害者数据的数据库】

BlackCat勒索软件攻击全球各种组织与企业,2022年9月,BlackCat勒索软件针对意大利的国有能源服务公司GSE发起攻击。

SentinelLabs研究员Aleksandar Milenkoski对BlackCat勒索软件样本进行了逆向分析,加密模式如下所示:

1(1)(1).jfif.jpg

【加密模式信息】

与完全加密相比,使用Auto模式的BlackCat勒索软件可以显著减少加密时间。

P=LAY勒索软件

该勒索软件是勒索软件领域的新玩家,于2022年6月下旬首次被发现。最近,该勒索软件攻击了多个知名目标,如2022年8月攻击了阿根廷科尔多瓦法院。

2345截图20220818151609.png

【勒索软件勒索信息】

与Agenda和BlackCat相比,该勒索软件不可配置。其加密模式是固定的:

如果文件大小小于或等于0x3fffffff字节,加密2个块

如果文件大小小于或等于0x27fffffff字节,加密3个块

如果文件大小大于0x280000000字节,加密5个块

分析时观察到一个样本每隔一个0x100000字节块进行加密,该文件包含空字符串,可以有效区分加密块与未加密块。

2345截图20220818151609.png

【加密文件的部分内容】

Black Basta勒索软件

Black Basta是一个RaaS程序,于2022年4月出现。Black Basta勒索软件接棒Conti勒索软件出现,该勒索软件采用C++语言编写。

Black Basta在勒索软件领域迅速占据了一席之地,两周内公布了二十多个受害者,主要集中在公用事业、技术、金融和制造业。

2345截图20220818151609.png

【Black Basta网站】

与P=LAY勒索软件一样,Black Basta不具备可配置加密模式。其加密模式为:

如果文件大小小于704字节,完全加密

如果文件大小小于4 KB,则从文件开头开始跳过192字节并每64字节进行加密

如果文件大小大于4 KB,则从文件开头开始跳过128字节并每64字节进行加密

与P=LAY勒索软件类似,由于包含空字符,使加密块和未加密块在视觉上更容易区分。

2345截图20220818151609.png

【Black Basta加密内容】

结论

间歇性加密对于攻击者来说是非常有用的,这种方法有助于规避勒索软件检测机制,更快地加密文件。研究人员预计,间歇性加密将会被更多勒索软件家族所采用。

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论