在线观看www成人影院-在线观看www日本免费网站-在线观看www视频-在线观看操-欧美18在线-欧美1级

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

虹科技術 | 終端入侵防御 | 在重大攻擊中發現新的Babuk勒索軟件

虹科網絡可視化技術 ? 2022-12-14 18:06 ? 次閱讀

11月期間,Morphisec在調查一個客戶的防范事件時發現了Babuk勒索軟件的一個全新變種。Babuk在2021年初首次被發現,當時它開始針對企業進行雙重勒索攻擊,以竊取和加密數據。這一年晚些時候,一個威脅者在一個講俄語的黑客論壇上泄露了Babuk的完整源代碼。

現在,威脅者將Babuk泄露的源代碼與開源規避軟件和側面加載技術結合起來,創造了一個以前未曾見過的變體。在同一個月,趨勢科技發布了有關類似勒索軟件的細節,錯誤地將其歸于WannaRen,并以目標公司的名字命名該勒索軟件。這一次,攻擊者使用了一種新的Babuk病毒株,針對一家擁有超過1萬臺工作站和服務器設備的數十億美元的制造公司。

攻擊者在發動攻擊前有兩周的網絡訪問權,進行了充分的偵察。他們破壞了該公司的域控制器,并利用它通過GPO向該組織內的所有設備分發勒索軟件。在這個時候,由于正在進行的調查,我們不會公布整個攻擊鏈的細節。相反,我們將深入研究勒索軟件本身。

技 術 分 析

部署

在開始在域中大規模感染之前,攻擊者在域控制器中部署了以下惡意軟件文件:

·.bat一個BAT腳本,負責檢查安全解決方案的存在,并開始執行一個微軟安裝程序(.msi)

·.msi我們在下面更詳細地討論這個安裝程序

攻擊者使用域控制器的NETLOGON文件夾--存放組策略登錄腳本文件的共享文件夾。這確保了.bat文件在整個域中執行。

執行

msi安裝程序包含四個文件:

· SapphireIMSClient.exe,這個可執行文件是NTSD.exe--一個用于Windows的符號調試器工具。它是一個合法的工具,但容易受到DLL側面加載的影響:

·dbgeng.dll是主要的惡意軟件組件,它冒充NTSD.exe使用的合法DLL,并利用DLL側面加載漏洞。

·兩個加密的文件sc.ocs和config.ocs

.bat文件將:

· 在注冊表中設置一個UAC旁路

·檢查安全解決方案并通過添加新的防火墻規則阻止與它們的通信

·執行安裝程序,負責將文件解壓到C:\Users\Public\SapphireIMSClient\文件夾中。

之后,.bat會執行以下命令行:

C:\Users\Public\SapphireIMSClient\SapphireIMSClient.exe

C:\Users\Public\SapphireIMSClient\sc.ocs

C:\Users\Public\SapphireIMSClient\config.ocs

將開源工具注入合法的DLL中

如前所述,NTDS.exe(SapphireIMSClient.exe)是一個合法的可執行文件,它加載了一個名為dbgeng.dll的已知核心DLL,而沒有驗證其路徑。攻擊者在同一目錄下投放了同名的惡意DLL。這導致了合法的微軟簽名進程的執行。攻擊者之前也在使用有漏洞的Word Office應用程序。我們目前的假設是,他們的目標是微軟簽名的應用程序,因為這大大降低了機器學習的可疑分類閾值。(沒有廠商想殺死微軟的進程)。

dbgeng.dll中的惡意代碼有兩個職責:

1、將.OCS文件讀入內存

A) sc.ocs 一個加密的shellcod--最終有效載荷的實際反射性裝載器

B) config.OCS 一個加密的二進制文件--最終的有效載荷

2、執行下一個階段

第一個任務是在一個新的線程中完成的,如以下片段所示:

該惡意軟件從微軟應用程序執行期間交付的命令行參數中讀取.OCS文件路徑,并對內容進行解密。

雖然這種邏輯在網上廣為流傳,但DLL中的代碼與開源項目:pe-loader

(https://github.com/polycone/pe-loader/blob/master/loader/src/system/system.cpp)中的代碼有高度的相似性。

如前所述,執行過程分為兩個例程。第一個,由上圖表示,位于DLL加載例程中,負責讀取.OCS文件并解密sc.OCS文件(即shellcode)。第二個例程是DebugCreate導出的函數。它以一個長的 "Sleep "開始,等待讀取任務結束,然后再繼續。

