【新闻转载】“假冒 LockBit”来袭:勒索软件借助 AWS S3 偷窃数据,威胁升级

news2024/11/26 14:41:24

关键要点

  • Trend团队发现了一些利用 Amazon S3(简单存储服务)传输加速功能的 Golang 勒索软件样本,用于窃取受害者的文件并上传至攻击者控制的 S3 存储桶。

  • 这些样本中硬编码的 Amazon Web Services (AWS) 凭证被用于追踪与恶意活动关联的 AWS 账户 ID,从而提供了有价值的威胁指示(IOCs)。

  • 攻击者试图将 Golang 勒索软件伪装成臭名昭著的 LockBit 勒索软件,显然是想借助其恶名来进一步施压受害者。

  • Trend团队已将相关发现共享给 AWS 安全团队。需要注意的是,他们的发现并不涉及 AWS 服务的漏洞。经与 AWS 核实,确认该行为违反了 AWS 可接受使用政策。报告的 AWS 访问密钥和账户现已被暂停。

引言

从信息窃取工具的开发到数据窃取,云服务提供商正越来越多地被威胁行为者利用于恶意活动。在本次案例中,Trend团队分析的勒索软件样本包含硬编码的 AWS 凭证,但这是特定于此单一威胁行为者的情况。通常,勒索软件开发者会利用其他在线服务来实现其战术。为此,他们研究了一些使用 Go 语言(Golang)编写的勒索软件样本,目标为 Windows 和 MacOS 环境。大部分样本包含硬编码的 AWS 凭证,被窃数据上传至攻击者控制的 Amazon S3 存储桶。

在攻击的尾声,受害设备的桌面壁纸会被更换为提到 LockBit 的图片。这可能会让受害者误以为此次事件是由 LockBit 引起的,尤其是因为该勒索软件家族近年来活跃,且在今年上半年文件检测率最高。然而,实际情况并非如此,攻击者只是利用 LockBit 的恶名来进一步施压受害者。

他们推测该勒索软件的作者使用了自己的 AWS 账户或是一个被攻陷的账户。在分析中,Trend团队发现了可能出自同一作者的三十多个样本,表明该勒索软件在 AWS 暂停访问密钥和账户之前已在积极开发和测试。此外,通过样本中的硬编码 AWS 访问密钥 ID,他们可以定位到相关联的 AWS 账户 ID。这一发现提供了一个新的视角,即在跨账户活动中将恶意或被攻陷的 AWS 账户 ID 视作潜在的 IOC(威胁指示)。

本文将描述这些样本的功能特性以及它们如何在攻击中利用 Amazon S3 的功能。

技术分析

Golang 为开发人员提供了一个可以编译为多平台二进制文件的单一代码库,无需额外依赖项,从而实现跨平台兼容且无依赖的特性。威胁行为者利用这些优势,通过 Golang 创建恶意文件,例如 Agenda 勒索软件以及 Earth Lusca 使用的最新发现的 KTLVdoor 后门。

在Trend团队分析的勒索软件样本中,大多数样本都包含硬编码的 AWS 访问密钥 ID 和密钥。在深入研究这些样本的工作机制时,他们发现其利用了 AWS S3 的一个功能,即 S3 Transfer Acceleration (S3TA)。

他们的分析主要基于以下几个样本:

  1. 14fe0071e76b23673569115042a961136ef057848ad44cf35d9f2ca86bd90d31

  2. 0c54e79e8317e73714f6e88df01bda2c569ec84893a7a33bb6e8e4cf96980430

当勒索软件在受感染的机器上执行时,首先会通过以下步骤进行初始化:

  1. 获取主机的通用唯一识别码(UUID)

  2. 导入硬编码的公钥

公钥使用隐私增强邮件(PEM)格式进行编码。

解码公钥的值后,揭示出其使用的是RSA加密算法,并且模数大小为2048位。

        3. 生成一个随机主密钥,并使用先前导入的RSA公钥对其进行加密。(这意味着只有拥有私钥的攻击者才能解密该主密钥。)

