文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Maze近一年的攻击趋势研究

2024-12-03 15:06

关注

在过去的一年中,Maze已成为威胁企业和大型组织的最臭名昭著的恶意软件家族之一。去年底以来,已有佛州彭萨科拉市政府、IT服务业者Cognizant、全录、航天服务供应商VT San Antonio Aerospace、资安保险业者Chubb,以及韩国电子大厂LG、芯片业者MaxLinear遭到Maze肆虐,今年美国缆线制造公司Southwire在遭到Maze攻击后,还将该黑客集团告上法院。今年3月,ST Engineering Aerospace美国子公司遭遇Maze勒索软件攻击,该公司及其合作伙伴被盗1.5TB的敏感数据。2月,Maze入侵五家美国律师事务所,要求支付超过93.3万美元BTC赎金。7月30日,跨国公司佳能(Canon)的电子邮件、存储服务和其美国网站遭到了Maze团伙的勒索软件攻击。Maze要求佳能支付加密货币赎金,否则就将泄漏照片和数据。在未能勒索到赎金之后,勒索软件 Maze 背后的犯罪组织公开了 50.2 GB 的 LG 内部数据和 25.8 GB 的施乐内部数据。Maze 犯罪组织入侵企业网络后,首先窃取数据然后加密数据,最后索要赎金解密文件。LG 和施乐显然拒绝了两次勒索企图。犯罪组织公布的文件包含了 LG 多款产品固件的源代码,公开的施乐数据看起来与其客户服务业务相关。

根据Sophos的最新研究显示,Maze勒索软件背后的攻击者采用Ragnar Locker勒索软件团伙的做法,利用虚拟机来逃避检测。

该安全供应商最先观察到这种攻击手段,攻击者早在5月就开始将勒索软件有效负载分布在虚拟机内。与Ragnar Locker勒索软件团伙相关的攻击者将恶意代码隐藏在Windows XP VM中,这使勒索软件可以肆意运行,而不会被终端的安全软件检测到或阻止。在今年7月,Sophos发现,Maze勒索软件使用类似方法对一家未具名组织进行攻击。调查显示,攻击者不断试图用勒索软件感染计算机,同时索要1500万美元的赎金,但该组织最终没有支付。他们最开始使用勒索软件感染系统没有成功,直到第三次尝试才成功,攻击者使用Ragnar Locker的VM技术的增强版本。该方法可帮助攻击者进一步逃避安全产品的检测。

Maze的演变史

该勒索软件的历史始于2019年上半年,当时没有任何明显的攻击烙印,勒索字样中包含``0010 System Failure 0010'',被研究人员简称为``ChaCha勒索软件''。

 

 

 

早期版本的Maze / ChaCha勒索软件的赎金记录

 

此后不久,该木马的新版本开始被标记为Maze,并使用一个与受害者相关的网站,而不是截图中显示的通用电子邮件地址。

最新版本的Maze勒索软件使用的网站

Maze勒索软件的传播策略最初包括通过漏洞利用工具包(即Fallout EK和Spelevo EK)以及带有恶意附件的垃圾邮件进行感染。下面是一个恶意垃圾邮件的例子,其中包含一个MS Word文档和一个宏,目的是下载Maze勒索软件有效载荷。

如果收件人打开附加的文档,将提示他们启用编辑模式,然后启用内容。如果他们上当了,包含在文档中的恶意宏就会执行,这将导致受害者的PC被Maze勒索软件感染。

除了这些典型的感染方法之外,Maze背后的开发者也开始以公司和市政组织为目标,以最大程度地勒索勒索金钱。

Maze最初的攻击机制和现在的攻击机制已经有很大相同,一些事件涉及安装Cobalt Strike RAT的鱼叉式网络钓鱼活动,而在其他情况下,网络漏洞是由于利用了脆弱的面向Internet的服务造成的。可从互联网访问的计算机上的弱RDP凭据也构成了威胁,因为Maze的运营商也可能会使用此漏洞。

特权升级、侦察和横向移动策略也因情况而异。在这些阶段中,已观察到使用了以下工具:mimikatz,procdump,Cobalt Strike,Advanced IP Scanner,Bloodhound,PowerSploit等。

在这些中间阶段,攻击者会试图识别出受感染网络中服务器和工作站上存储的有价值的数据。然后,他们将泄漏受害者的机密文件,以便在商讨赎金的大小时加以利用。

在入侵的最后阶段,恶意操作员会将Maze勒索软件可执行文件安装到他们可以访问的所有计算机上。这样可以对受害者的宝贵数据进行加密,并最终完成攻击。

数据泄漏/混淆

Maze勒索软件是第一批威胁如果受害者拒绝合作就泄露其机密数据的勒索软件家族之一,实际上,这使Maze成为一种攻击趋势引领者,因为这种方法对罪犯来说是如此有利可图,以至于现在它已成为包括REvil / Sodinokibi,DoppelPaymer,JSWorm / Nemty / Nefilim,RagnarLocker和Snatch在内的几个臭名昭著的勒索软件的榜样。

Maze勒索软件的开发者们开发了一个网站,在那里他们列出了最近的受害者,并公布了部分或全部文件,这些文件是他们在一次网络入侵后窃取的。

2020年6月,Maze背后的攻击者与另外两个攻击组织LockBit和RagnarLocker合作,组成了一个所谓的“cartel组织”,这个小组窃取的数据现在将发布在由Maze运营商维护的博客上。

攻击者不仅仅是通过储存泄露的文件来吸引行业的注意力,显然他们还分享了他们的专业知识,Maze现在使用的执行技术以前只有RagnarLocker使用过。

简要技术介绍

Maze勒索软件通常是作为一个PE二进制(EXE或DLL,这取决于具体的场景),该二进制文件以C / C ++开发并由自定义保护程序进行混淆处理。它采用各种技巧来阻止静态分析,包括动态API函数导入、使用条件跳转的控制流混淆、用JMP dword ptr [esp-4]代替RET,用PUSH + JMP代替CALL,以及其他一些技术。

为了不被动态分析检测到,Maze木马程序还将终止研究人员通常使用的流程,例如procmon,procexp,ida,x32dbg等。

Maze使用的加密方案包括几个层次:

该方法允许攻击者在为每个受害者出售解密工具时保持他们的主私有RSA密钥的秘密,也确保了一个受害者购买的解密工具不会被其他人使用。

当在一台计算机上执行时,Maze勒索软件还会尝试确定它感染了哪种类型的电脑。它尝试区分不同类型的系统(“备份服务器”、“域控制器”、“独立服务器”等)。Maze进而利用勒索信中的这些信息,进一步恐吓受害者,使他们认为攻击者了解有关受影响网络的一切。

Maze用来生成赎金票据的字符串

生成赎金票据的程序片段

缓解措施

勒索软件技术每天都在发展,这意味着避免和预防感染的应激性方法无济于事。勒索软件的最佳防御方法是主动预防,因为一旦加密数据,恢复数据通常为时已晚。

有许多建议可以帮助防止此类攻击:

本文翻译自:https://securelist.com/maze-ransomware/99137/

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