样本概述
我们的蜜罐系统于2024年6月捕获了一个新型勒索软件变种样本。经过逆向分析,该变种属于某知名RaaS(勒索软件即服务)平台的最新迭代版本,在加密算法、反分析技术与勒索策略方面均有显著升级。该变种已在全球范围内攻陷多家医疗机构与教育机构,造成严重的业务中断。
技术分析
加密方案
该变种采用混合加密方案:使用AES-256-GCM算法加密文件内容(每个文件使用独立的随机密钥),然后使用RSA-4096公钥加密AES密钥。RSA私钥由攻击者的C2服务器保管,确保在没有支付赎金获取私钥的情况下无法解密文件。相比前代版本,新增了对大文件的分块加密优化,加密速度提升约40%。
反分析技术
该变种集成了多种反分析与反沙箱技术:检测虚拟机环境(VMware、VirtualBox、Hyper-V)、检测调试器附加(IsDebuggerPresent、NtQueryInformationProcess)、检测沙箱特征(进程数量、系统运行时间、鼠标移动)、以及代码混淆与字符串加密。只有在确认运行环境为真实物理机后才会执行加密操作。
三重勒索策略
该变种实施三重勒索策略:1)加密受害者文件并索要解密赎金;2)在加密前窃取敏感数据,威胁在暗网泄露站点公开;3)对受害者的客户或合作伙伴发送通知,施加额外压力。这种策略使得即使受害者拥有完整备份,仍面临数据泄露的威胁。
传播方式
该变种主要通过以下渠道传播:利用暴露在互联网上的RDP服务(弱密码或已知漏洞)、通过钓鱼邮件中的恶意宏文档投递、以及购买初始访问经纪人(IAB)出售的企业内网权限。部署前通常会先禁用安全软件、删除卷影副本(Volume Shadow Copy)并清除事件日志。
检测与防御
- YARA规则:基于样本特征编写的检测规则已发布
- 网络指标:C2通信使用特定的TLS指纹与JA3哈希
- 行为特征:批量文件重命名、vssadmin删除操作、bcdedit修改
- 防御建议:实施3-2-1备份策略、部署EDR、限制RDP暴露面