        4. 将加密后的主密钥写入到说明文件(README.txt)中。

        5. 使用AWS SDK for Go v2库的StaticCredentialsProvider来加载静态凭证。这些静态凭证包括硬编码的AccessKeyID、SecretAccessKey和AWS_REGION。

初始化完成后,勒索软件通过调用 filepath.Walk 函数开始枚举在 /(macOS 版本的根目录)中的所有文件。对于每个被枚举的文件,都会检查其是否位于排除文件夹中。如果文件在排除文件夹中,则该文件不会被加密。

勒索软件包含一份文件扩展名列表(通常是文档、照片和数据文件),这些文件将会被加密。

README.txt 文件名被排除在加密范围之外。

数据泄露

基于获取的主机UUID,勒索软件样本使用硬编码的凭证对在攻击者控制的AWS账户上创建一个Amazon S3存储桶。

一旦存储桶被创建,勒索软件通过修改配置启用 S3TA(Amazon S3 Transfer Acceleration)功能。

最后的步骤是对文件从头到尾进行加密。加密算法采用 AES-CTR 模式,密码为文件名的 MD5 哈希值与主密钥拼接的结果。

例如,勒索软件生成一个随机的16字节主密钥:20 60 A3 EA 54 84 C9 27 57 76 1E CC 1F FC 12。加密后的文件名为 text.txt。

因此,拼接后的字节序列为:74 65 78 74 2E 74 78 74 63 20 60 A3 EA 54 84 C9 27 57 76 1E CC 1F FC 12。其 MD5 哈希值为 23 a3 ec c5 58 2d 97 41 07 3c 3b dc 31 7d 49 30。

文件随后从受害者的机器上传到由攻击者控制的 AWS 账户。

S3TA(Amazon S3 Transfer Acceleration)功能使用户能够在长距离内实现更快的数据传输速度。它利用了 Amazon CloudFront 全球分布的边缘位置。要使用此功能,必须在存储桶上启用。存储桶名称应符合域名系统(DNS)的规范,且不能包含句号。启用 S3TA 的 S3 存储桶可以通过以下端点访问,具体取决于 AWS 环境的类型:

  • bucketname[.]s3-accelerate.amazonaws.com

  • bucketname[.]s3-accelerate.dualstack.amazonaws.com

每个通过先前文件扩展名检查且小于 100 MiB(Mebibyte)的文件都会通过调用 Uploader.Upload 函数上传到 AWS。这是因为上传大文件会增加攻击者的存储成本,因此他们选择上传较小的文件以节省 AWS 空间和资金。

最后一步是对文件进行端到端的加密。加密算法采用 AES-CTR,密码是文件名与主密钥(master key)拼接后生成的 MD5 哈希值。

勒索软件生成一个随机的 16 字节主密钥(例如:63 20 60 A3 EA 54 84 C9 27 57 76 1E CC 1F FC 12),加密文件的名称为 text.txt。

相应地,拼接的字节序列为 74 65 78 74 2E 74 78 74 63 20 60 A3 EA 54 84 C9 27 57 76 1E CC 1F FC 12,其 MD5 哈希值为 23 a3 ec c5 58 2d 97 41 07 3c 3b dc 31 7d 49 30。这如图所示(通过 CyberChef 生成,此处仅用于可视化目的)。

生成的哈希值作为 crypto.AES.NewCipher 函数的 AES 密钥参数。初始化向量(IV)是一个随机生成的 16 字节值,并传递给 crypto.cipher.NewCTR 函数。

加密完成后,文件将被重命名为以下格式:<原文件名>.<初始化向量>.abcd。例如,文件 text.txt 被重命名为 text.txt.e5c331611dd7462f42a5e9776d2281d3.abcd

他们在调试器中运行了勒索软件样本并转储了主密钥。随后,他们验证了在选择合适的加密算法并传入正确参数的情况下,可以正确解密之前加密的文件,如下图所示(通过 CyberChef 生成,仅用于可视化展示)。

