數(shù)據加密|圖紙加密|信息加密|文檔加密-Wonder Tech-上海騰赫信息科技有限公司

Maze 勒索軟件以前也被稱為(wèi) "ChaCha 勒索軟件 "，于 2019 年 5 月 29 日被Jerome Segura發現。從曆史上(shàng)看，該惡意軟件使用不同的技(jì)術(shù)來(lái)獲取進入權限，主要是利用漏洞利用工具包，具有(yǒu)弱密碼的遠程桌面連接或通(tōng)過電(diàn)子郵件模拟，或通(tōng)過不同的代理(lǐ)機構或公司。

在過去的一年中，Maze已成為(wèi)威脅企業和(hé)大(dà)型組織的最臭名昭著的惡意軟件家(jiā)族之一。去年底以來(lái)，已有(yǒu)佛州彭薩科拉市政府、IT服務業者Cognizant、全錄、航天服務供應商VT San Antonio Aerospace、資安保險業者Chubb，以及韓國電(diàn)子大(dà)廠LG、芯片業者MaxLinear遭到Maze肆虐，今年美國纜線制(zhì)造公司Southwire在遭到Maze攻擊後，還(hái)将該黑(hēi)客集團告上(shàng)法院。今年3月，ST Engineering Aerospace美國子公司遭遇Maze勒索軟件攻擊，該公司及其合作(zuò)夥伴被盜1.5TB的敏感數(shù)據。2月，Maze入侵五家(jiā)美國律師(shī)事務所，要求支付超過93.3萬美元BTC贖金。7月30日，跨國公司佳能(Canon)的電(diàn)子郵件、存儲服務和(hé)其美國網站(zhàn)遭到了Maze團夥的勒索軟件攻擊。Maze要求佳能支付加密貨币贖金，否則就将洩漏照片和(hé)數(shù)據。在未能勒索到贖金之後，勒索軟件 Maze 背後的犯罪組織公開(kāi)了 50.2 GB 的 LG 內(nèi)部數(shù)據和(hé) 25.8 GB 的施樂內(nèi)部數(shù)據。Maze 犯罪組織入侵企業網絡後，首先竊取數(shù)據然後加密數(shù)據，最後索要贖金解密文件。LG 和(hé)施樂顯然拒絕了兩次勒索企圖。犯罪組織公布的文件包含了 LG 多(duō)款産品固件的源代碼，公開(kāi)的施樂數(shù)據看起來(lái)與其客戶服務業務相關。

根據Sophos的最新研究顯示，Maze勒索軟件背後的攻擊者采用Ragnar Locker勒索軟件團夥的做(zuò)法，利用虛拟機來(lái)逃避檢測。

該安全供應商最先觀察到這種攻擊手段，攻擊者早在5月就開(kāi)始将勒索軟件有(yǒu)效負載分布在虛拟機內(nèi)。與Ragnar Locker勒索軟件團夥相關的攻擊者将惡意代碼隐藏在Windows XP VM中，這使勒索軟件可(kě)以肆意運行(xíng)，而不會(huì)被終端的安全軟件檢測到或阻止。在今年7月，Sophos發現，Maze勒索軟件使用類似方法對一家(jiā)未具名組織進行(xíng)攻擊。調查顯示，攻擊者不斷試圖用勒索軟件感染計(jì)算(suàn)機，同時(shí)索要1500萬美元的贖金，但(dàn)該組織最終沒有(yǒu)支付。他們最開(kāi)始使用勒索軟件感染系統沒有(yǒu)成功，直到第三次嘗試才成功，攻擊者使用Ragnar Locker的VM技(jì)術(shù)的增強版本。該方法可(kě)幫助攻擊者進一步逃避安全産品的檢測。

Maze的演變史

該勒索軟件的曆史始于2019年上(shàng)半年，當時(shí)沒有(yǒu)任何明(míng)顯的攻擊烙印，勒索字樣中包含标題``0010 System Failure 0010''，被研究人(rén)員簡稱為(wèi)``ChaCha勒索軟件''。

