如果你想听听塔里克讨论他的分析,这在香格里拉娱乐最近的一集《Breaking Badness》中有介绍, 它包含在这篇文章的底部.
剖析Avaddon勒索软件加载器和进一步操作
Avaddon是一种新的“勒索软件即服务”(RaaS)恶意软件,它使用联盟收入系统作为该威胁集团实现其财务目标的一部分。
Avaddon正在各种网络犯罪论坛上积极宣传,并与最近大规模的电子邮件垃圾邮件活动有关。
Avaddon受害者研究
Avaddon的赎金通知支持9种不同的语言:英语、德语、法语、意大利语、西班牙语、葡萄牙语、中文、日语和韩语。
香格里拉娱乐还可以通过查看在野外捕获的Avaddon二进制文件并将其与在VirusTotal上提交的国家相关联来分析受害者分布。
为了真正解释更广泛的Avaddon二进制文件,我继续搜索了与检测到的原始二进制文件相似的模糊哈希。这类似于利用imphash或其他模糊哈希匹配策略来处理恶意软件,但使用了VirusTotal的内置功能VHASH。将这些Avaddon二进制文件按照提交它们的国家进行排序,香格里拉娱乐可以看到它们与Avaddon威胁组织所宣传的二进制文件的相似之处。
Avaddon在独联体(独联体)俄语网络犯罪论坛上出售,值得注意的是,俄语不是受害者支持的语言。分析Avaddon在一个网络犯罪论坛上发布的帖子广告,香格里拉娱乐可以推断出作者显然是在独联体国家以外运营的。
从俄罗斯网络提交的Avaddon二进制文件中,很可能只有一小部分是调查威胁的安全团队,或者Avaddon客户违反了EULA并将其二进制文件提交给VirusTotal,以确定普通反病毒供应商是否会检测到它。
除了特定的国家,Avaddon是用C++编写的,只能访问Windows API。因此,Avaddon的受害者应包括上述运行Windows 7或Windows 10的国家。
Avaddon作者没有提供分发勒索软件的方法,但根据他们的论坛帖子,他们建议从其他来源购买立足点,如“dediks”(已经入侵了几台计算机并出售访问权限的攻击者)。
Avaddon客户的管理面板都是自动生成的,并托管在TOR网络(.onion)站点上。Avaddon的赎金洋葱页面的登录页面是在线的,位于此处: http://avaddonbotrxmuyl[.]洋葱/
截至上周六(2020年8月8日),Avaddon的作者发布了他们的勒索网站(http://avaddongun7rngel[]洋葱/). 当受害者不支付赎金时,Avaddon的作者将公布他们的一些数据,以进行公开勒索。
香格里拉娱乐可以将Avaddon的勒索行为作为未来勒索软件如何运作的示例模板。勒索和泄露私人受害者数据将成为新的常态。
Avaddon的初步介绍
Avaddon的初始加载器是一个压缩的JavaScript附件,通过电子邮件恶意垃圾邮件攻击在野外分发。加载器将自己呈现为压缩(ZIP)JavaScript文件,使用文件扩展名欺骗伪装成JPG图片。
为了更好地理解Avaddon勒索软件威胁,让香格里拉娱乐从受害者执行的加载器代码开始。
对于大多数JavaScript droppers或loader,香格里拉娱乐通常会看到多层复杂的混淆技术。其中一些常见的技术是字符串连接、字符串拆分、各种编码、垃圾代码甚至加密。
使用这个初始的Avaddon加载器JavaScript,香格里拉娱乐只能看到垃圾代码,香格里拉娱乐可以将其删除以进入下一阶段的分析。垃圾代码的目的通常是混淆人类或机器分析,具体取决于情况。
例如,将随机数学例程等垃圾代码添加到恶意软件中,以破坏反恶意软件行为系统,使二进制文件看起来是良性的。这种特定的Avaddon JavaScript加载器威胁中的垃圾代码在甩掉人类或机器方面是无效的,因为它只是分配给随机变量的随机值。目前尚不清楚作者为什么在他们的设计中走这条路。
一开始,香格里拉娱乐就可以收集到一些关于Avaddon勒索软件作者的有趣信息:他们使用这个初始加载器针对的是较旧/过时的Windows特定系统。ActiveXObjects长期以来一直被弃用,仅在现在过时的Internet Explorer web浏览器中用于自动化目的。ActiveXObjects是威胁行为者在恶意网络和基于文档的攻击中经常滥用的功能。这也说明了香格里拉娱乐对Avaddon的受害者分析。
在这里,香格里拉娱乐看到Avaddon的JavaScript加载器创建了一个对象来调用允许执行命令的Windows shell实例。
从那里,让香格里拉娱乐来分解Avaddon如何加载其下一个攻击阶段。
