在談?wù)摾账鬈浖r(shí)，我們需要在其過(guò)去和現(xiàn)在之間劃清界限。為什么這么說(shuō)呢？因?yàn)槿缃竦睦账鬈浖粌H僅涉及加密數(shù)據(jù)，還主要涉及數(shù)據(jù)泄露。這種“雙重勒索”首先會(huì)竊取受害者的機(jī)密數(shù)據(jù)，然后對(duì)受害者的文件進(jìn)行加密。如果受害者拒絕支付贖金，就會(huì)公開(kāi)數(shù)據(jù)。也就是說(shuō)，如今的勒索軟件已經(jīng)不再單純地加密數(shù)據(jù)，還會(huì)在互聯(lián)網(wǎng)上發(fā)布被盜數(shù)據(jù)。我們將其稱(chēng)之為“勒索軟件2.0”。

　　為什么強(qiáng)調(diào)這種區(qū)別至關(guān)重要呢？因?yàn)樵S多組織仍然認(rèn)為數(shù)據(jù)丟失/泄露完全與惡意軟件有關(guān)，并且認(rèn)為只要自己的反惡意軟件防護(hù)足夠好的話，就能夠避免這種情況再次發(fā)生。遺憾地是，只要人們?nèi)匀槐в羞@種想法，勒索軟件威脅行為者就能夠繼續(xù)肆無(wú)忌憚地實(shí)施攻擊活動(dòng)并且獲得成功。

　　在大多數(shù)情況下，攻擊的最初向量都是利用商業(yè)VPN軟件中的一些已知漏洞。其他情況包括濫用暴露于Internet的啟用RDP的計(jì)算機(jī)。然后就是容易受到攻擊的路由器固件的利用。如您所見(jiàn)，這不一定與惡意軟件有關(guān)，還與一些不良上網(wǎng)行為、缺乏漏洞修補(bǔ)計(jì)劃和常規(guī)安全程序等因素有關(guān)。

　　有時(shí)候，勒索軟件威脅行為者可能會(huì)依賴(lài)傳統(tǒng)的惡意軟件，例如之前曾被其他網(wǎng)絡(luò)犯罪分子棄用的僵尸網(wǎng)絡(luò)植入程序。最后，如果我們回想起特斯拉（Tesla）的故事——2020年8月，惡意行為者試圖用100萬(wàn)美元誘惑一名特斯拉員工，將勒索軟件引入內(nèi)華達(dá)州工廠的特斯拉網(wǎng)絡(luò)——就會(huì)發(fā)現(xiàn)人類(lèi)的身體接觸也是一種媒介。這就增加了問(wèn)題的復(fù)雜性。

　　無(wú)論在哪種情況下，攻擊者的初始入口都是先開(kāi)始網(wǎng)絡(luò)偵察，然后在網(wǎng)絡(luò)中橫向移動(dòng)，之后才開(kāi)始數(shù)據(jù)滲透。一旦成功，這些數(shù)據(jù)就會(huì)成為攻擊者的“籌碼”。在部署勒索軟件時(shí)，反惡意軟件產(chǎn)品可能已被威脅行為者刪除或禁用，因?yàn)樗麄円呀?jīng)完全控制了域網(wǎng)絡(luò)并且可以以合法管理員的身份運(yùn)行各種操作。因此可以說(shuō)，這是一種完全紅隊(duì)的操作，依賴(lài)不同的黑客技術(shù)實(shí)現(xiàn)自身目的，主要包括通過(guò)合法工具和其他腳本禁用反惡意軟件解決方案的技術(shù)。如此一來(lái)，威脅行為者完全不在乎勒索軟件本身是否會(huì)被檢測(cè)到。

　　不同的勒索軟件組織會(huì)使用不同的TTP（戰(zhàn)術(shù)Tactics、技術(shù)Techniques和過(guò)程Procedures）和加密技術(shù)。今天，我們主要探討其中兩個(gè)：資深代表Ragnar Locker以及新手代表Egregor。

