主页 > 网络知识 > 勒索软件Snatch利用安全模式绕过杀毒软件

勒索软件Snatch利用安全模式绕过杀毒软件

研究人员发现勒索软件Snatch可使Windows重新启动到安全模式来绕过安全保护。

10月中旬,研究人员发现名为Snatch的勒索软件将自身设置为一个服务,并在安全模式引导期间运行。它可以快速地将计算机重新启动到安全模式,并在大多数软件(包括安全软件)不运行的安全模式环境中加密受害者的硬盘驱动器。

 

勒索软件Snatch利用安全模式绕过杀毒软件

 

点击图片查看原图

Snatch勒索软件自2018年夏天以来一直很活跃,该恶意软件的安全模式启动是一个新增加的功能。恶意软件包括一个勒索软件组件和一个单独的数据窃取器,这两个工具显然都是由网络罪犯开发的,此外还有几个公开的工具,这些工具本身并不是恶意的,通常被渗透测试人员、系统管理员或技术人员使用。Snatch勒索软件不支持多平台,该软件可以运行在最常见的Windows版本上,从7到10,32位和64位版本。发现的样本是使用开源打包程序UPX打包,进行了内容混淆。

Snatch工作方式

恶意软件采用主动自动攻击模式,他们通过对易存在漏洞的服务进行自动暴力攻击来渗透企业网络,并在目标组织的网络内部进行传播。恶意软件在勒索的同时能够一直从目标组织窃取大量信息。

Snatch小组成员曾经在线进行技术讨论与寻找合作伙伴,并免费培训其他人使用恶意软件,允许潜在伙伴使用其基础设施,提供运行Metasploit的服务器。

 

1.PNG

1.PNG

 

Snatch行为分析

在其中一起针对一家大型国际公司的攻击事件中,MTR设法从目标公司获得勒索软件无法加密的详细日志。攻击者最初通过强行将密码强制输入到Microsoft Azure服务器上的管理员帐户来访问公司的内部网络,并能够使用远程桌面(RDP)登录到服务器。

攻击者使用Azure服务器作为渗透立足点,利用该管理员帐户登录到同一网络上的域控DC,然后在数周内对目标网络执行监视任务。查询有权登录的用户列表,并将结果写入文件。此外还将WMIC系统用户数据、进程列表,Windows LSASS服务的内存内容存储到文件中,然后上传到c2服务器。

 

1.PNG

 

User information stolen by Snatch

 

1.PNG

Snatch dumps lsass from memory then uploads the dump

 

攻击者设置了一次性Windows服务来部署特定任务。这些服务有很长的随机文件名,可从tasklist程序查询正在运行的进程的列表,将其输出到temp目录中的一个文件,然后运行一个批处理文件(也位于temp目录中),将tasklist文件上传到C2服务器。

 

1.PNG

 

它使用同样的方法将大量信息上传到C2服务器。例如,它使用此命令把提取的用户帐户和其他配置文件信息(.txt文件)发送回C2,然后执行它在Windows临时目录中创建的批处理。

 

1.PNG

 

攻击者在大约200台计算机上安装了监视软件,占组织内部计算机数量的5%。攻击者安装了几个恶意文件;其中一组文件是为了让攻击者能够远程访问这些计算机,而不必依赖Azure服务器。攻击者还安装了一个名为“高级端口扫描程序”的Windows程序,使用该工具在网络上发现他们其他潜在目标计算机。

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!