欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Shade勒索软件“开疆扩土”,将目标转移俄罗斯之外

来源:本站整理 作者:佚名 时间:2019-05-28 TAG: 我要投稿

Shade勒索软件(又名为Troldesh)是一款历史悠久的勒索软件,于2014年底首次出现,攻击目标主要是针对Microsoft Windows系统的主机,利用恶意垃圾邮件(malspam)和漏洞利用工具包进行传播。最近一篇关于Shade的研究报告中指出,Shade背后的攻击者的侧重于俄语目标,因为载体往往是俄语电子邮件,但实际上Shade也有非常多的通过英语垃圾邮件进行传播的迹象。
我们回顾了Shade勒索软件的最近的攻击趋势,结果表明,Shade勒索软件的影响群体中,欧美国家占比非常高。事实上,受Shade勒索软件影响的前五个国家不是俄罗斯或前苏联国家,它们分别是是美国、日本、印度、泰国和加拿大,俄罗斯只排在第七,另外一个在前十名中找到的俄语国家是哈萨克斯坦(排名第十)。这些国家受到攻击的顶级行业分别是高科技、批发和教育。
自2016年以来变化很小
Shade勒索软件可执行文件(EXE)非常一致。我们自2016年以来分析的所有EXE样本都使用cryptsen7f043rr6.onion中的相同Tor地址作为解密器页面,感染期间出现的桌面背景也是相同的。
Shade感染是什么样的?
当Windows主机被Shade勒索软件感染时,桌面背景会通知用户已遭到感染,并且会显示10个文本文件,从README1.txt到README10.txt,如图1所示。

图1:感染了Shade勒索软件的Windows主机的桌面
十个README文件都包含相同的指令,如图2所示。

图2:最近Shade勒索软件感染后的勒索说明
自2016年6月起,所有加密文件的文件扩展名都为.crypted000007,如图3所示。

图3:Shade勒索软件感染的加密文件示例
通过垃圾邮件传播
基于恶意邮件的Shade Ransomware感染涉及一个JavaScript(.js)或其他基于脚本的文件,伪装成发票或账单。在某些情况下邮件内容中懈怠了上述文件的链接,还有一些情况是将脚本文件作为zip附件附加到电子邮件中。在2019年2月的俄语垃圾邮件行动中,附件的PDF文件中包含了下载这些文件链接。
在我们审查的所有情况中,都涉及.js或其他基于脚本的文件,如图4所示。这些基于脚本的文件指在检索Shade勒索软件的可执行文件。

图4:基于垃圾邮件Shade感染的流程图
感染链中的可执行文件传递
基于垃圾邮件的Shade感染链有一个共同点,就是从受感染的服务器检索可执行文件。通过关注这个事件链中的可执行文件,我们可以确定Shade感染尝试的位置。
AutoFocus搜索参数
AutoFocus有一个Shade勒索软件标签,可识别与Shade相关的任何项目。我们搜索了在感染链中交付Shade的可执行文件,将搜索重点放在通过TCP端口80发送的打包可执行(PE)文件上。通过这些国家的Palo Alto Networks设备来确定Shade勒索软件发生的地理位置,时间区间为2019年第一季度。
最后我们在AutoFocus数据库中搜索的参数是:
· 日期在1月1日至3月31日之间
· Unit 42标签 – Shade勒索软件
· 文件类型是PE
· 文件URL有任何值,但不是未知的
· 源端口(文件来自的TCP端口)为80
· 设备国家/地区具有任何值(不是空白或未标识)
· 文件URL不包含字符串/malware/
· 文件URL不包含字符串malshare.com
· 文件URL不包含字符串paloaltonetworks
· 文件URL不包含字符串local

图5.:2019年第一季度Shade勒索软件可执行文件的AutoFocus查询
我们从2019年1月至3月的搜索结果显示,有307个Shade勒索软件样本,感染会话共计超过6,536次。每个会话表示托管Shade Ransomware可执行文件的URL的HTTP请求,许多URL在不同的会话中多次出现。发生次数最多的前十大国家的分别是:
· 美国 –  2,010届会议
· 日本 –  1,677届会议
· 印度 –  989届会议
· 泰国 –  723届会议
· 加拿大 –  712届会议
· 西班牙 –  505届会议
· 俄罗斯联邦 –  86届会议
· 法国 –  71届会议
· 英国 –  67届会议
· 哈萨克斯坦 –  21届会议

图6:我们自动对焦搜索结果显示在世界地图的前十大国家/地区
在我们的客户群中,Shade感染会话发生最多的国家是美国,而托管Shade可执行文件的URL中的绝大多数都来自俄罗斯或俄语国家以外的客户设备。
这一时期的感染前10名垂直行业是:
· 高科技:5,009次会议
· 批发和零售:72期
· 教育:720期
· 电信:311届会议
· 财务:51届会议
· 运输和物流:24次会议
· 制造业:32期
· 专业和法律服务:8次会议
· 公用事业和能源:4次会议
· 州和地方政府:1届会议
结论
可以看出,Shade勒索软件攻击最频繁的目标是高科技类别的组织机构。虽然由于我们的客户群体的缘故,但是得出来的结论可能会倾向于英语国家,不过我们也可以发现,Shade勒索软件在俄罗斯以外的国家也非常活跃,针对的目标更多的是会说英语的受害者而不是俄国人。
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载