　　Ragnar Locker

　　該惡意軟件的早期變體于2019年被發(fā)現(xiàn)；但是，2020年上半年Ragnar Locker開(kāi)始頻繁攻擊全球大型組織，自此開(kāi)啟其聲名狼藉之路。

　　2020年11月，美國(guó)聯(lián)邦調(diào)查局（FBI）向私人行業(yè)合作伙伴發(fā)出警告，稱(chēng)從2020年4月開(kāi)始確認(rèn)攻擊后，Ragnar Locker勒索軟件活動(dòng)激增，包括云服務(wù)提供商、通信、建筑、旅游和企業(yè)軟件公司在內(nèi)的各行業(yè)組織均中招。

　　Ragnar Locker勒索軟件具有高度針對(duì)性，因?yàn)槊總€(gè)樣本都是針對(duì)目標(biāo)組織量身定制的。其背后的威脅行為者首先獲得對(duì)目標(biāo)網(wǎng)絡(luò)的訪問(wèn)權(quán)限，然后進(jìn)行偵察以定位網(wǎng)絡(luò)資源和備份，以試圖泄露敏感數(shù)據(jù)。一旦完成偵察階段，操作員便會(huì)手動(dòng)部署勒索軟件并開(kāi)始加密受害者的數(shù)據(jù)。

　　Ragnar Locker勒索軟件背后的操作員喜歡濫用遠(yuǎn)程桌面協(xié)議（RDP），而他們首選的付款方式是比特幣。據(jù)悉，該組織擁有三個(gè)。onion域名以及2020年6月16日注冊(cè)的一個(gè)Surface Web域名。

　　如果受害者拒絕付款，他們就會(huì)把竊取的數(shù)據(jù)公布在所謂的“恥辱墻”上。

　　【暴露被盜數(shù)據(jù)的“恥辱墻”屏幕截圖】

　　奇怪的是，該組織將自身定位為“漏洞賞金組織”。他們聲稱(chēng)，索要的款項(xiàng)是賞金，用于獎(jiǎng)勵(lì)他們發(fā)現(xiàn)可以利用的漏洞，為文件提供解密以及為受害人提供OpSec培訓(xùn)。最后，也是最重要的，是為了獎(jiǎng)勵(lì)他們不發(fā)布被盜數(shù)據(jù)。當(dāng)然，如果受害者拒絕付款，他們就會(huì)將數(shù)據(jù)公開(kāi)。除此之外，如果受害者與Ragnar Locker威脅行為者溝通卻沒(méi)有付款，那么聊天記錄和被盜數(shù)據(jù)會(huì)被同時(shí)公開(kāi)。

　　2020年7月，Ragnar Locker公開(kāi)宣布他們加入了所謂的“Maze Cartel”組織，該組織主要由“迷宮”（Maze）背后的攻擊者與LockBit和RagnarLocker兩個(gè)攻擊組織組成。意思是說(shuō)這些團(tuán)伙進(jìn)行了合作，交換從受害者處竊取的信息并將其發(fā)布在他們的網(wǎng)站上。

　　如今，由于潛在目標(biāo)群龐大，Maze基本上是外包工作。這表明這些類(lèi)型的團(tuán)體的發(fā)展非常像合法企業(yè)，并且正在擴(kuò)大以滿足需求。他們可能還在共享戰(zhàn)術(shù)、技術(shù)和流程，整個(gè)“Maze Cartel”也將從中受益。

　　【據(jù)稱(chēng)由Maze提供并在Ragnar Locker恥辱墻頁(yè)面上發(fā)布的受害者數(shù)據(jù)示例】

　　根據(jù)拒絕付款的受害者名單所示，Ragnar Locker的主要目標(biāo)是美國(guó)公司，只是具體行業(yè)類(lèi)型各有不同。

　　【Ragnar Locker受害者地理分布】

　　【Ragnar Locker受害者行業(yè)類(lèi)型分布】

　　技術(shù)說(shuō)明

　　為了進(jìn)行分析，我們選擇了最近遇到的惡意軟件樣本：

　　1195d0d18be9362fb8dd9e1738404c9d

　　啟動(dòng)后，Ragnar Locker會(huì)檢查正在其上執(zhí)行的計(jì)算機(jī)的系統(tǒng)區(qū)域設(shè)置。如果確定它是下面的屏幕快照中列出的國(guó)家之一的語(yǔ)言環(huán)境，它將停止運(yùn)行并退出，而無(wú)需執(zhí)行其他任何操作。

