勒索软件Snatch利用安全模式绕过杀毒软件(3)

在其中一个样本中发现攻击者在监控运行其代理的系统。当分析员意外注销时，分析员怀疑攻击者将机器识别为安全研究平台，于是他给攻击者写了一条消息，并将其留在了测试机器的桌面上。片刻之后，攻击者再次将分析员计算机注销，阻止分析员使用的IP地址重新连接到C2服务器。

还发现勒索软件正在使用OpenPGP，二进制文件将PGP公钥块硬编码到文件中。

建议任何组织都不要将远程桌面界面暴露在不受保护的互联网上，应将它们置于VPN后，没有VPN凭据的人都无法访问。

攻击者还表示希望寻找其他的合作伙伴，能够使用其他类型远程访问工具（如VNC和TeamViewer）以及Web外壳或SQL注入技术。

组织应立即为具有管理权限的用户实现多因素身份验证，使攻击者更难强行利用这些帐户凭据。

大多数初始访问和立足点都在未受保护和未受监视的设备上。组织应定期检测设备确保网络上没有被疏忽的设备机器。

勒索软件的勒索行为发生在攻击者进入网络后的几天。在勒索软件执行之前，需要一个成熟的威胁搜索程序识别攻击者的软件。

通过以下签名检测Snatch的各种组件和此攻击中使用的文件：

Troj/Snatch-H

Mal/Generic-R

Troj/Agent-BCYI

Troj/Agent-BCYN

HPmal/GoRnSm-A

HPmal/RansMaz-A

PUA Detected: ‘PsExec’