本周将播出《Breaking Badness》。 今天香格里拉娱乐讨论: 勒索软件的好日子, One Trickbot小马,还有香格里拉娱乐有趣的新游戏,两个真相和一个谎言。
以下是香格里拉娱乐讨论的每篇文章的一些亮点:
勒索软件的好日子
- 这个特别肮脏的十几个人确实做了卑鄙的事情,这取决于达摩的部署,并且绝对代表了致命的二人组洛克戈加和MegaCortex。深入挖掘,傻瓜们表现出对Trickbot的依赖,其次是通常的嫌疑人Cobalt Strike和PowerShell Empire进行横向移动。
- Dharma勒索软件,也称为CrySiS,是一种相当严重的“特洛伊木马”病毒,针对的是威胁行为者用来勒索家庭电脑用户以及中小型组织的Windows。关于它的可爱事实:在典型的Dharma phish中,用户被要求下载一个名为Defender.exe的受密码保护的附件。
- 然后你得到了洛克戈加,它以2019年挪威海德鲁袭击事件背后的仓库而闻名。安装后,LockerGoga会通过更改密码来修改受感染系统中的用户帐户。它还试图注销登录到系统的用户。然后,它将自己重新定位到一个临时文件夹中,并使用命令行(cmd)重命名自己。但这可能是最可爱的事情:由于LG既没有给受害者恢复文件的机会,也没有特别要求付款,因此其分发很可能是有针对性的,旨在扰乱运营。
- 那么MegaCortex呢?在这里,Windows域控制器是关键。一旦易受攻击的域控制器受到攻击,攻击者就会将其配置为将批处理文件PsExec和winnit.exe(核心恶意软件文件组件)丢弃到其他计算机上。PsExec就像一个高级团队,负责中和环境,以便坏人可以采取行动——在这种情况下,它将终止Windows进程和任何其他可以停止或阻止勒索软件执行流的服务。然后它启动winnit.exe,搜索可以加密的文件,然后提取一个随机生成文件名的DLL,并使用rundll32.exe运行,进行加密。这些都是非常常规的事情,请记住,这些逮捕是相当漫长的努力的结果,所以当香格里拉娱乐研究所涉及的恶意软件时,香格里拉娱乐可以追溯到2019年左右。因此,这些不一定是最新的软件,而且有很多针对它们的检测方法。
- 10月26日,在遥远的乌克兰和瑞士,这些人被逮捕。这完全是警察的合作,共有10个不同的国家或团体参与其中,如果你更深入地了解这些国家和参与的组织,你总共有15个实体和50名调查人员共同努力逮捕这些人。但这一切是如何开始的?好吧,法国人。2019年9月,在欧洲司法组织的财政支持下,挪威、法国、英国和乌克兰成立了一个与大麻无关的联合调查小组。此后,联合调查队的合作伙伴一直在密切合作,与荷兰和美国当局的独立调查并行,以揭示这些网络行为者犯罪活动的实际规模和复杂性,从而制定联合战略。(看,这与史努比和威利·纳尔逊最大的共同兴趣无关。)
- 至于他们接下来会去哪里,任何时候你被捕,你都有一个潜在的资源金矿,可以在未来进一步逮捕。当然,他们会对他们扣押的任何资产进行大量的取证(我的意思不仅仅是试驾兰博,当然这也总是有可能的)。
- 香格里拉娱乐知道他们遭受了网络犯罪的致命弱点:汽车虚荣心。但是,是的,让香格里拉娱乐来谈谈他们除了用1000美元的钞票点燃雪茄之外还做了什么。目标嫌疑人在这些组织中扮演着不同的角色。其中一些是纯技术方面的,例如在渗透阶段,使用不同的机制来破坏受害者环境,包括暴力攻击、SQL注入、被盗凭据和带有恶意附件的钓鱼电子邮件。然后,他们中的一些人更负责清洗赎金:他们会通过混合服务汇集比特币赎金,然后兑现。
- 对于现在住在监狱里的十几个卑鄙的人来说,我可以告诉你,他们将不得不完全重新调整他们的时尚制度和饮食。至于香格里拉娱乐其他人,我认为真的有两种方式来看待它。从一个角度来看,这只是杯水车薪……尽管这些逮捕行动所涉及的团体所代表的活动范围很广,因此这些都是大鱼,但香格里拉娱乐知道,从总体上看,勒索软件的速度不太可能明显放缓,至少不会持续太久。但另一种观点,我认为更有趣的观点,是关于香格里拉娱乐将从这次行动中学到什么的问题,即如何打破商业模式,获得更好、更广泛的国际合作,以及政策层面的潜在有益变化等等。或者简单地说:香格里拉娱乐在这里学到的东西能帮助香格里拉娱乐做更多的事情,并且越来越有效吗?