在DebugCreate中,惡意軟件將保護權限調整為RWX,解密有效載荷,并將執行轉移到解密的shellcode。

反射式加載器shellcode

該shellcode作為一個反射性加載器。該代碼是由Stephen Fewer(https://github.com/stephenfewer)首次發布的,但我們注意到了修改。原始技術有幾十種實現和修改,但深入挖掘后發現,攻擊者使用的shellcode與以下GitHub項目之間有很高的相關性:malisal/loaders/pe.c (https://github.com/malisal/loaders/blob/master/pe/pe.c)

攻擊者編輯了一些函數,如Windows API散列函數,但整體結構和代碼流是相同的。看起來攻擊者從這個開源項目中獲得了 "靈感"。

最后付費:修改后的Babuk勒索軟件

最后的有效載荷是由去年泄露的源代碼編譯的Babuk勒索軟件。

Hildaboo/BabukRansomwareSourceCode (https://github.com/Hildaboo/BabukRansomwareSourceCode)

有了以下要停止的進程列表:

"sql.exe""dbeng50.exe"

"oracle.exe""sqbcoreservice.exe"

"ocssd.exe""excel.exe"

"dbsnmp.exe""infopath.exe"

"synctime.exe""msaccess.exe"

"agntsvc.exe""mspub.exe"

"isqlplussvc.exe""onenote.exe"

"xfssvccon.exe""outlook.exe"

"mydesktopservice.exe""powerpnt.exe"

"ocautoupds.exe""steam.exe"

"encsvc.exe""thebat.exe"

"firefox.exe""thunderbird.exe"

"tbirdconfig.exe""visio.exe"

"mydesktopqos.exe""winword.exe"

"ocomm.exe""wordpad.exe"

"dbeng50.exe""notepad.exe"

相似性

·代碼結構:整體執行流程和代碼結構與Babuk勒索軟件所呈現的結構相關。

·相同的加密算法:任何勒索軟件最具有特征的功能之一是加密方法。我們驗證了我們案例中的有效載荷與Babuk源代碼中的有效載荷相匹配。

·配置:原始和變種的配置和使用是重疊的。

下面的截圖顯示了某些代碼塊在源碼和反編譯中的匹配情況。

注意:編譯器在某些情況下會發揮它的魔力,這可能導致不同的代碼定位和代碼減少。

修改

我們注意到影子拷貝的刪除程序與源代碼中的不同。

Babuk勒索軟件

泄露的Babuk源代碼顯示,通過創建新的cmd.exe進程刪除的影子副本將執行vssadmin.exe工具:

修改后的Babuk勒索軟件:最終使用的有效載荷

惡意軟件通過使用執行WMI查詢的COM對象來遍歷可用的影子副本。下面的代碼片段顯示了惡意軟件如何執行WMI查詢以獲得每個影子副本的ID,然后使用COM,按ID刪除每個影子副本。

值得注意的是,BlackMatter和Conti勒索軟件等惡意軟件也表現出類似的行為。

為什么防御Babuk勒索軟件是如此困難

現代NGAV、EPP和EDR/XDR對運行時的可見性有限。它們通常被限制在使用鉤子和/或Windows的事件跟蹤(ETW)。假設鉤子和ETW沒有被篡改,它們只是應用程序生命周期內執行活動的滄海一粟。這意味著如果一個應用程序被成功加載,大多數時候安全監控解決方案將對應用程序的執行保持盲目,直到對系統的重大影響可見。

應用程序的虛擬化運行時地址空間要比單個文件大得多。因此,在應用程序執行期間應用傳統的掃描方法是一場失敗的戰斗。此外,這種掃描大大降低了可用性,必須盡可能地減少。

攻擊者知道監控和掃描解決方案的這些弱點,并努力在應用程序的內存中保持隱蔽。這適用于這個新的Babuk變體,它實現了側面加載,在合法的應用程序內執行,并實現了反射性加載功能以隱藏其余的執行步驟。攻擊者對其初始訪問和橫向移動步驟實施類似的規避技術,我們將在下一篇博客中介紹。

