本文来自安信安全。
随着加密货币市场的雪崩式下跌,网络犯罪分子的收益锐减,于是一些能够“拓展业务”的新攻击技术和策略开始受到犯罪分子青睐。最近崭露头角的RedAlert和Monster组织正在修改他们的工具以实现跨平台攻击。
RedAlert和Monster是率先实现跨平台攻击功能的勒索软件组织,可针对目标的多个操作系统和环境实施跨平台攻击,这为企业安全团队们敲响了警钟。
RedAlert(又名N13V)可在面向Linux系统的C语言版本中开发可执行文件,同时还支持VMware的企业级ESXi管理程序。另一个勒索软件组织Monster则使用较旧的跨平台语言Delphi,可以轻松针对特定受害者的系统配置定制攻击。
根据卡巴斯基上周发布的一份咨询报告,从2021年开始,犯罪分子在单个受害者的环境中攻击多种客户端操作系统的能力开始呈现增长趋势。例如,勒索软件组织Conti允许加盟组织访问其勒索软件的Linux变体,该变体还允许针对运行VMware的ESXi虚拟机管理程序的系统。
一次部署,多次攻击
勒索软件的跨平台趋势有几个原因:一方面,它减少了劳动力。攻击者只需编写一次特定的程序功能,就可以使用生成的代码编写针对多个目标的攻击脚本。
卡巴斯基全球研究与分析团队高级安全研究员Jornt van der Wiel在一份声明中表示:“我们已经非常习惯于勒索软件组织部署以跨平台语言编写的恶意软件。如今,网络犯罪分子学会了调整他们用普通编程语言编写的恶意代码以进行联合攻击,同时让安全专家检测和预防勒索软件攻击变得更加困难。”
跨平台攻击不仅能阻碍分析,还具备针对特定受害者环境定制攻击的能力。攻击者可以使用命令行自定义攻击,例如,在针对特定类型的客户端虚拟机时,允许代码在ESXi环境中运行。
除了扩大攻击面外,勒索软件使用跨平台语言还有其他原因。
卡巴斯基指出,勒索软件团伙在多平台攻击中对n-day漏洞(又称“1-day”漏洞)的利用方面做得越来越好。“N天”是指刚刚报告的漏洞,网络犯罪分子在公司有时间修补它们之前竞相利用。
研究人员表示,勒索软件转向跨平台并不让人意外。2022年上半年,随着加密货币价值暴跌,勒索软件攻击也快速降温,网络安全公司Arctic Wolf报告称下降了约四分之一。勒索软件攻击的“效益下滑”意味着勒索软件组织必须找到重振“业绩”的方法。
大获成功的“勒索语言”:
Rust和GoLang
勒索软件实现跨平台功能的一个常见方法是使用支持其他平台的语言编写代码,例如Rust或Golang。
例如,BlackCat勒索软件程序是用Go和Rust编写的,后者是C的继承者,由于其改进的安全功能而受到关注。
“由于Rust交叉编译功能,我们很快就发现了在Linux上运行的BlackCat版本,”卡巴斯基在报告中指出:“BlackCat的Linux版本与Windows版本非常相似。”
根据Palo Alto Networks Unit 42的数据,目前有包括Agenda、BlackCat、Hive和Luna四个勒索软件组织使用Go编程语言,其中Agenda还提供针对每个受害者的“软件定制服务”。
用Rust和Go编写的勒索软件使恶意软件研究人员的分析更加困难,因为分析这些语言的工具没有C语言程序分析工具成熟。