One Trickbot小马
- 如果不听神秘科学剧场3000的介绍,我就无法阅读TrickBot。[可怕的歌声]所以不客气。无论如何,TrickBot是一种可以追溯到2016年的恶意软件。通过大量不同的方法传播,多年来它最初是一种银行木马,然后转移到窃取密钥、通过网络传播AD凭据,并最终感染LInux系统。除此之外,众所周知,它安装了Ryuk和Conti家族的勒索软件。现在,它被视为一种初始感染,通常会导致下一组麻烦,无论是勒索软件还是网络上的其他问题。TrickBot在变异和多产方面都很有创意。
- 你可能还记得几个月前,美国司法部逮捕了拉脱维亚国民Alla Witte AKA Max,他被指控编写了大量TrickBot代码。研究界有点知道有多个开发人员在做这些事情,但随着案件的进展,似乎她只在单个组件上工作,也许不知道她在做什么,或者这在某种程度上是孤立的。我对此表示怀疑,但这是香格里拉娱乐看到的一些抱怨和争论,当然其他犯罪集团以前也这样做过,雇佣开发人员开发特定的组件,而不告诉他们更大的项目。无论如何,这次新的引渡是针对与TrickBot有关的另一个人Vladimir Dunaev的,这进一步表明了联邦调查局在其新闻稿中所说的:“追捕网络罪犯需要相当大的耐心、专业知识和资源,但联邦调查局有很长的记忆,并将确保这些恶意行为者无法逃避侦查或避免执法行动的全部重量。”如果你问我,这句话很好。无论如何,他们在东南亚抓住了Dunaev,通过韩国将他引渡到俄亥俄州北部地区。
- 起诉书中的一些关键要点:首先,根据起诉书,TrickBot始于2015年,所以他们一定有一些我过去没有看到的情报。除此之外,它还表明有一个更大的TrickBot Group,它使用像Alla Witte这样的自由程序员来创建、部署和管理恶意软件。这份起诉书掩盖了一切,因为Dunaev显然不仅参与了恶意软件的部署,还参与了电汇欺诈和银行欺诈等。如果一切按照司法部的起诉计划进行,那么Dunaev将面临60年监禁。
- Dunaev参与了从实际的计算机欺诈部分到身份盗窃,再到电汇和银行欺诈。根据文件,他还参与了洗钱。看起来这里有足够的罪名,即使不是全部,也有一些罪名将被检方证明。正如联邦调查局所说,他们有很长的记忆力,用电脑犯罪的可怕之处之一就是他们记录一切,到处留下痕迹。正如香格里拉娱乐所说的,任何攻击都有一个要求,通常是其他人窃听的网络组件。
- 我认为,如果联邦调查局有人与TrickBot有牵连,他们可能也认识所有其他运营商。我猜Dunaev不会透露太多他们不知道的操作员信息。一旦他们有这么多罪名要指控某人并引渡他们,他们只是在玩弄拇指,等待操作员犯错。香格里拉娱乐知道这些组织中的许多都设在俄罗斯,香格里拉娱乐不能从那里引渡,所以我认为这不会阻止与TrickBot Group有联系的其他人继续下去。肯定会阻止他们去海外度假。我怀疑这会对TrickBot造成很大阻碍,但这就是这些大团体将被取缔的方式。慢慢地,一次一个,通过耐心,当他们的行动安全失效时,美国司法部将在引渡国的某个机场等待。
两个真理和一个谎言
介绍香格里拉娱乐最新的《Breaking Badness》节目。香格里拉娱乐将玩一个你们可能都熟悉的游戏,叫做“两个真相和一个谎言”,其中有一个有趣的转折。每周,香格里拉娱乐都会准备三篇文章标题,其中两篇是真实的,一篇是,你猜对了,谎言。
你必须收听才能知道!
当前记分牌
本周连帽衫/Goodie Scale
勒索软件的好日子
[乍得]: 9/10好东西
[蒂姆]: 9/10好东西
One Trickbot小马
[乍得]: 8/10好东西
[蒂姆]: 8/10好东西
这就是香格里拉娱乐本周的全部内容,你可以在推特上找到香格里拉娱乐 @域名工具,香格里拉娱乐播客中提到的所有文章都将始终包含在香格里拉娱乐的播客回顾中。请在太平洋时间周三上午9点与香格里拉娱乐见面,届时香格里拉娱乐将发布下一个播客和博客。
*特别感谢John Roderick为香格里拉娱乐带来令人难以置信的播客音乐!