移動目標防御技術

由于這些威脅具有高度的規避性,而且主要存在于設備內存中,任何級別的NGAV或最佳EDR都無法可靠地檢測和阻止它們。Morphisec革命性的、獲得專利的移動目標防御(MTD)技術是一個行業領先的解決方案,可以阻止無法檢測到的攻擊。它對內存攻擊提供了一種超輕量級、高度有效的防御。

MTD以不可預測的方式改變運行時的內存環境,以隱藏應用程序和操作系統的目標,不讓對手發現。這導致了攻擊面的大幅減少,使目標無法找到。MTD在不影響可用性的情況下提出誘餌來欺騙和誘捕威脅。它阻止并暴露了依賴內存中動態執行的隱蔽性的攻擊者。

通過在運行期間對設備內存進行變形,Morphisec的MTD增強了業現有的安全堆棧,以阻止和歸因于無文件攻擊,否則就不可能檢測到。

攻擊的結果

該公司使用下一代反病毒(NGAV)解決方案和Morphisec Guard來保護他們的端點。勒索軟件躲過了該公司端點上的NGAV,但Morphisec的移動目標防御(MTD)技術阻止了攻擊,防止了任何損害。

市場領先的EDR,如CrowdStrike和SentinelOne,在攻擊發生時無法阻止新的Babuk變體。SentinelOne更新了其簽名,在贖金軟件被上傳到一個開放資源庫72小時后檢測到加密的殼碼參數,CrowdStrike現在也更新了其檢測。

正如Babuk勒索軟件的這個新變種所顯示的,MTD對未知和內存中的攻擊提供了無與倫比的保護。

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 網絡安全
    +關注

    關注

    11

    文章

    3268

    瀏覽量

    60972
收藏 人收藏

    評論

    相關推薦

    美國傳感器巨頭遭黑客敲詐勒索,中國員工放假一周!

    證券交易委員會(SEC)的文件顯示,該攻擊發生于4月6日,據文件披露: ? 2025年4月6日,森薩塔科技控股有限公司(以下簡稱“公司”)遭遇勒索軟件攻擊,導致公司網絡中的部分設備被加
    的頭像 發表于 04-15 18:27 ?119次閱讀
    美國傳感器巨頭遭黑客敲詐<b class='flag-5'>勒索</b>,中國員工放假一周!

    網絡攻擊中常見的掩蓋真實IP的攻擊方式

    各類網絡攻擊中,掩蓋真實IP進行攻擊是常見的手段,因為攻擊者會通過這樣的手段來逃脫追蹤和法律監管。我們需要對這類攻擊做出判斷,進而做出有效
    的頭像 發表于 12-12 10:24 ?330次閱讀

    TPA3140D2使用中發現有“絲絲”聲的高頻噪音,請問如何解決?

    TPA3140D2使用中發現有“絲絲”聲的高頻噪音,請問如何解決,是什么原因,原理圖和PCB LAYOUT都是照TI官方指引設計。
    發表于 10-31 07:45

    高鴻信安推出可信“AI+”勒索病毒解決方案

    勒索病毒是一種極具破壞性、傳播性的惡意軟件,主要利用多種密碼算法加密用戶數據,恐嚇、脅迫、勒索用戶高額贖金。近期,勒索病毒攻擊事件頻發,一系
    的頭像 發表于 09-19 15:00 ?646次閱讀

    國產網絡安全主板防御網絡攻擊中的實際應用

    現代信息技術迅猛發展的背景下,網絡安全問題變得越來越復雜和嚴峻。從企業到個人用戶,各類網絡攻擊事件頻繁發生,威脅著數據的安全和系統的穩定。近年來,我們看到各種形式的網絡攻擊——從
    的頭像 發表于 09-18 10:47 ?549次閱讀

    IDS、IPS與網安防御

    入侵檢測系統(IDS)和入侵防御系統(IPS)是網絡安全防御的重要工具。 入侵檢測系統通過持續分析網絡流量和系統日志等信息,當
    的頭像 發表于 09-18 10:42 ?581次閱讀

    科應用 當CANoe不是唯一選擇:發現科PCAN-Explorer 6

    CAN總線分析軟件領域,當CANoe不再是唯一選擇時,科PCAN-Explorer 6軟件成為了一個有競爭力的解決方案。現代工業控制和
    的頭像 發表于 08-16 13:08 ?960次閱讀
    <b class='flag-5'>虹</b>科應用 當CANoe不是唯一選擇:<b class='flag-5'>發現</b><b class='flag-5'>虹</b>科PCAN-Explorer 6

    DRV2700EVM-HV500測試的過程中發現輸出紋波很大如何解決?

