新的勒索软件加密自身以逃避防病毒

news2024/12/23 18:53:53

一种名为 Cactus 的新型勒索软件一直在利用 VPN 设备中的漏洞对“大型商业实体”的网络进行初始访问。

Cactus 勒索软件行动至少从 3 月开始就一直活跃,并正在寻求受害者的大笔支出。

虽然新的威胁参与者采用了勒索软件攻击中常见的策略——文件加密和数据窃取——但它增加了自己的手段来避免被发现。

Kroll 公司调查和风险咨询公司的研究人员认为,Cactus 通过利用 Fortinet VPN 设备中的已知漏洞获得对受害网络的初始访问权限。

该评估基于以下观察:在调查的所有事件中,黑客都使用 VPN 服务帐户从 VPN 服务器转向内部。

Cactus 与其他操作的不同之处在于使用加密来保护勒索软件二进制文件。攻击者使用批处理脚本通过 7-Zip 获取加密器二进制文件。

删除原始 ZIP 存档,并使用允许其执行的特定标志部署二进制文件。整个过程不寻常,研究人员认为这是为了防止检测到勒索软件加密器。

在一份技术报告中,Kroll 调查人员解释说,存在三种主要的执行模式,每种模式都使用特定的命令行开关进行选择:设置 ( -s )、读取配置 ( -r ) 和加密 ( -i )。

-s和-r参数允许威胁参与者设置持久性并将数据存储在C:\ProgramData\ntuser.dat文件中,加密器稍后在使用-r命令行参数运行时读取该文件。

但是,要使文件加密成为可能,必须使用-i命令行参数提供只有攻击者知道的唯一 AES 密钥。

此密钥是解密勒索软件的配置文件所必需的,也是加密文件所需的公共 RSA 密钥。它可以作为加密器二进制文件中硬编码的 HEX 字符串使用。

解码 HEX 字符串提供一段加密数据,可以使用 AES 密钥解锁。

CACTUS 本质上是对自身进行加密,使其更难被检测并帮助它逃避防病毒和网络监控工具。

使用正确的 -i  (加密)参数密钥运行二进制文件可解锁信息并允许恶意软件搜索文件并启动多线程加密过程。

Kroll 研究人员提供了下图,以根据所选参数更好地解释 Cactus 二进制执行过程。

勒索软件专家 Michael Gillespie 还分析了 Cactus 如何加密数据,该恶意软件根据处理状态对其目标文件使用多个扩展名。

在准备加密文件时,Cactus 将其扩展名更改为 .CTS0。加密后,扩展名变为.CTS1。

Cactus 也有一个“快速模式”,类似于轻度加密通行证。在快速和正常模式下连续运行恶意软件会导致对同一个文件加密两次,并在每个过程后附加一个新的扩展名(例如 .CTS1.CTS7)。

Kroll 观察到,在归因于 Cactus 勒索软件的多起事件中,.CTS 扩展名末尾的数字各不相同。

进入网络后,威胁参与者使用可从命令和控制 (C2) 服务器访问的 SSH 后门使用计划任务进行持久访问。

据 Kroll 调查人员称,Cactus 依靠 SoftPerfect Network Scanner (netscan) 在网络上寻找有趣的目标。

为了进行更深入的侦察,攻击者使用 PowerShell 命令枚举端点,通过在 Windows 事件查看器中查看成功登录来识别用户帐户,并对远程主机执行 ping 操作。

研究人员还发现,Cactus 勒索软件使用了开源 PSnmap 工具的修改变体,它是nmap网络扫描仪的 PowerShell 等价物  。

为了启动攻击所需的各种工具,调查人员表示,Cactus 勒索软件尝试通过合法工具(例如 Splashtop、AnyDesk、SuperOps RMM)以及 Cobalt Strike 和基于 Go 的代理工具 Chisel 进行多种远程访问方法。

Kroll 调查人员表示,在提升机器权限后,Cactus 操作员会运行一个批处理脚本来卸载最常用的防病毒产品。

与大多数勒索软件操作一样,Cactus 也会窃取受害者的数据。对于此过程,威胁参与者使用 Rclone 工具将文件直接传输到云存储。

窃取数据后,黑客使用名为 TotalExec 的 PowerShell 脚本(通常出现在 BlackBasta 勒索软件攻击中)来自动部署加密过程。

Gillespie 告诉我们,Cactus 勒索软件攻击中的加密程序是独一无二的。尽管如此,它似乎并不是 Cactus 特有的,因为最近 BlackBasta 勒索软件团伙也采用了类似的加密过程。

