迷宫勒索软件:勒DDoS高防索受害者1年并计算-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 行业资讯 > 迷宫勒索软件:勒DDoS高防索受害者1年并计算

迷宫勒索软件:勒DDoS高防索受害者1年并计算

小墨安全管家 2020-11-22 20:58 行业资讯 89 ℃
DDoS防御
迷宫勒索团伙声名狼藉已有一年了。此前被认定为"查查勒索软件"(一具名称取自恶意软件用来加密文件的流密码),那个迷宫"品牌"于2019年5月首次贴在勒索软件上。Maze的最初样本与装有漏洞工具包的假网站有关。从那时起,Maze基本经过多种方式交付:漏洞工具包、垃圾邮件,同时随着集团的运营越来越有针对性的远程桌面协议攻击和其他网络攻击。但除了该团伙在最初的妥协想法上做出的调整外,迷宫集团之于是声名鹊起,特别大程度上是因为它的勒索策略:在受害者被盗数据的公共"垃圾堆"中,跟踪受害者数据公开曝光的威胁,并在不付款的事情下在网络犯罪论坛上提供受害者数据。尽管梅兹并没有发现数据盗窃/勒索诈骗,但它是第一批勒索软件行动之一,利用数据窃取作为扭曲受害者的武器来还钞票。迷宫团伙将公众曝光作为其"品牌"身份的核心,并积极寻求媒体和研究人员的关注,以推广他们的品牌,让那些大概犹豫不付的受害者更容易发觉自个儿的声誉。步入聚光灯下梅兹在2019年10月引起了更大的关注,勒索软件的运营商发起了一场大规模的垃圾邮件活动,伪装成来自政府机构的信息。一具竞选阵营发来的信息声称来自德国财政部,CC防御,而另一具阵营则冒充来自意大利国税局(Agencia Entrate)的税务信息。意大利版本的攻击声称是指示,以幸免被指定为税务欺诈,进一步的细节在所附文件威尔第.doc-被描述为"交互式工具",一种欺骗用户启用VBA宏的策略。启用宏后,文档中的足本将Maze勒索软件下载到%TEMP%文件夹,接着执行它。梅兹的操作员发给意大利目标的假电子邮件。附件,威尔第.doc从那时起,Maze勒索软件要紧是经过窃取和发布受害者的数据来强迫支付的。尽管威胁暴露受害者的数据向来是勒索软件运营商的一部分,但梅兹是最早在2019年11月联合环球公司(Allied Universal)数据曝光后,以公开方式跟进此类威胁的公司之一。梅兹并不是唯一一具采纳这种策略的人。REvil/Sodinokibi在与Maze已经同一时刻开始公布数据;DoppelPaymer和Clop勒索软件也紧随其后,LockBit在其勒索记录中增加了数据暴露的威胁。然而迷宫"团队"是第一具让新闻媒体关注受害者的人,甚至在他们的网站上公布了一份"新闻稿"。名利梅兹的运营商经过多种方式寻求关注,努力扩大自个儿的声誉,增加"客户"(他们称之为受害者)快速付款的大概性。名字识别对他们来讲特别重要,即使他们是匿名的。他们经过挑衅安全研究人员来寻求关注。Maze的开辟人员通常会将研究人员的名字放入勒索软件二进制文件中的字符串中,或是发送这些文件的"打包程序"。例如,Maze的作者经常将研究人员的名字放在开辟过程中生成的程序数据库(.pdb)文件的文件名或文件路径中。在一具迷宫二进制样本的PDB路径中,引用了研究人员Michael Gillespie、反病毒公司emissoft和研究员marcushutchins的Twitter帐户,以及其他无意义的字符串。Maze的作者经常在.pdb文件名和路径中输入名称,以至于他们也许对怎么称呼它们没有了方法:有时,CC防御,迷宫的作者会在代码本身的字符串中给研究人员留下挑衅性的信息。这些字符串通常没有任何功能,虽然有时它们被用作关闭恶意软件执行的"终止开关"。 迷宫小组对研究人员的挑衅延伸到了网络论坛上。在一块板上,迷宫小组用闻名勒索软件研究人员维塔利·克雷梅兹(Vitali Kremez)的名字"克雷梅兹"(Kremez)公布链接,链接到未付款公司的大量数据。Maze团队公布的一篇网页帖子,使用的帐号名为"Kremez"但用来推广迷宫品牌的要紧平台是迷宫团队的网站,一具特意为受害者服务,另一具是与全世界交流的网站(并鼓舞受害者公开付费)。"爱护世界安全"受害者的网络面板上有戒指的讽刺口号,"迷宫团队:维护世界安全"受害者到达网站后,跟踪勒索通知中的网址,要求提供文件解密-文件.txt被勒索软件扔掉了,勒索软件包含了受害者的身份证号码。一旦确认身份,受害者能够上传三个文件举行解密,以此证明迷宫小组可以真正恢复他们的数据。