README.txt 文件包含经过 Base64 编码的内容。解码后可以看到,文件内容包含使用硬编码的公钥作为参数,并通过 crypto.rsa.EncryptPKCS1v15 加密的主密钥,随后再次进行 Base64 编码。在此编码数据之后,是主机名、操作系统版本以及感染机器的唯一标识符。要解密该主密钥,则需要勒索软件开发者的私钥,但他们并不掌握该私钥。

在处理完所有文件后,勒索软件会更改设备的壁纸。他们观察到使用了两种不同的壁纸,这些壁纸要么是从 LockBit 攻击中窃取的,要么是从某安全博客中提到的勒索软件家族中复制的。然而,需要注意的是,2.0 并不是 LockBit 的最新版本。此外,今年早些时候,勒索软件操作的关键人物已被逮捕。

在 macOS 系统上,勒索软件使用 osascript 命令更改壁纸,具体命令如下:

tell application "System Events" to tell every desktop to set picture to "%s"

在 Windows 系统上,勒索软件调用 SystemParametersInfoW 函数,将 uiAction 参数设置为 SPI_SETDESKWALLPAPER 来更改壁纸。

在某些 Windows 样本中,还可以找到用于删除备份(影子副本)的代码。有趣的是,勒索软件开发者可能在未理解的情况下,从一个勒索软件模拟项目中直接复制了 shadowcopy.go 文件,并且将参数 /for 保持不变。

结论

攻击者越来越多地利用云服务及其功能来推进恶意活动。在本文中,Trend团队分析了一个利用Amazon S3的传输加速功能的Golang勒索软件,该功能被用来将受害者的文件高效上传至攻击者控制的S3存储桶。这种高级功能使攻击者能够高效地提取数据并利用云服务提供商的优势来隐藏恶意行为。

此外,像AWS账号ID这样与恶意活动相关的云账户标识符可以作为重要的入侵指示器(IOC)。通过跟踪这些标识符,防御方可以更好地识别和缓解云环境中的威胁,强调了对云资源进行严密监控的必要性。

攻击者也可能会将他们的勒索软件伪装成其他更为知名的勒索软件变种。这种伪装意图明显:高知名度勒索软件带来的恐惧心理更容易促使受害者遵循攻击者的要求。

为进一步提升安全性,组织还可以采用如Vision One这样的安全解决方案,能够在系统的各个层面上及早检测和阻止威胁。

AWS 安全反馈

Trend团队就此次事件联系了 AWS,并收到以下回复:

AWS 可以确认其服务按预期运行。识别出的活动违反了 AWS 可接受使用政策,相关的 AWS 访问密钥和账户已被暂停。

勒索软件并不特定于任何特定的计算环境。然而,AWS 为客户提供了增强的可见性和控制能力,以帮助客户管理与恶意软件相关的安全状况。

Trend团队建议怀疑或发现 AWS 资源被用于可疑活动的客户填写滥用报告表或联系 trustandsafety@support.aws.com。

Trend团队感谢 Trend Micro 与 AWS 安全团队的合作。

消息来源:

https://www.trendmicro.com/en_us/research/24/j/fake-lockbit-real-damage-ransomware-samples-abuse-aws-s3-to-stea.html

https://www.trendmicro.com/en_us/research/24/j/fake-lockbit-real-damage-ransomware-samples-abuse-aws-s3-to-stea.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2228253.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

第十五章 Vue工程化开发及Vue CLI脚手架

目录 一、引言 二、Vue CLI 基本介绍 三、安装Vue CLI 3.1. 安装npm和yarn 3.2. 安装Vue CLI 3.3. 查看 Vue 版本 四、创建启动工程 4.1. 创建项目架子 4.2. 启动工程 五、脚手架目录文件介绍 六、核心文件讲解 6.1. index.html 6.2. main.js 6.3. App.vue 一、…