目前还没有关于仙人掌向受害者索要赎金的公开信息,但从消息来源获悉,赎金数以百万计。

即使黑客确实从受害者那里窃取了数据,他们似乎也没有像其他涉及双重勒索的勒索软件操作那样设置泄漏站点。

然而,威胁者确实威胁受害者发布被盗文件,除非他们得到报酬。这在赎金记录中是明确的:

目前无法获得有关 Cactus 行动、他们针对的受害者以及黑客是否遵守诺言并提供可靠的解密器(如果付费)的详细信息。

显而易见的是,到目前为止,黑客的入侵很可能是利用了 Fortinet VPN 设备中的漏洞,并遵循标准的双重勒索方法,即在加密数据之前窃取数据。

应用来自供应商的最新软件更新、监控网络以执行大型数据渗漏任务并快速响应应该可以防止勒索软件攻击的最后和最具破坏性的阶段。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/516157.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

大数据Doris(十七):Random Distribution和复合分区使用场景

文章目录 Random Distribution和复合分区使用场景 一、Random Distribution 二、复合分区使用场景 Random Distribution和复合分区使用场景 一、Random Distribution 如果 OLAP 表没有更新类型的字段,将表的数据分桶模式设置为 RANDOM,则可以避免严…

架构设计之需求分析

大家好,我是易安。 设计架构的第一步是需求分析。那么,为什么要做需求分析?如何做好需求分析?今天我们一起聊一聊需求分析这件事儿 为什么要做需求分析 为何要做需求分析? 首先,当然是因为我们做软件本身就…

迭代器失效问题,以及解决方法。

迭代器的主要作用就是让算法能够不用关心底层数据结构,其底层实际就是一个指针,或者是对指针进行了封装,比如:vector的迭代器就是原生态指针T* 。因此迭代器失效,实际就是迭代器底层对应指针所指向的空间被销毁了&…

【小沐学Python】Python实现Web服务器(Flask+Vue+node.js,web单页增删改查)

文章目录 1、简介1.1 flask1.2 vue 2、开发2.1 新建flask项目2.2 安装flask库2.3 新建flask的主脚本2.4 新建Vue项目2.5 安装vue项目依赖项2.6 新增组件Ping.vue2.7 Ping.vue增加HTTP请求2.8 美化vue前端页面2.9 新增组件Books.vue2.10 flask增加路由Books2.11 Books.vue增加HT…

什么是ChatGPT?怎么用?

最近全网爆火的黑科技,叫做chatGPT。ChatGPT声称,它的AI对话模型能在大范围、细粒度问题上给出普遍准确的答案。简单地说,AI对话模型可以达到基本不犯错误的水平了。那么到底这个ChatGPT是什么?怎么用?本篇文章就来带大…

算法修炼之练气篇——练气二层

博主:命运之光 专栏:算法修炼之练气篇 题目 1084: 用筛法求之N内的素数 题目描述 用筛法求之N内的素数。 输入格式 N 输出格式 0~N的素数 样例输入 100 样例输出 2 3 5 7 11 13 17 19 23 29 31 37 41 43 47 53 59 61 67 71 73 79 …

学系统集成项目管理工程师(中项)系列21a_整体管理(上)

1. 含义 1.1. 包括为识别、定义、组合、统一和协调各项目管理过程组的各种过程和活动而开展的工作,是项目管理中一项综合性和全局性的管理工作 2. 项目经理是整合者 2.1. 【21上选33】 2.1.1. 【19上选37】 2.1.2. 【22上选33】 2.2. 通过与项目干系人主动、全…

shell脚本(磁盘空间、服务状态)

1、判断当前磁盘剩余空间是否有20G,如果小于20G,则将报警邮件发送给管理员,每天检查一次磁盘剩余空间。 第一步:创建脚本名为shell1.sh如下: vim shell1.sh 第二步:做计划在shell1文件中,命令…

Kyligence Zen 简直就是一站式指标平台的天花板

一、Kyligence Zen是什么? 1、Kyligence Zen是做啥的? Kyligence Zen是一款指标分析和管理的工具,是基于 Kyligence 核心 OLAP 能力打造,Kyligence Zen 提供集业务模型、指标管理、指标加工、数据服务于一体的一站式服务&#x…