(仅支持图像文件,DDoS防御,所以无法免费恢复实际关键数据。)该网站还提供了一具谈天窗口,所以受害者能够与迷宫团队的客户支持代表沟通,他们随时预备回答任何咨询题并商议付款。除了向受害者提供的私人网络面板外,迷宫集团还维护着一具"新闻"网站(在Tor和公共互联网上都有),为最近受到勒索软件攻击的公司提供被盗数据样本,以及一些未能商议付款的公司的"全部转储"数据。2020年4月17日,梅兹公布了一份日期为2020年4月17日的"新闻稿"。这的确是一具给受害者的信息,解释了假如他们无视梅兹的赎金要求,不与他们联系付款咨询题,将会发生的所有坏事。(该页面最近更新了有关据称受害人Banco BCR的信息。)他们向"客户"保证,他们遵守任何协议,删除被盗数据,因为他们的声誉对他们开展业务特别重要。他们声称基本预备好为那些受到COVID-19引发的全球经济衰退损害的人达成协议。过去,由于情有可原,迷宫集团撤回了公布在其网站上的数据,比如在彭萨科拉市海军航空站发生两名美国海军成员被枪击事件后,该组织放弃了针对彭萨科拉市的勒索要求。今年3月,Maze小组宣布,在COVID-19流感大流行"稳定"之前,他们将停止对医疗机构的攻击在最近的"新闻稿"(日期为2020年4月17日)中,迷宫的经营者写道:我们和你日子在同一具现实中。这算是为啥我们更愿意在这些安排下工作,我们愿意妥协。然而,惟独那些可以理解啥是声誉以及私人数据丢失的真正后果的合作伙伴。迷宫主二进制中的规避与反分析迷宫勒索要紧是用C++编写的。然而,它大量使用带有操纵流混淆的纯程序集。这种混淆包括:使用条件跳转命令组合的无条件跳转,例如将jz(假如不是零则跳转)指令直截了当放在jnz(假如不是零则跳转)指令之后,将其直截了当放到同一位置。跳到指令的中间;指向二进制文件的.text部分中的字符串作为返回地址的指令。对所需的API名称举行哈希处理,并与DLL函数名的哈希值举行比较,接着使用常用的LoadLibrary和GetProcAddress函数动态解析匹配的函数。Maze团队对他们的要紧二进制代码在恶意软件二进制文本中的消息中的代码混淆感到很自豪,他们要求研究人员编写一具IDAPython足本来对其举行除臭。5月1日,Crowdstrike的肖恩·赫尔利(Shaun Hurley)发表了一份报告,详细展示了这种除臭效果。我们分析的几个迷宫示例中包含"kill"开关,当触发时,恶意软件不大概加密文件。其中很多不过为了吸引研究人员的注意,或者发送一些信息,或者(如前所述)给他们懂向来在检查代码的研究人员取名字。研究人员Vitali Kremez的名字在那个地点被用作killswitch文件名(C:\\2433\\Kremez),并在二进制文本中向另一名研究人员发送威胁消息。另一具杀手锏是讥笑一家没有支付梅兹赎金的公司。还有一些示例能够使用更故意义的功能性开关运行,例如:–允许运行多个实例的nomutex;–日志记录打开详细的操纵台输出,其中记录加密的每个文件、加密所需的时刻以及一些错误消息;–noshares关闭网络共享的加密;–path指定要加密的文件夹。Maze二进制文件的输出在启动时传递了–logging开关。除了混淆之外,DDoS防御,Maze main二进制文件的作者还对恶意软件应用了很多反分析技术。以多种方式调试环境。除了使用IsDebuggerPresent API和正在调试标志检查一下,Maze主二进制文件包含已知分析进程名称的硬编码哈希,包括procmon.exe程序,procmon64.exe,x32dbg.exe文件,x64dbg.exe文件, ollydbg.exe, procexp.exe程序,以及procexp64.exe。该代码将枚举当前正在运行的进程,依照哈希列表检查进程的名称,假如检测到任何进程,则会自行终止。开店打电话回家Maze二进制文件经过将自身添加到Windows的autorun注册表来创建持久性。它使用互斥体来确保Maze的另一具实例不大概执行(除非是使用–nomutex开关执行的示例)。使用Windows命令行工具删除文件副本WMIC.exe文件. 二进制文件也使用

迷宫勒索软件:勒索受害者1年并计算


DDoS防御

当前位置:主页 > 行业资讯 > 迷宫勒索软件:勒DDoS高防索受害者1年并计算

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119