如果你想听塔里克讨论他的分析,它在我们最近一期的绝命毒师中有介绍,这篇文章的底部包含了哪些内容.
剖析Avaddon勒索软件加载器和进一步的操作
Avaddon是一种新的“勒索软件即服务”(RaaS)恶意软件,它使用联盟收入系统作为该威胁组织实现其财务目标的一部分。
Avaddon正在各种网络犯罪论坛上积极宣传,并与最近大规模的电子邮件垃圾邮件活动有关。
Avaddon受害者研究
Avaddon的勒索信支持9种不同的语言:英语、德语、法语、意大利语、西班牙语、葡萄牙语、中文、日语和韩语。
我们还可以通过查看野外捕获的Avaddon二进制文件来分析受害者分布,并将它们与它们在VirusTotal上提交的国家相关联。
为了真正解释野外更广泛的Avaddon二进制文件,我继续搜索与检测到的原始二进制文件相似的模糊散列。这类似于利用恶意软件的imphashes或其他模糊哈希匹配策略,但使用VirusTotal的内置功能VHASH。将这些Avaddon二进制文件按照提交它们的国家进行分类,我们可以看到与Avaddon威胁组织所宣传的相似之处。
Avaddon在独联体(独联体)俄语网络犯罪论坛上出售,值得注意的是,俄语并不是受害者支持的语言。分析Avaddon在一个网络犯罪论坛上的广告,我们可以推断作者显然是在独联体国家运作。
很可能是俄罗斯网络提交的一小部分Avaddon二进制文件是安全团队在调查威胁,或者Avaddon客户违反了EULA并将他们的二进制文件提交给VirusTotal,以确定它是否会被普通的反病毒供应商检测到。
除了特定的国家,Avaddon是用c++编写的,只能访问Windows api。因此,Avaddon的受害者应该包括上述运行Windows 7或Windows 10的国家。
Avaddon作者没有提供一种传播勒索软件的方法,但是根据他们的论坛帖子,他们建议从其他来源购买你的据点,如“dediks”(攻击者已经侵入了几台计算机并出售访问权限)。
Avaddon客户的管理面板都是自动生成并托管在TOR网络(.onion)网站上。Avaddon的赎金洋葱页面的登陆页面是在线的,位于这里:http://avaddonbotrxmuyl[]洋葱/
截至上周六(2020年8月8日),Avaddon的作者发布了他们的勒索网站(http://avaddongun7rngel[]洋葱/).当受害者不支付赎金时,Avaddon的作者将公布他们的一些数据,以进行公开勒索。
我们可以将Avaddon的勒索行为作为未来勒索软件如何运作的范例模板。敲诈勒索和泄露受害者私人数据将成为新的常态。
Avaddon的初始介绍
Avaddon的初始加载器是一个压缩的JavaScript附件,通过电子邮件垃圾邮件攻击在野外分发。加载器将自己显示为使用文件扩展名欺骗伪装成JPG图片的压缩(ZIP) JavaScript文件。
为了更好地理解Avaddon勒索软件威胁,让我们从受害者执行的加载器代码开始。
对于大多数JavaScript拖放器或加载器,我们通常会看到多层复杂的混淆技术。其中一些常见的技术是字符串连接、字符串分割、各种编码、垃圾代码甚至加密。
有了这个初始的Avaddon加载器JavaScript,我们只看到了垃圾代码,我们可以删除这些代码来进行下一阶段的分析。垃圾代码的目的通常是混淆人类或机器分析,这取决于具体情况。
例如,垃圾代码(如随机数学例程)被添加到恶意软件中,以摆脱反恶意软件行为系统,使二进制文件看起来是良性的。这种特定的Avaddon JavaScript加载器威胁中的垃圾代码在摆脱人类或机器时是无效的,因为它只是分配给随机变量的随机值。目前还不清楚为什么作者在他们的设计中走了这条路。
我们可以收集到一些关于Avaddon勒索软件作者的有趣信息:他们的目标是使用这个初始加载器的旧/过时的Windows特定系统。ActiveXObjects早已弃用,现在只在过时的Internet Explorer web浏览器中用于自动化目的。ActiveXObjects一直是威胁行为者在恶意web和基于文档的攻击中经常滥用的特性。这也符合《Avaddon》的受害者特征。
在这里,我们看到Avaddon的JavaScript加载器创建了一个对象来调用一个允许执行命令的Windows shell实例。
接下来,让我们来分析一下Avaddon是如何加载下一个攻击阶段的。
PowerShell仍在积极使用,尽管由于微软在其ATP/Defender服务中实现了更激进的技术,它的效率正在降低。这种趋势的一个例子是,由于安全行业在对抗标记恶意PowerShell脚本方面取得的进展,PowerShell帝国框架正在被放弃。
