迷宫勒索软件的生活 – 作者:东塔安全学院-安全小百科

在过去的一年中，迷宫勒索软件已成为威胁企业和大型组织的最臭名昭著的恶意软件系列之一。数十个组织已成为该恶意软件的受害者，包括LG，Southwire和Pensacola等。

Maze勒索病毒，又称为ChaCha勒索软件，最初是由 Malwarebytes 的威胁情报总监 JérômeSegura 在 2019 年 5 月发现的。自从 2019 年 12 月以来，该团伙持续活跃，几乎在各个领域都有大量的受害者，包括金融、科技、电信、医疗、政府、建筑、酒店、媒体、能源、制药、教育、保险和法律等行业。Maze的主要传播形式为垃圾邮件投递武器化的 Office 文件（Word 和 Excel 文件）和RDP 暴力破解。Maze勒索病毒通过伪装成合法加密货币交换应用程序的假冒站点进行分发传播，攻击者在对受害者设备上的数据进行加密后，将会主动告知受害者文件已被加密，需要支付赎金而达到勒索目的。

早期版本的Maze / ChaCha勒索软件的赎金记录

木马的新版本开始自称Maze，并使用受害者的相关名称的网站代替了上面截图中显示的通用电子邮件地址。

最新版本的Maze勒索软件使用的网站

感染情况

群众运动

Maze勒索软件的分发策略最初涉及通过漏洞利用工具包（即Fallout EK和Spelevo EK）以及带有恶意附件的垃圾邮件进行感染。以下是这些恶意垃圾邮件之一的示例，其中包含MS Word文档以及一个旨在下载Maze勒索软件有效载荷的宏。

如果收件人打开了附件文档，将提示他们启用编辑模式，然后启用内容。如果他们不喜欢它，则将执行文档中包含的恶意宏，这又将导致受害者的PC被Maze勒索软件感染。

在2017年出现的wannacry勒索病毒主要以破坏数据，通过交赎金的方式获取暴利。

Maze组织却则真正学到了现实生活中绑架勒索的精髓， Maze组织会先利用恶意软件盗取数据，然后再使用勒索病毒对获取的数据进行复杂加密，如果受害者不在指定的期限内缴纳赎金，Maze组织就会选择撕票——直接将盗取数据公之于众。除了交钱保平安外，受害者似乎并没有其他退路

量身定制的方法

除了这些典型的感染媒介之外，迷宫勒索软件背后的威胁参与者也开始以公司和市政组织为目标，以最大程度地勒索金钱。

最初的折衷机制和后续策略各不相同。一些事件涉及安装了Cobalt Strike RAT的鱼叉式网络钓鱼活动，而在其他情况下，网络漏洞是由于利用了脆弱的面向Internet的服务（例如Citrix ADC / Netscaler或Pulse Secure VPN）造成的。可从互联网访问的计算机上的RDP凭据薄弱也构成了威胁，因为Maze的运营商也可能会使用此缺陷。

特权升级，侦察和横向移动策略也因情况而异。在这些阶段中，已观察到使用了以下工具：mimikatz，procdump，Cobalt Strike，Advanced IP Scanner，Bloodhound，PowerSploit等。

在这些中间阶段，威胁行为者试图识别出受感染网络中服务器和工作站上存储的有价值的数据。然后，他们将泄露受害者的机密文件，以便在商讨赎金的大小时加以利用。在入侵的最后阶段，恶意操作员会将Maze勒索软件可执行文件安装到他们可以访问的所有计算机上。这将对受害者的宝贵数据进行加密，并最终完成攻击。

数据泄漏/混淆

Maze勒索软件是最早的勒索软件系列之一，威胁说如果受害者拒绝合作，他们就会泄漏受害者的机密数据。

实际上，这使Maze成为一种趋势引领者，因为这种方法对犯罪分子来说是如此有利可图，以至于现在它已成为包括REvil / Sodinokibi，DoppelPaymer，JSWorm / Nemty / Nefilim，RagnarLocker和Snatch在内的数个臭名昭著的勒索软件帮派的标准。