孙溟㠭20余载春秋,4000多方印章,这双质朴的手有多么倔强的生命力

作品的背后往往折射出艺术家人生的广度和厚度。 先锋篆刻、书画艺术家孙溟㠭, 上世纪90年代开始接触篆刻, 至今,20载有余,积累了4000多方篆刻作品。 在他创作纪念吴品超院士的作品《药生尘》时, 我们拍到了艺术家…

高级Web题库

高级Web题库 For ZPT 声明 一切开发旨在学习,请勿用于非法用途 by rick rick 关注 永雏塔菲喵 永雏塔菲喵 选择题 第1题 知识点:CSS 题目:设置text-decoration属性的删除线的值为( )。 选项: A underlin…

固定翼无人机培训第二周总结——多轴和起降

博主学的III类固定翼垂直起降无人机,起降采用多旋翼(下图中红框就是旋翼),巡航采用固定翼。 理论大部分也是多旋翼,多轴旋翼无人机是指三个旋翼轴及以上的特殊直升机,多旋翼无人机靠旋翼速度和方向来控制无…

代码随想录算法训练营第三十八天 | 动态规划基础流程

动态规划理论基础 代码随想录 (programmercarl.com) 如果某一问题有很多重叠子问题,使用动态规划是最有效的。 所以动态规划中每一个状态一定是由上一个状态推导出来的,这一点就区分于贪心,贪心没有状态推导,而是从局部直接选最…

Java结合POI框架实现Excel导入

Java结合POI框架实现Excel导入 一、流程概念二、conroller中的方法三、导入成功 一、流程概念 我们需要把excel通过上传得方式导入数据库,需要以下几个步骤 将excel上传到服务器指定文件夹内并重命名(upload)获取到文件公共路径和别名路径将…

InsCode再进步,AI 辅助编程帮你打开思路

文章目录 一、前言二、使用 AI 辅助完成代码1. 基于模板创建项目2. 使用 AI 辅助开拓思路3. 使用 AI 辅助生成代码4. 使用 AI 辅助优化代码 三、InsCode AI Chat 的使用建议四、总结 一、前言 你好,我是小雨青年,一名独立开发的程序员。 在之前的文章中…

Ubuntu22.04安装PyTorch1.13.0 GPU版本

目录 一、电脑相关信息 1. 电脑显卡环境: 二、安装Pytorch1.13.0/cu117(GPU版本) 1. 准备:新建虚拟环境 2. 用conda在线安装pytorch1.13.0/cu117(pytorch1.13.0 torchvision0.14.0 pytorch-cuda11.7)…

博客管理系统前端分析

目录结构博客列表页&#xff1a;所有页面共同的样式代码&#xff1a;博客详情页博客登录页博客编辑页 目录结构 博客列表页&#xff1a; 页面效果&#xff1a; 代码&#xff1a; <!-- 博客列表页 --> <!DOCTYPE html> <html lang"en"> <head…

计算机视觉的深度学习 Lecture4:Optimization 笔记 EECS 498.008

数值计算梯度 问题是慢&#xff0c;每个都要注意做步长&#xff0c;求除法。 应该用求导方法解决。 SGD通过每次抽取一部分&#xff08;mini-batch&#xff09;来计算梯度&#xff0c;而不是遍历整个数据集来求梯度&#xff0c;大大增大了求梯度速度&#xff0c;并且性能不…

TCP 协议特性详解

TCP 协议特性总结 TCP协议特点TCP协议段格式TCP原理确认应答&#xff08;安全机制&#xff09;超时重传&#xff08;安全机制&#xff09;连接管理&#xff08;安全机制&#xff09;(面试高频题)三次握手四次挥手 滑动窗口&#xff08;效率机制&#xff09;流量控制&#xff08…

【LeetCode】数据结构题解(8)[链表中的入口节点]

链表中的入口节点 1.题目来源2.题目描述3.解题思路4.代码展示 1.题目来源 链表中的入口节点 2.题目描述 给定一个链表&#xff0c;返回链表开始入环的第一个节点。 从链表的头节点开始沿着 next 指针进入环的第一个节点为环的入口节点。如果链表无环&#xff0c;则返回 null…