最近的研究表明,,威脅攻擊者使用了一套用作加密的PowerShell腳本部署了新的勒索軟件,,它利用未打補(bǔ)丁的Exchange服務(wù)器的漏洞來攻擊企業(yè)網(wǎng)絡(luò)。
Sophos首席研究員Andrew Brandt在網(wǎng)上發(fā)表的一份報告中寫道,,安全公司Sophos的研究人員在調(diào)查一家總部設(shè)在美國的酒店業(yè)公司的攻擊時發(fā)現(xiàn)了這種新的勒索軟件,,并命名為Epsilon Red,。
這個名字是由攻擊者自己創(chuàng)造的,他們可能和使用REvil勒索軟件進(jìn)行攻擊的是同一批人,,這個名字是X戰(zhàn)警漫威漫畫中的一個不起眼的敵人角色的名稱,。這個角色是一個 “據(jù)稱來自俄羅斯的超級士兵”,同時還配備了四個機(jī)械觸角,。這似乎代表了勒索軟件將其攻擊范圍伸入到企業(yè)內(nèi)部的方式,。
他寫道:“雖然該惡意軟件本身是一個用Go編程語言編寫的未加殼的64位Windows可執(zhí)行程序,但它的交付系統(tǒng)更復(fù)雜一些,它會依靠一系列的PowerShell腳本,,為受害者的機(jī)器準(zhǔn)備好勒索軟件有效載荷,,并在最終啟動它?!?/p>
勃蘭特寫道,,我們在留在受感染電腦上的勒索信息中找到了與REvil集團(tuán)的一些聯(lián)系,它和Revil勒索軟件留下的字條非常相似,,只是做了一些微小的語法修正,,這樣對于英語母語者來說更容易閱讀。然而,,該勒索軟件工具和名稱似乎是攻擊者自定義的,,而且與之前的REvil攻擊載體沒有其他相似之處。
根據(jù)該報告,,Sophos在觀察到的攻擊中的受害者最終在5月15日支付了4.29比特幣的贖金,,相當(dāng)于當(dāng)時的21萬美元左右。
具有攻擊性的PowerShell
最初切入點是對一個未打補(bǔ)丁的企業(yè)微軟Exchange服務(wù)器進(jìn)行攻擊,,攻擊者可以在那里使用Windows Management Instrumentation(WMI)軟件--一種在Windows生態(tài)系統(tǒng)中自動操作的腳本工具,,然后將其他軟件安裝到他們可以從Exchange服務(wù)器訪問到的網(wǎng)絡(luò)內(nèi)的機(jī)器上。
目前還不完全清楚攻擊者是否利用了臭名昭著的Exchange ProxyLogon漏洞,,該漏洞是今年早些時候微軟曝出的一個高危漏洞,。然而,據(jù)Brandt觀察,,網(wǎng)絡(luò)中使用未打補(bǔ)丁的服務(wù)器確實容易受到這一漏洞的攻擊,。
在這個攻擊過程中,攻擊者使用了一系列的PowerShell腳本,,并將其編號為1.ps1至12.ps1,,還有一些以字母表中的單個字母命名的腳本,為被攻擊的機(jī)器準(zhǔn)備最后的有效載荷,。他寫道,,這些腳本還交付并啟動了Epsilon Red有效載荷。
PowerShell腳本使用了一種初級形式的混淆方法,,但這并不妨礙Sophos研究人員對其進(jìn)行分析,,但Brandt指出:“這種方式可能足以逃避反惡意軟件工具的檢測,然后該工具可以順利的掃描硬盤上的文件,,這正是攻擊者所需要的”,。
有效載荷的交付
Brandt解釋說:“該勒索軟件本身是一個名為RED.exe的文件,它使用了一個名為MinGW的工具進(jìn)行編譯,,并使用修改后的打包工具UPX進(jìn)行打包,。有效載荷包含了GitHub上一個名為 ”godirwalk “的開源項目的一些代碼,,使其能夠掃描其運(yùn)行的硬盤上的目錄路徑,,并將其編譯成為一個列表,。”
他寫道:“然后勒索軟件會產(chǎn)生一個新的子進(jìn)程,,分別對每個子文件夾進(jìn)行加密,,這在短時間內(nèi)會導(dǎo)致許多勒索軟件副本進(jìn)程同時運(yùn)行。
Brandt觀察到,,可執(zhí)行文件本身是一個小文件,,是一個很簡單的程序,只是用于對目標(biāo)系統(tǒng)上的文件進(jìn)行加密,,不進(jìn)行網(wǎng)絡(luò)連接或有其他的任何關(guān)鍵功能,,所有這些功能都在PowerShell腳本內(nèi)進(jìn)行實現(xiàn)。
由于攻擊的切入點是未打補(bǔ)丁的微軟Exchange服務(wù)器,,很容易受到ProxyLogon漏洞的影響,,Sophos建議管理員盡快將所有服務(wù)器更新并及時對其打補(bǔ)丁,防止攻擊的發(fā)生,。