我们从使用PowerShell的Avaddon中学到的是,它可能针对的是运行Internet Explorer的过时Windows系统,这些系统可能没有启用ATP/Defender。
有趣的是,这个特定的PowerShell命令也没有混淆。PowerShell命令请求绕过默认执行策略(在Windows系统上默认设置为不允许运行PowerShell脚本),将第2阶段PE文件下载到带有新文件名的用户临时目录,然后继续静默地执行它。
关于绕过默认PowerShell执行策略的一个有趣的地方是,微软从未将其设计为安全屏障,而是或多或少地设计为防止系统管理员使用不正确的PowerShell意外破坏系统的控件。此外,Avaddon加载程序的受害者使用管理权限运行以启用PowerShell执行的可能性很高。
从战术角度来看,我们看到了与PowerShell相同的模式,只是这次Avaddon JavaScript加载器利用了BITSadmin二进制文件。我们看到调用了相同的C2,下载并执行了相同的第二阶段二进制文件,只是文件名命名略有不同。
在Avaddon加载器代码中添加文档注释,我们可以看到BITSadmin命令是如何操作的。Avaddon以高优先级传输(如果下载流中断BITSadmin将恢复)带有作业名称(“twetaeihwuwe”)的第二阶段二进制文件,将其放入用户临时目录,重命名为“75365357.exe”,最后使用“start”命令静默执行它。
加载程序中的冗余是非常常见的,并且在攻击者策略中很重要。您的受害机器可能无法成功执行PowerShell命令,但BITSadmin fork进程可能会。
这个加载器的一些恶意软件设计选择很有趣,比如使用非常小的垃圾代码,也运行不混淆的PowerShell。有一件事要记住,只是因为这个装填器不复杂,并不意味着它没有效果。
按威胁组监控勒索软件操作
请记住,Avaddon勒索软件是RaaS(勒索软件即服务),因此我们在野外看到的二进制文件不一定来自该特定组织的攻击,而是来自他们的客户。
我们可以利用被动DNS (pDNS)计数作为一种手段来衡量勒索软件操作的有效性。这些计数代表了全球DNS传感器受到这些域查询的次数,因此我们可以使用这些作为操作跟踪的指标,例如活动何时启动、关闭或正在增长。从蓝队的角度来看,设置监控仪表板来监视这些指标是个好主意。
我们可以在上面Iris调查的pDNS表快照中看到,在这个特定的Avaddon活动中,原始域的活动级别(由pDNS传感器计数检测到934个DNS请求)。
这个威胁者/组织还做什么?不仅仅是勒索软件
我们可以看到,这个特定Avaddon勒索软件威胁的IP地址和域名背后的操作人员不仅仅是一个花招。
我能够观察到“Predator The Thief”的管理面板托管在与此Avaddon C2相同的基础设施上。
Predator The Thief是一个不再受支持的c++ RAT(远程访问木马),在各种网络犯罪市场上出售。“掠夺者”的能力包括Steam账户劫持、转储本地SQLite各种web浏览器数据库、窃取谷歌Chrome、Opera和Yandex的cookie以及其他各种RAT功能。
我们现在可以说,广泛传播Avaddon勒索软件活动背后的威胁组织还从事其他与恶意软件相关的攻击。
一个有趣的注意是,Predator the Thief和Avaddon勒索软件都有相同的“反cis”功能或EULA协议。这表明这个特定的Avaddon构建背后的威胁组织可能在独联体国家。
我们可以推断同一威胁行动者/组织拥有的这些域名有多成功。一般来说,我们在野外看到的分辨率越多,我们就越能推断出按武器化领域划分的历史和当前活动水平。
该威胁组织的行动主要针对非独联体国家的受害者,包括信息窃取、账户劫持和密码窃取。
映射Avaddon基础设施
在之前的博客文章中,我写了如何利用DomainTools API和Jupyter笔记本来绘制与Avaddon勒索软件/威胁行为者相关的基础设施。
预防及监察
总之,安全团队需要像对待所有勒索软件威胁一样,用相同的控制来对待Avaddon威胁:
- 在Windows操作系统资产上部署强大的EDR解决方案对于减少勒索软件以多种方式在您的计算机上结束至关重要。
- 威胁搜索团队应该继续监控所有TOR相关的流量流出他们的网络,以确定任何潜在的Avaddon受损机器。
- 永远不要向攻击者支付赎金。