在其中一个样本中发现攻击者在监控运行其代理的系统。当分析员意外注销时,分析员怀疑攻击者将机器识别为安全研究平台,于是他给攻击者写了一条消息,并将其留在了测试机器的桌面上。片刻之后,攻击者再次将分析员计算机注销,阻止分析员使用的IP地址重新连接到C2服务器。
还发现勒索软件正在使用OpenPGP,二进制文件将PGP公钥块硬编码到文件中。
预防与监测 预防建议任何组织都不要将远程桌面界面暴露在不受保护的互联网上,应将它们置于VPN后,没有VPN凭据的人都无法访问。
攻击者还表示希望寻找其他的合作伙伴,能够使用其他类型远程访问工具(如VNC和TeamViewer)以及Web外壳或SQL注入技术。
组织应立即为具有管理权限的用户实现多因素身份验证,使攻击者更难强行利用这些帐户凭据。
检测大多数初始访问和立足点都在未受保护和未受监视的设备上。组织应定期检测设备确保网络上没有被疏忽的设备机器。
勒索软件的勒索行为发生在攻击者进入网络后的几天。在勒索软件执行之前,需要一个成熟的威胁搜索程序识别攻击者的软件。
检测详细信息通过以下签名检测Snatch的各种组件和此攻击中使用的文件:
Troj/Snatch-H
Mal/Generic-R
Troj/Agent-BCYI
Troj/Agent-BCYN
HPmal/GoRnSm-A
HPmal/RansMaz-A
PUA Detected: ‘PsExec’