BEV:针孔相机坐标转换

一 、背景 自动驾驶中经常涉及到不同坐标系之间的坐标转换&#xff0c;在BEV方案中用的比较多的是自车坐标到图像坐标的转换&#xff0c;系统整理了一下坐标转换过程流程。 二 、方法 旋转矩阵计算方法&#xff1a; translation: 平移参数[‘x’, ‘y’, ‘z’] 高阶畸变模型…

开关灯问题(c语言)

样例&#xff1a;10 10 &#xff0c;输出&#xff1a;1&#xff0c;4&#xff0c;9 5 5 &#xff0c;输出&#xff1a;1&#xff0c;4 代码如下 #include<stdio.h> //引入bool值的概念 #include<stdbool.h> int main() {int n 0;//n为灯的数量int m 0;…

centos虚拟机部署opengauss数据库

一、基本信息 1、虚拟机安装的centos版本 2、opengauss版本 地址&#xff1a;https://opengauss.org/zh/download/ 3、opengauss和gaussdb的区别 高斯数据库&#xff08;GaussDB&#xff09;是云数据库&#xff0c;需要购买。 openGaussDB是开源数据库&#xff0c;可以免费…

搜索TV 1.2.4 | 适用于TV端的浏览器应用,设计简洁,功能强大

Klonsdif搜索TV版是一款专为TV端设计的浏览器应用&#xff0c;界面简洁&#xff0c;操作简单&#xff0c;保留最纯粹的浏览体验。支持使用百度、必应、360、搜狗、秘塔AI搜索、360AI搜索、bilibili等内置搜索引擎&#xff0c;也可以直接输入网址访问。全免费、无广告&#xff0…

Spring Boot 实现文件上传下载功能

文章目录 一、原理分析1.1 请求类型1.2 服务器解析 二、功能实现2.1 创建项目并导入依赖2.2 文件上传功能实现2.2.1 文件上传 Service2.2.2 文件上传 Controller 2.3 文件下载功能实现2.3.1 文件下载 Service2.3.2 文件下载 Controller 2.4 文件上传前端代码(可选)2.4.1 上传文…

注册信息合理性验证

表单是网页中的一个重要功能,主要用于用户信息的收集。使用JavaScript进行表单验证对于提升用户体验、减轻服务器负担、确保数据准确性、增强安全性和提高开发效率等方面都具有重要意义。本文详细敍述进行合理化验化必要性和具体实现方法。 一 表单项合理性必要性 主要体现在…

4款专业音频在线剪辑工具帮你开启创意之路。

音频在线剪辑工具能够为我们提供很大的便利&#xff0c;对于不管是专业的音乐制作人还是音频创作爱好者来说&#xff0c;都能借助一些音频编辑工具来充分发挥自己的创意。所以这一次&#xff0c;我要给大家介绍几个专业方便的音频剪辑工具。 1、福昕音频在线 直达链接&#x…

pdf页面提取全攻略,试试这几个简单方法,提升工作效率(收藏篇)

怎么提取pdf页面&#xff1f;在日常的办公生活中&#xff0c;我们经常需要使用到pdf文件&#xff0c;因此我们经常需要对PDF文档进行一些页面处理&#xff0c;比如提取PDF文件中的其中一个页面。那要怎么提取pdf文件中的其中一页呢&#xff1f;其实很简单&#xff0c;下面分享几…

【计算机网络】单播帧和广播帧在一个局域网内部的传播过程

我们引入这样的一个模型。 路由器可以连接多个网络&#xff0c;在路由器的这一端&#xff0c;我们用交换机集线器连接了很多节点。 这些节点共同组成了一个局域网。 而路由器的另外两个端口又分别连接了其他的网络。MAC地址这个概念是数据链路层才拥有的东西&#xff0c;物理…

翻译新体验:四款在线翻译工具让你沟通更顺畅!