　　對(duì)于不在上述列表中的國(guó)家/地區(qū)，它將停止使用名稱(chēng)中包含任何在惡意軟件樣本中硬編碼并被RC4混淆的子字符串的服務(wù)：

　　之后，Rangar Locker將根據(jù)Trojan主體中包含的另一個(gè)子字符串列表終止正在運(yùn)行的進(jìn)程：

　　最后，當(dāng)所有準(zhǔn)備工作完成后，該木馬程序?qū)⑺阉骺捎玫尿?qū)動(dòng)器并加密受害者的文件。

　　對(duì)于文件加密，RagnarLocker會(huì)使用基于Salsa20密碼的自定義流密碼。該木馬程序會(huì)為每個(gè)處理的文件生成新的隨機(jī)值，而不是Salsa20常用的標(biāo)準(zhǔn)初始化常量sigma =“expand 32-byte k”以及tau =“expand 16-byte k”。

　　這是一個(gè)并未十分必要的步驟，可以使密碼與標(biāo)準(zhǔn)Salsa20不兼容，但實(shí)際上并不能增強(qiáng)其安全性。

　　此外，該木馬程序還會(huì)為每個(gè)文件生成唯一的密鑰和隨機(jī)數(shù)值，并由RSA使用在木馬主體中硬編碼的2048位公用密鑰以及上述常量進(jìn)行加密。

　　該隨機(jī)數(shù)生成器（RNG）是基于公認(rèn)安全的MS CryptoAPI函數(shù)CryptGenRandom和SHA-256哈希算法。其實(shí)看起來(lái)有些笨拙，但目前尚未在其中發(fā)現(xiàn)任何嚴(yán)重缺陷。

　　【最近的Ragnar Locker變體使用的RNG程序偽代碼】

　　在對(duì)每個(gè)受害者文件的內(nèi)容進(jìn)行加密后，Ragnar Locker會(huì)將加密的密鑰、隨機(jī)數(shù)和初始化常量添加到加密的文件中，并通過(guò)添加標(biāo)記“！@#_?agna?_#@!”進(jìn)行最終確定。

　　【Ragnar Locker加密文件的尾隨字節(jié)】

　　該木馬程序留下的贖金通知中包含受害組織的名稱(chēng)，該名稱(chēng)清楚地表明犯罪分子使用了高度針對(duì)性的方法識(shí)別受害者并精心準(zhǔn)備了攻擊活動(dòng)。

　　該贖金通知還試圖通過(guò)強(qiáng)調(diào)攻擊者除了加密文件外，還通過(guò)木馬程序竊取了機(jī)密文件，進(jìn)一步威脅受害者交付贖金。

　　Egregor

　　Egregor勒索軟件是2020年9月發(fā)現(xiàn)的一種新病毒，經(jīng)過(guò)初步分析，我們注意到該新威脅與Sekhmet勒索軟件以及臭名昭著的Maze勒索軟件之間的代碼存在相似性（2020年11月，Maze勒索軟件已經(jīng)宣布退出江湖）。

　　據(jù)悉，Egregor至少擁有一個(gè)。onion域和兩個(gè)Surface Web域。第一個(gè)Surface Web域于2020年年9月6日注冊(cè)；第二個(gè)Surface Web域于2020年10月19日注冊(cè)。在撰寫(xiě)本文時(shí)，這兩個(gè)Surface Web域都處于間歇狀態(tài)。這可能與其Onion域主頁(yè)上發(fā)布的一則免責(zé)聲明有關(guān)：