此後不久，該木馬的新版本開(kāi)始被标記為(wèi)Maze，并使用一個(gè)與受害者相關的網站(zhàn)，而不是截圖中顯示的通(tōng)用電(diàn)子郵件地址。

最新版本的Maze勒索軟件使用的網站(zhàn)

Maze勒索軟件的傳播策略最初包括通(tōng)過漏洞利用工具包(即Fallout EK和(hé)Spelevo EK)以及帶有(yǒu)惡意附件的垃圾郵件進行(xíng)感染。下面是一個(gè)惡意垃圾郵件的例子，其中包含一個(gè)MS Word文檔和(hé)一個(gè)宏，目的是下載Maze勒索軟件有(yǒu)效載荷。

如果收件人(rén)打開(kāi)附加的文檔，将提示他們啓用編輯模式，然後啓用內(nèi)容。如果他們上(shàng)當了，包含在文檔中的惡意宏就會(huì)執行(xíng)，這将導緻受害者的PC被Maze勒索軟件感染。

除了這些(xiē)典型的感染方法之外，Maze背後的開(kāi)發者也開(kāi)始以公司和(hé)市政組織為(wèi)目标，以最大(dà)程度地勒索勒索金錢(qián)。

Maze最初的攻擊機制(zhì)和(hé)現在的攻擊機制(zhì)已經有(yǒu)很(hěn)大(dà)相同，一些(xiē)事件涉及安裝Cobalt Strike RAT的魚叉式網絡釣魚活動，而在其他情況下，網絡漏洞是由于利用了脆弱的面向Internet的服務造成的。可(kě)從互聯網訪問的計(jì)算(suàn)機上(shàng)的弱RDP憑據也構成了威脅，因為(wèi)Maze的運營商也可(kě)能會(huì)使用此漏洞。

特權升級、偵察和(hé)橫向移動策略也因情況而異。在這些(xiē)階段中，已觀察到使用了以下工具：mimikatz，procdump，Cobalt Strike，Advanced IP Scanner，Bloodhound，PowerSploit等。

在這些(xiē)中間(jiān)階段，攻擊者會(huì)試圖識别出受感染網絡中服務器(qì)和(hé)工作(zuò)站(zhàn)上(shàng)存儲的有(yǒu)價值的數(shù)據。然後，他們将洩漏受害者的機密文件，以便在商討(tǎo)贖金的大(dà)小(xiǎo)時(shí)加以利用。

在入侵的最後階段，惡意操作(zuò)員會(huì)将Maze勒索軟件可(kě)執行(xíng)文件安裝到他們可(kě)以訪問的所有(yǒu)計(jì)算(suàn)機上(shàng)。這樣可(kě)以對受害者的寶貴數(shù)據進行(xíng)加密，并最終完成攻擊。

數(shù)據洩漏/混淆

Maze勒索軟件是第一批威脅如果受害者拒絕合作(zuò)就洩露其機密數(shù)據的勒索軟件家(jiā)族之一，實際上(shàng)，這使Maze成為(wèi)一種攻擊趨勢引領者，因為(wèi)這種方法對罪犯來(lái)說是如此有(yǒu)利可(kě)圖，以至于現在它已成為(wèi)包括REvil / Sodinokibi，DoppelPaymer，JSWorm / Nemty / Nefilim，RagnarLocker和(hé)Snatch在內(nèi)的幾個(gè)臭名昭著的勒索軟件的榜樣。

Maze勒索軟件的開(kāi)發者們開(kāi)發了一個(gè)網站(zhàn)，在那(nà)裏他們列出了最近的受害者，并公布了部分或全部文件，這些(xiē)文件是他們在一次網絡入侵後竊取的。