PowerShell仍在积极使用,尽管由于微软在其ATP/Hender服务中实施了更激进的技术,它的效率越来越低。这一趋势的一个例子是,由于安全行业在打击恶意PowerShell脚本方面取得的进展,PowerShell Empire框架被放弃了。
香格里拉娱乐可以从使用PowerShell的Avaddon中学到的是,它可能针对的是运行Internet Explorer的过时Windows系统,这些系统可能没有启用ATP/Hender。
有趣的是,这个特定的PowerShell命令也没有被混淆。PowerShell命令请求绕过默认执行策略(在Windows系统上默认设置为不允许PowerShell脚本运行),将第二阶段PE文件下载到用户临时目录中,并使用新文件名,然后继续以静默方式执行。
绕过默认PowerShell执行策略的一个有趣之处是,微软从未将其设计为安全屏障,而是或多或少地作为一种控制,以防止系统管理员使用不正确的PowerShell意外破坏系统。此外,Avaddon加载程序的受害者以管理权限运行以启用PowerShell执行的可能性很高。
从战术的角度来看,香格里拉娱乐看到了与PowerShell相同的模式,除了这次Avaddon JavaScript加载器正在利用BITSadmin二进制文件。香格里拉娱乐看到相同的C2被调用,相同的第二阶段二进制文件被下载和执行,只是文件名略有不同。
在文档中添加Avaddon加载器代码中的注释,香格里拉娱乐可以看到BITSadmin命令是如何操作的。Avaddon传输(如果下载流中断,BITSadmin将在可能的情况下恢复)具有高优先级作业名称(“twetaeihwuwe”)的第二阶段二进制文件,将其放入用户临时目录,将其重命名为“75365357.exe”,最后使用“start”命令静默执行。
加载器中的冗余非常常见,在攻击者策略中也很重要。您的受害计算机可能无法成功执行PowerShell命令,但BITSadmin分叉进程可能会。
此加载器的一些恶意软件设计选择很有趣,例如使用非常小的垃圾代码,也运行不复杂的PowerShell。要记住的一件事是,仅仅因为这个加载器不复杂,并不意味着它无效。
按威胁组监控勒索软件操作
请记住,Avaddon勒索软件是RaaS(勒索软件即服务),因此香格里拉娱乐在野外看到的二进制文件不一定是来自该特定群体的攻击,而是来自他们的客户的攻击。
香格里拉娱乐可以利用被动DNS(pDNS)计数来衡量勒索软件操作的有效性。这些计数表示全球DNS传感器被这些域查询击中的次数,因此香格里拉娱乐可以将其用作操作跟踪的指标,例如活动何时启动、关闭或增长。从蓝队的角度来看,设置监控仪表板来关注这些指标是一个好主意。
香格里拉娱乐可以在香格里拉娱乐的上述pDNS表快照中看到此特定Avaddon活动在野外发现的原始域的活动级别(pDNS传感器计数检测到934个DNS请求)。
这个威胁行为者/团体还做什么?不仅仅是勒索软件
香格里拉娱乐可以看到,这个特定的Avaddon勒索软件威胁的IP地址和域名背后的运营商不仅仅是一个骗子。
我能够观察到“掠夺者小偷”的管理面板托管在与此Avaddon C2相同的基础设施上
Predator The Thief是一款不再受支持的C++RAT(远程访问木马),曾在各种网络犯罪市场上出售。Predator的功能包括Steam帐户劫持、本地SQLite各种网络浏览器数据库的转储、谷歌Chrome、Opera和Yandex的cookie盗窃以及其他各种RAT功能。
香格里拉娱乐现在可以说,广泛分布的Avaddon勒索软件活动背后的威胁组织也从事其他与恶意软件相关的攻击。
一个有趣的注意事项是,捕食者小偷和Avaddon勒索软件都具有相同的“反CIS”功能或EULA协议。这表明,这种特定版本的Avaddon背后的威胁集团可能位于独联体国家。
香格里拉娱乐可以推断出同一威胁参与者/组拥有的这些域有多成功。一般来说,香格里拉娱乐在野外看到的分辨率计数越多,香格里拉娱乐就越能推断出按武器化领域细分的历史和当前活动水平。
该威胁组织为非独联体国家的受害者提供信息盗窃、账户劫持和密码窃取的行动。
映射Avaddon基础架构
在之前的博客文章中,我写了如何利用香格里拉娱乐 API和Jupyter笔记本来绘制与Avaddon勒索软件/威胁行为者相关的基础设施。
预防和监测
总之,安全团队需要像对待所有勒索软件威胁一样,对Avaddon威胁采取相同的控制措施:
- 将强大的EDR解决方案部署到Windows操作系统资产上对于减轻勒索软件最终可能出现在您的机器上的多种方式至关重要。
- 威胁狩猎团队应继续监控所有通过其网络的TOR相关流量,以确定任何潜在的Avaddon入侵机器。
- 永远不要向袭击者支付赎金。