　　Egregor勒索軟件通常由網(wǎng)絡(luò)中斷后的犯罪分子分發(fā)，該惡意軟件樣本是一個(gè)動(dòng)態(tài)鏈接庫(kù)（DLL）文件，需要使用作為命令行參數(shù)給出的正確密碼才能啟動(dòng)。這些DLL通常是從Internet上刪除的。有時(shí)，用于傳播它的域名會(huì)利用受害者行業(yè)中使用的名稱(chēng)或文字。

　　【談判支付贖金的示例】

　　技術(shù)說(shuō)明

　　為了進(jìn)行分析，我們選擇了最近遇到的惡意軟件樣本：

　　b21930306869a3cdb85ca0d073a738c5

　　如上面聲明中所述，只有在啟動(dòng)過(guò)程中提供正確密碼的情況下，惡意軟件示例才有效。惡意軟件的打包程序?qū)⑹褂迷撁艽a來(lái)解密有效負(fù)載二進(jìn)制文件。參數(shù)丟失或不正確將導(dǎo)致有效載荷的解密不正確，從而將無(wú)法執(zhí)行并導(dǎo)致崩潰。

　　該技術(shù)旨在阻礙沙盒型系統(tǒng)中的自動(dòng)分析以及研究人員的手動(dòng)分析：沒(méi)有正確的密碼，就不可能解壓縮和分析有效載荷二進(jìn)制文件。

　　解壓惡意打包程序的兩層之后，我們最終得到了一個(gè)模糊的二進(jìn)制文件，該二進(jìn)制文件仍然不適合靜態(tài)分析。Egregor中使用的混淆技術(shù)與Maze和Sekhmet中的混淆技術(shù)非常相似：使用有條件和無(wú)條件跳轉(zhuǎn)、PUSH + JMP而不是RETN的控制流混淆來(lái)“破壞代碼”。

　　【控制流混淆示例】

　　有效負(fù)載開(kāi)始執(zhí)行時(shí)，首先，它將檢查操作系統(tǒng)的系統(tǒng)和用戶(hù)語(yǔ)言，以避免對(duì)安裝了以下語(yǔ)言之一的計(jì)算機(jī)進(jìn)行加密：

　　然后它將嘗試終止以下程序：

　　此舉旨在使感染過(guò)程中可能正在使用的潛在有價(jià)值文件（例如文檔或數(shù)據(jù)庫(kù)）可寫(xiě)。另外，它還嘗試終止安全研究人員習(xí)慣使用的一些程序（例如procmon或dumpcap），以進(jìn)一步阻止動(dòng)態(tài)分析。

　　Egregor使用基于流密碼ChaCha和非對(duì)稱(chēng)密碼RSA的混合文件加密方案。

　　犯罪分子的RSA-2048主公鑰被嵌入木馬的主體中。

　　在受害者的計(jì)算機(jī)上執(zhí)行時(shí)，Egregor會(huì)生成一對(duì)新的唯一的會(huì)話RSA密鑰對(duì)。該會(huì)話專(zhuān)用RSA密鑰由ChaCha導(dǎo)出，并使用唯一生成的密鑰+隨機(jī)數(shù)加密，然后用RSA主公鑰加密該密鑰和隨機(jī)數(shù)。結(jié)果保存在二進(jìn)制文件中（在本例中為C：\ ProgramData \ dtb.dat），并在贖金記錄中保存為base64編碼的字符串。

　　對(duì)于Egregor處理的每個(gè)數(shù)據(jù)文件，它將生成一個(gè)新的256位ChaCha密鑰和64位隨機(jī)數(shù)，通過(guò)ChaCha加密文件內(nèi)容，然后使用會(huì)話RSA公鑰加密它們，最后將它們與一些輔助信息一起保存在加密文件的末尾。