如果你还拿着手里的外文文件干瞪眼&#xff1f;别担心&#xff0c;今天&#xff0c;我要给大家介绍几款超给力的在线翻译工具&#xff0c;它们就像是你的语言小助手&#xff0c;随时待命&#xff0c;帮你搞定那些让人头疼的翻译问题&#xff01; 福昕在线翻译 直达链接&#…

不用求人,4个方法快速恢复小米手机删除短信

手机短信作为我们日常办理事情的重要验收通道&#xff0c;往往承载着许多重要的信息。然而&#xff0c;由于各种原因&#xff0c;我们可能会不小心删除了重要的短信。那么&#xff0c;小米手机用户如何恢复这些被删除的短信呢&#xff1f;接下来&#xff0c;我们将分点为您详细…

macOS 15 Sequoia dmg格式转用于虚拟机的iso格式教程

想要把dmg格式转成iso格式&#xff0c;然后能在虚拟机上用&#xff0c;最起码新版的macOS镜像是不能用UltraISO&#xff0c;dmg2iso这种软件了&#xff0c;你直接转放到VMware里绝对读不出来&#xff0c;办法就是&#xff0c;在Mac系统中转换为cdr&#xff0c;然后再转成iso&am…

打造自己的RAG解析大模型:(新技能)企业垂类数据标注(一)

在上一篇文章中&#xff0c;我们以通用版面分析服务为例&#xff0c;展示了从模型发布到API集成的完整流程。如果你成功完成了这些步骤&#xff0c;值得庆祝&#xff01;这不仅意味着你已成功安装PaddleX&#xff0c;还掌握了利用它发布OCR和目标检测等大模型服务的能力&#x…

基于vue框架的的驾校练习时段预约系统z94u5(程序+源码+数据库+调试部署+开发环境)文末可获取,系统界面在最后面。

系统程序文件列表 项目功能&#xff1a;用户,驾校教练,车辆信息,训练场,教练预约,时间段,预约取消,学员签到,学员签退 开题报告内容 基于Vue框架的驾校练习时段预约系统开题报告 一、研究背景与意义 随着汽车保有量的持续增长&#xff0c;驾驶培训需求日益旺盛。然而&#…

技术干货|热门仿真工具HyperWorks 的二次开发与 Python 结合,重构仿真新体验

目前市面上有许多热门仿真软件&#xff0c;其中HyperWorks是各大企业最常用的。目前HyperWorks发布了 2024 新版本&#xff0c;已经全面支持Python作为二次开发接口&#xff0c;对Python的支持已经在架构中引入了相应的模块&#xff0c;基本是百分百覆盖。借助Python本身的优势…

2022NOIP比赛总结

种花 1.本题是一道前缀和优化加上枚举的问题。先考虑 C 因为 F 是 C 下边随便加一个点&#xff0c;所以只要求出 C 就求出了 F 。 注意到&#xff0c;并没有要求上下行一样&#xff0c;唯一的要求是 C 的两个横要隔一行&#xff0c;这就是问题的突破点&#xff0c;这题很明显…

《DIY项目之“一只眼狗链”》:视频方案

项目背景 《DIY项目之“一只眼狗链”》合集主要记录完成一个DIY项目的所有过程。该合集预计更新频率为2~3周一篇&#xff08;同样属于一边做一边记录发布&#xff0c;时间上主要涉及PCB绘板、零部件采购、样品制作、编程等&#xff0c;存在一定的不可控性&#xff09;。 当前项…

若依微服务15 - RuoYi-Vue3 实现前端独立运行

正文开始&#xff1a; RuoYi-Vue3 使用 Vue3 Element Plus Vite 技术栈。 GitHub 开源地址&#xff1a;https://github.com/yangzongzhuan/RuoYi-Vue3 本文介绍使用若依提供的在线后端接口&#xff0c;仅启动前端项目并进行界面开发&#xff0c;而无需启动后端服务。 一、克隆…

【ROS】详解ROS文件系统

参考&#xff1a;ROS入门笔记&#xff08;七&#xff09;&#xff1a;详解ROS文件系统 - 少云清的文章 - 知乎 https://zhuanlan.zhihu.com/p/338042120 ROS文件目录 这里的软件包指的是src下的文件夹&#xff0c;因为在ROS下创建软件包的流程如下&#xff1a; 把软件包…