Sophos 是新一代網路安全領域的全球領導者,今天發布最新研究《Dridex 殭屍網路在近期攻擊中散佈 Entropy 勒索軟體》,詳細介紹用途廣泛的 Dridex 殭屍網路和鮮為人知的 Entropy 勒索軟體程式碼極為相似。相似之處包括用於隱藏勒索軟體程式碼的軟體打包程式、尋找和模糊命令 (API 呼叫) 的惡意軟體副程式,以及用於解密加密文字的副程式。
Sophos 在調查兩起攻擊者使用 Dridex 散播 Entropy 勒索軟體的事件時發現了這些相似之處。上述攻擊鎖定了一家媒體公司和一家地方政府機構,使用特製版本的 Entropy 勒索軟體動態連結程式庫 (DLL),並將目標名稱嵌入在勒索軟體程式碼中。在兩次攻擊中,攻擊者還在一些受害電腦上部署了 Cobalt Strike,並使用合法的 WinRAR 壓縮工具將資料外洩到雲端儲存供應商,然後在未受保護的電腦上啟動勒索軟體。
Sophos 首席研究員 Andrew Brandt 表示:「惡意軟體操作者共用、借用或竊取彼此的程式碼並非新鮮事,目的無非是為了節省撰寫程式碼的時間、故意誤導追蹤,或是分散安全研究人員的注意力。這種做法使我們更難找出能證實其與惡意軟體家族相關或是被栽贓的證據,使得調查人員更難著手且攻擊者更容易消遙法外。在本次分析中,Sophos 仔細分析 Dridex 和 Entropy 用來增加鑑識分析難度的程式碼,包括防止對底層惡意軟體進行簡單靜態分析的打包程式碼、程式用來隱藏命令 (API) 呼叫的副程式,以及解密惡意軟體內加密文字字串的副程式。研究人員發現,兩種惡意軟體中的副程式基本上都使用了相似的程式碼和邏輯。」
不同的攻擊方法
除了在程式碼中發現相似處外,Sophos 研究人員還發現了一些顯著的差異。在針對媒體機構的攻擊中,攻擊者利用 ProxyShell 對有弱點的 Exchange 伺服器安裝遠端命令介面,以便日後能利用它將 Cobalt Strike 信標傳播到其他電腦。攻擊者在網路中待了四個月,然後於 2021 年 12 月初啟動 Entropy。
在針對地方政府組織的攻擊中,受害者是經由惡意電子郵件附件感染 Dridex 惡意軟體。攻擊者隨後使用 Dridex 傳遞額外的惡意軟體,並在目標網路內橫向移動。事件分析表明,在最初偵測到某一電腦上出現可疑登入後 75 小時,攻擊者開始竊取資料並將其轉移到多個雲端供應商。
持續獲得保護
調查發現,在這兩個案例中,攻擊者都利用了未修補且易受攻擊的 Windows 系統並濫用合法工具。定期安全修補,以及安排威脅捕獵人員和安全營運團隊對可疑警示積極調查,有助於使攻擊者更難獲得目標的初始存取權限和部署惡意程式碼。
Sophos 端點產品 (例如 Intercept X) 能透過偵測勒索軟體和其他攻擊的動作和行為來保護使用者,例如上述 Sophos 研究中描述的攻擊。