一个名为Cactus的新型勒索软件团伙一直在利用VPN设备中的漏洞,对“大型商业实体”的网络进行初始访问。
至少从今年3月开始,Cactus勒索软件团伙就一直处于活跃的状态,并向受害者索要大笔赎金。
虽然这伙新的威胁分子采用了勒索软件攻击中两种常见的策略:文件加密和数据窃取,但它增添了自己的手法以免被发现。
加密配置花招
Kroll企业调查和风险咨询公司的研究人员认为,Cactus通过利用飞塔(Fortinet)VPN设备中的已知漏洞,获得了进入受害者网络的初始访问权限。
这番结论基于以下观察结果:在调查的所有事件中,黑客都是从拥有VPN服务帐户的VPN服务器转而进入内部的。
Cactus与其他团伙的不同之处在于,它使用加密来保护勒索软件二进制文件。威胁分子使用批处理脚本,借助7-Zip获取加密器二进制文件。
原始的ZIP压缩包被删除,并使用允许其执行的特定标志部署二进制文件。整个过程不同寻常,研究人员表示这是为了防止勒索软件加密器被检测出来。
Kroll调查人员在一份技术报告中解释道,有三种主要的执行模式,每种模式都是通过使用特定的命令行参数选项符来选择的:设置(-s)、读取配置(-r)和加密(-i)。
-s参数和-r参数允许威胁分子实现持久性,并将数据存储在C:\ProgramData\ntuser.dat文件中,该文件稍后由加密器在使用-r命令行参数运行时读取。
不过,为了使文件加密成为可能,必须使用-i命令行参数,提供只有攻击者才知道的独特的AES密钥。
该密钥对于解密勒索软件的配置文件和加密文件所需的公共RSA密钥必不可少。它其实就是加密器二进制文件中硬编码的十六进制(HEX)字符串。
图1. 加密Cactus勒索软件配置的十六进制字符串(图片来源:Kroll)
解码十六进制字符串提供了一段用AES密钥解锁的加密数据。
Kroll网络风险副总经理Laurie Iacono告诉IT安全外媒Bleeping Computer:“CACTUS实际上对自己进行加密,使其更难被检测出来,并帮助它逃避反病毒和网络监控工具。”
如果使用-i(加密)参数来运行二进制文件(拥有正确的密钥),可解锁信息,并允许恶意软件搜索文件,启动多线程加密过程。
Kroll的研究人员提供了下面的示意图,以便更好地解释Cactus二进制文件根据所选的参数来执行的过程。
图2. Cactus勒索软件二进制文件的执行流程(图片来源:Kroll)
勒索软件专家Michael Gillespie也分析了Cactus加密数据的方式,他告诉BleepingComputer,该恶意软件可以根据处理状态对目标文件使用多个扩展名。
在准备加密文件时,Cactus将其扩展名更改为.CTS0。加密后,扩展名就变为了.CTS1。
然而Gillespie解释道,Cactus也可以有“快速模式”,类似进行一轮轻加密。在快速模式和正常模式下连续运行恶意软件会导致对同一文件进行两次加密,并在每个过程之后附加一个新的扩展名(比如.CTS1.CTS7)。
Kroll表示,.CTS扩展名末尾的数字在多起可以追溯到Cactus勒索软件的事件中有所不同。
Cactus勒索软件的战术、技术和程序(TTP)
一旦进入到了网络,威胁分子使用计划任务进行持久访问,使用可以从指挥和控制(C2)服务器访问的SSH后门。
据Kroll调查人员声称,Cactus依靠SoftPerfect网络扫描器(netscan)在网络上寻找有价值的目标。
为了进行更深入的侦察,攻击者使用PowerShell命令来枚举端点,通过在Windows事件查看器中查看成功登录来识别用户帐户,并ping远程主机。
研究人员还发现,Cactus勒索软件使用了开源软件PSnmap工具的修改版本,这是相当于PowerShell版的nmap网络扫描器。
调查人员表示,为了启动攻击所需的各种工具,Cactus勒索软件通过合法工具(比如Splashtop、 AnyDesk和SuperOps RMM)以及Cobalt Strike和基于Go的代理工具Chisel,尝试多种远程访问方法。
Kroll调查人员表示,在提升机器上的权限后,Cactus团伙成员运行批处理脚本,从而卸载最常用的反病毒产品。
与大多数勒索软件团伙一样,Cactus也会窃取受害者的数据。在此过程中,威胁分子使用Rclone工具将文件直接传输到云存储系统。
在窃取数据后,黑客使用了一个名为TotalExec的PowerShell脚本来自动部署加密过程,该脚本经常出现在BlackBasta勒索软件攻击中。
Gillespie告诉我们,Cactus勒索软件攻击中的加密程序是独一无二的。尽管如此,这似乎并不是Cactus所特有的,因为最近BlackBasta勒索软件团伙也采用了类似的加密过程。
图3. Cactus勒索软件的TTP(图片来源:Kroll)
目前还没有关于Cactus向受害者索要赎金的公开信息,但有知情人士告诉BleepingComputer,赎金高达数百万美元。
即使黑客确实窃取了受害者的数据,他们似乎也没有像其他从事双重勒索活动的勒索软件团伙那样建立数据泄露网站。
然而,威胁分子确实威胁受害者:除非他们拿到赎金,否则将公布被盗文件。这在勒索函中很明确:
图4. Cactus勒索函威胁要公布被盗数据(图片来源:Kroll)
Cactus团伙、目标受害者以及黑客在拿到赎金后是否遵守诺言并提供可靠的解密器,这些方面的大量细节目前还不得而知。
目前清楚的是,黑客的入侵到目前为止很可能利用了飞塔VPN设备中的漏洞,采用了标准的双重勒索方法,在加密数据之前窃取数据。
组织应该部署飞塔的最新软件更新,监控网络中的大型数据泄露任务,并快速响应,这应该可以保护组织免受勒索软件攻击的最后、最具破坏性的阶段。
参考及来源:https://www.bleepingcomputer.com/news/security/new-cactus-ransomware-encrypts-itself-to-evade-antivirus/