　　每個(gè)加密文件的最后16個(gè)字節(jié)由一個(gè)動(dòng)態(tài)標(biāo)記組成：一個(gè)隨機(jī)的DWORD以及與該DWORD異或的值0xB16B00B5（在所謂的leet talk中等于“BIGBOOBS”，最初為“黑客、破解者和腳本小子所用）。

　　【部分文件加密程序偽代碼】

　　該數(shù)據(jù)泄漏網(wǎng)站的主頁(yè)中包含有關(guān)最近遭受攻擊的公司的新聞，以及勒索軟件組織寫(xiě)的一些諷刺言論。

　　該站點(diǎn)的存檔部分還列出了勒索者的受害者以及下載盜竊數(shù)據(jù)的鏈接。

　　根據(jù)拒絕支付贖金的受害者信息所示，Egregor的地理覆蓋范圍比Ragnar Locker的覆蓋范圍更廣：

　　【Egregor受害者地理分布】

　　受攻擊的行業(yè)數(shù)量同樣要比Ragnar Locker勒索軟件更多：

　　【Egregor受害者行業(yè)分布】

　　總結(jié)

　　不幸的是，勒索軟件2.0已經(jīng)到來(lái)。當(dāng)我們談?wù)?.0的時(shí)候，指的就是具有數(shù)據(jù)泄露功能且高度針對(duì)性的勒索軟件。整個(gè)勒索過(guò)程的重點(diǎn)是有關(guān)受害者的數(shù)據(jù)有沒(méi)有在互聯(lián)網(wǎng)上發(fā)布，其次考慮的才是解密被鎖定的文件。

　　為什么對(duì)于受害者來(lái)說(shuō)，數(shù)據(jù)沒(méi)有公布如此重要？這就要談及數(shù)據(jù)保護(hù)條例的問(wèn)題，因?yàn)檫`反HIPAA，PIC或GDPR之類(lèi)的規(guī)定所導(dǎo)致的訴訟和罰款，不僅會(huì)為企業(yè)組織帶來(lái)重大財(cái)務(wù)損失，還會(huì)進(jìn)一步影響企業(yè)聲譽(yù)和客戶(hù)信任感，造成無(wú)法彌補(bǔ)的影響。

　　一旦企業(yè)組織將勒索軟件威脅行為者視為典型的惡意軟件威脅，他們的防護(hù)將注定失敗。這不僅僅涉及端點(diǎn)保護(hù)，它還是關(guān)于紅隊(duì)協(xié)作的問(wèn)題，商業(yè)分析人員使用滲漏的文件評(píng)估贖金水平。當(dāng)然，它還與數(shù)據(jù)盜竊和公眾羞辱有關(guān)，最終會(huì)導(dǎo)致各種各樣的問(wèn)題。

　　防護(hù)建議

　　為了保護(hù)您的企業(yè)組織免受此類(lèi)勒索軟件攻擊，安全專(zhuān)家建議：

　　· 除非絕對(duì)必要，否則請(qǐng)勿將遠(yuǎn)程桌面服務(wù)（例如RDP）暴露到公共網(wǎng)絡(luò)中，并始終對(duì)它們使用強(qiáng)密碼；

　　· 立即為提供遠(yuǎn)程員工訪問(wèn)權(quán)限并充當(dāng)網(wǎng)關(guān)作用的商業(yè)級(jí)VPN解決方案安裝可用補(bǔ)??；

　　· 始終保持您所用的所有設(shè)備上的軟件處于最新?tīng)顟B(tài)，以防止勒索軟件濫用其中的漏洞；

　　· 將防御策略重點(diǎn)放在檢測(cè)橫向移動(dòng)和數(shù)據(jù)泄露方面，要格外注意傳出的流量，以檢測(cè)網(wǎng)絡(luò)犯罪分子的連接。定期備份數(shù)據(jù)并確保在緊急需要時(shí)能夠快速訪問(wèn)它；

　　· 為了保護(hù)公司環(huán)境，請(qǐng)對(duì)您的員工進(jìn)行教育培訓(xùn)；

　　· 使用可靠的端點(diǎn)安全解決方案等等。