    測試的過程中發現輸出紋波很大大概20V,請問改如何解決
    發表于 08-15 06:25

    IP 地址 SQL 注入攻擊中的作用及防范策略

    數據庫各個領域的逐步應用,其安全性也備受關注。SQL 注入攻擊作為一種常見的數據庫攻擊手段,給網絡安全帶來了巨大威脅。今天我們來聊一聊SQL 注入攻擊的基本知識。 SQL 注入
    的頭像 發表于 08-05 17:36 ?507次閱讀

    香港高防服務器是如何防ddos攻擊

    香港高防服務器,作為抵御分布式拒絕服務(DDoS)攻擊的前沿陣地,其防御機制結合了硬件、軟件和網絡架構的多重策略,為在線業務提供了堅實的保護屏障。以下是對香港高防服務器防御DDoS
    的頭像 發表于 07-18 10:06 ?439次閱讀

    恒訊科技分析:高防ip攻擊超過了防御峰值怎么辦?

    面對DDoS攻擊流量超過高防IP設定的防御峰值時,可以采取以下措施進行應對: 1、了解攻擊特征:首先,需要分析攻擊的類型、規模和持續時間,這有助于確定
    的頭像 發表于 07-09 16:06 ?376次閱讀

    無人機主動防御系統有什么作用

    無人機主動防御系統是一種用于保護無人機免受攻擊或干擾的系統。這種系統可以提高無人機的安全性和可靠性,確保無人機執行任務時能夠正常運行。 無人機主動防御系統的定義和分類 無人機主動
    的頭像 發表于 07-08 09:54 ?1031次閱讀

    美國醫療巨頭Ascension遭勒索軟件攻擊,涉及140家醫院

    據報道,美國非營利性醫療機構 Ascension 于5月8日遭受黑客組織 Black Basta 的勒索軟件攻擊,導致其旗下140家醫院和40家養老院的系統服務受到影響。
    的頭像 發表于 05-14 11:37 ?822次閱讀

    波音遭遇勒索軟件攻擊,拒付2億美元贖金

    網絡罪犯通過LockBit勒索軟件平臺于2023年10月展開攻擊,并在11月初成功竊取了43GB的波音機密文件,后將其上傳至LockBit網站。
    的頭像 發表于 05-10 10:41 ?664次閱讀

    官方庫中發現GPIOx-&gt;ODR這種寫法,是什么意思,怎么中間會有-&gt;?

    本人新手,剛接觸st的芯片 官方庫中發現GPIOx->ODR這種寫法,不知道這是什么意思,怎么中間會有->? 請論壇上高手予以幫忙解答
    發表于 05-10 06:48
    主站蜘蛛池模板: 国产chinesehd精品酒店 | 香蕉网影院在线观看免费 | 国模视频一区 | 日本一区二区三区四区视频 | 精品一区二区国语对白 | 狠狠色噜噜噜噜狠狠狠狠狠狠奇米 | 日本一区二区三区在线 视频观看免费 | 亚洲国产婷婷综合在线精品 | 四虎www. | 色视频免费 | 成人在线色视频 | 私色综合网 | 四虎永久精品免费网址大全 | 性做久久久久久久久 | www干| 日本三级强在线观看 | 国产精品综合色区在线观看 | 婷婷涩五月 | 免费高清成人啪啪网站 | 1000又爽又黄禁片 | 天堂资源在线官网bt | 亚洲啪啪看看 | 国产亚洲欧美一区二区 | 天天做天天爱天天爽综合网 | 一级特一级特色生活片 | 色播五月激情 | 4虎影视国产在线观看精品 4虎影院永久地址www | 女性一级全黄生活片 | 另类免费视频 | 欧美精品黑人性xxxx | 被公侵犯肉体中文字幕一区二区 | 国产成人在线播放视频 | 天天玩天天干 | jiucao视频在线观看 | 精品一区 二区三区免费毛片 | 成人a毛片免费全部播放 | 四虎免费在线播放 | 男女无遮挡在线完整视频 | 男人午夜网站 | 免费在线公开视频 | 日产精品卡二卡三卡四卡乱码视频 |