Maze勒索软件的作者维护了一个网站，他们在其中列出了最近的受害者，并发布了部分或全部转储的文件，这些文件在网络遭到入侵后已设法泄露。

迷宫运营商发布泄漏数据的网站

勒索软件卡特尔

2020年6月，迷宫背后的犯罪分子与另外两个威胁行为者团体LockBit和RagnarLocker合作，从本质上形成了一个“勒索软件卡特尔”。这些小组窃取的数据现在将发布在由Maze操作员维护的博客上。

罪犯集中精力的不仅是窃听文件的托管-显然他们也在分享自己的专业知识。迷宫现在使用以前仅由RagnarLocker使用的执行技术。

简要技术概述

Maze勒索软件通常以PE二进制文件（取决于特定情况，为EXE或DLL）的形式分发，该二进制文件以C / C ++开发并由自定义保护程序进行模糊处理。它采用各种技巧来阻止静态分析，包括动态API函数导入，使用条件跳转控制流混淆，用JMP dword ptr [esp-4]代替RET，用PUSH + JMP代替CALL以及其他几种技术。

为了对抗动态分析，该木马还将终止研究人员通常使用的进程，例如procmon，procexp，ida，x32dbg等。

迷宫使用的加密方案包括几个级别：

为了加密受害者文件的内容，特洛伊木马安全地生成唯一的密钥和随机数值，以与ChaCha流密码一起使用。
ChaCha密钥和随机数值由启动恶意软件时生成的会话公共RSA-2048密钥加密；
会话专用RSA-2048密钥由硬编码在木马主体中的主公用RSA-2048密钥加密。

该方案是现代勒索软件开发人员使用的或多或少典型方法的变体。它使运营商在为每个受害者出售解密器时，可以将其主私有RSA密钥保密，并且还可以确保一个受害者购买的解密器不会帮助其他人。

在计算机上执行时，迷宫勒索软件还将尝试确定其感染了哪种PC。它试图区分不同类型的系统（“备份服务器”，“域控制器”，“独立服务器”等）。使用赎金记录中的这些信息，木马旨在进一步吓受害者，使他们认为犯罪分子了解有关受影响网络的一切。

迷宫用来生成赎金票据的字符串

生成赎金票据的程序片段

如何避免和预防

勒索软件每天都在发展，这意味着避免和预防感染的反应性方法无济于事。抵御勒索软件的最佳防御方法是主动预防，因为一旦加密数据，通常为时已晚。

有许多建议可以帮助防止此类攻击：

保持您的操作系统和应用程序已更新并保持最新状态。
对所有员工进行网络安全最佳实践培训。
仅将安全技术用于公司局域网中的远程连接。
将端点安全性与行为检测和自动文件回滚一起使用，例如Kaspersky Endpoint Security for Business。
使用最新的威胁情报信息可以快速检测到攻击，了解有用的对策并防止其扩散。

侦测

卡巴斯基产品可以防御该勒索软件，将其检测为Trojan-Ransom.Win32.Maze；它被基于行为的保护作为PDM：Trojan.Win32.Generic阻止。

我们以最好的勒索软件保护技术保护我们的客户。

总结

从2017年的发现的勒索病毒攻击已经让受害者饱受摧残，但起码受害者还能够从数据备份中恢复所有的重要文件。但显然，Maze组织创造的新模式更为恐怖。半年以来，包括Clop、Nemty、Nefilim、Ragnarlocker、Sekhmet、Snatch、DopplelPaymer、Sodinokibi等在内的多个勒索病毒组织已经开始效仿Maze组织先利用恶意软件盗取企业的数据，再投放勒索病毒进行加密勒索的做法。

老牌的黑客组织嗅到勒索病毒的商机而加入进来，采用的攻击手法和技术也会更加高明。我们只有及时更新杀毒软件和漏洞补丁，用卡巴斯基产品防御该勒索软件，以最好的勒索软件保护技术保护我们的客户才能为躲避那些飞来横祸。

来源：https://securelist.com/maze-ransomware/99137/

> 免责申明：本文由互联网整理翻译而来,仅供个人学习参考,如有侵权,请联系我们,告知删除。

来源：freebuf.com 2020-11-12 17:56:02 by: 东塔安全学院

文章版权归作者所有，未经允许请勿转载。

THE END