2020年6月，Maze背後的攻擊者與另外兩個(gè)攻擊組織LockBit和(hé)RagnarLocker合作(zuò)，組成了一個(gè)所謂的“cartel組織”，這個(gè)小(xiǎo)組竊取的數(shù)據現在将發布在由Maze運營商維護的博客上(shàng)。

攻擊者不僅僅是通(tōng)過儲存洩露的文件來(lái)吸引行(xíng)業的注意力，顯然他們還(hái)分享了他們的專業知識，Maze現在使用的執行(xíng)技(jì)術(shù)以前隻有(yǒu)RagnarLocker使用過。

簡要技(jì)術(shù)介紹

Maze勒索軟件通(tōng)常是作(zuò)為(wèi)一個(gè)PE二進制(zhì)(EXE或DLL，這取決于具體(tǐ)的場(chǎng)景)，該二進制(zhì)文件以C / C ++開(kāi)發并由自定義保護程序進行(xíng)混淆處理(lǐ)。它采用各種技(jì)巧來(lái)阻止靜态分析，包括動态API函數(shù)導入、使用條件跳(tiào)轉的控制(zhì)流混淆、用JMP dword ptr [esp-4]代替RET，用PUSH + JMP代替CALL，以及其他一些(xiē)技(jì)術(shù)。

為(wèi)了不被動态分析檢測到，Maze木馬程序還(hái)将終止研究人(rén)員通(tōng)常使用的流程，例如procmon，procexp，ida，x32dbg等。

Maze使用的加密方案包括幾個(gè)層次：

為(wèi)了加密受害者文件的內(nèi)容，Maze會(huì)安全地生(shēng)成唯一的密鑰和(hé)随機數(shù)值，以與ChaCha流密碼一起使用;

ChaCha密鑰和(hé)随機數(shù)值由啓動惡意軟件時(shí)生(shēng)成的會(huì)話(huà)公共RSA-2048密鑰加密;

會(huì)話(huà)專用RSA-2048密鑰由木馬主體(tǐ)中硬編碼的主公用RSA-2048密鑰加密。

該方法允許攻擊者在為(wèi)每個(gè)受害者出售解密工具時(shí)保持他們的主私有(yǒu)RSA密鑰的秘密，也确保了一個(gè)受害者購買的解密工具不會(huì)被其他人(rén)使用。

當在一台計(jì)算(suàn)機上(shàng)執行(xíng)時(shí)，Maze勒索軟件還(hái)會(huì)嘗試确定它感染了哪種類型的電(diàn)腦(nǎo)。它嘗試區(qū)分不同類型的系統(“備份服務器(qì)”、“域控制(zhì)器(qì)”、“獨立服務器(qì)”等)。Maze進而利用勒索信中的這些(xiē)信息，進一步恐吓受害者，使他們認為(wèi)攻擊者了解有(yǒu)關受影(yǐng)響網絡的一切。

Maze用來(lái)生(shēng)成贖金票(piào)據的字符串

生(shēng)成贖金票(piào)據的程序片段

緩解措施

勒索軟件技(jì)術(shù)每天都在發展，這意味着避免和(hé)預防感染的應激性方法無濟于事。勒索軟件的最佳防禦方法是主動預防，因為(wèi)一旦加密數(shù)據，恢複數(shù)據通(tōng)常為(wèi)時(shí)已晚。

有(yǒu)許多(duō)建議可(kě)以幫助防止此類攻擊：

保持操作(zuò)系統和(hé)應用程序已更新并保持最新狀态。

對所有(yǒu)員工進行(xíng)網絡安全培訓。

僅将安全技(jì)術(shù)用于公司局域網中的遠程連接。

将終端安全與行(xíng)為(wèi)檢測和(hé)自動文件回滾一起使用，例如Kaspersky Endpoint Security for Business 。

使用最新的威脅情報信息可(kě)以快速檢測到攻擊，并了解有(yǒu)用的對策并防止其擴散。

轉自嘶吼網/lucywang

本文翻譯自：https://securelist.com/maze-ransomware/99137/