文章来源:https://securityaffairs.co
原文链接:https://securityaffairs.co/wordpress/108420/malware/maze-ransomware-vm.html
Maze勒索软件操作员现在使用虚拟机对计算机进行加密,这是Ragnar Locker恶意软件先前采用的一种策略。
Maze勒索软件运营商采用了一种新策略来逃避检测,他们的恶意软件现在从虚拟机内部对计算机进行加密。这种技术最初是在5月由Ragnar Locker团伙采用的,当时Ragnar Locker部署Windows XP虚拟机来加密受害者的文件,同时绕过安全措施。
该恶意软件利用VirtualBox功能,该功能允许主机操作系统共享文件夹和驱动器,作为虚拟机内部的网络共享。虚拟机将从\\ VBOXSVR虚拟计算机将共享路径作为网络驱动器安装,以访问其内容。
然后,虚拟机在虚拟机中运行勒索软件以加密共享文件。
由于在受害者主机上运行的安全软件将不会检测到勒索软件可执行文件或虚拟机上的活动,因此它将很高兴地继续运行,而不会检测到受害者的文件现在已被加密。
据Sophos的研究人员称,现在,迷宫勒索软件运营商正在使用相同的技术,从而阻止了他们的某些攻击。
“在7月对一次攻击进行一次调查时,攻击者反复尝试使用Maze勒索软件感染计算机,而Sophos的Managed Threat Response(MTR)的分析人员发现,攻击者之前采用了由Ragnar Locker背后的威胁参与者开创的技术今年,勒索软件有效负载分发到了虚拟机(VM)中。”阅读Sophos发布的分析。
在Sophos端点阻止的两次尝试中,Maze操作员尝试使用名为“ Windows Update Security”或“ Windows Update Security Patches”或“ Google Chrome Security Update”的计划任务启动各种勒索软件可执行文件。
在Sophos阻止的第三次攻击中,Maze勒索软件操作员部署了一个MSI文件,该文件将VirtualBox VM软件以及自定义的Windows 7虚拟机安装在服务器上。
执行虚拟机后,将执行一个名为startup_vrun.bat批处理文件的批处理文件,该批处理文件会将Maze可执行文件删除到计算机中。
startup_vrun.bat文件位于
c:\users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Startup中,以实现持久性。
“该虚拟磁盘的根目录包含与Maze勒索软件关联的三个文件:preload.bat,vrun.exe,以及一个仅称为有效负载(不带文件扩展名)的文件,它是实际的Maze DLL有效负载。”继续分析。
“该脚本会将在VM磁盘根目录上找到的相同的三个文件(vrun.exe和有效负载DLL二进制文件以及preload.bat批处理脚本)复制到其他磁盘,然后发出命令立即关闭计算机。当有人再次打开计算机电源时,该脚本将执行vrun.exe。”
然后关闭计算机,重新启动计算机后,将启动vrun.exe来加密主机文件。
专家指出,此攻击中使用的磁盘大小大于以前的Ragnar Locker攻击中观察到的磁盘大小。
Ragnar Locker攻击使用的VM包含大小仅为404 MB的Windows XP映像。由于Maze使用Windows 7映像,因此使用的文件大小为2.6 GB。
“事实证明,迷宫威胁行为者善于采用其他勒索软件帮派证明成功的技术,包括使用勒索手段从受害者那里获得付款。” 总结报告。“随着端点保护产品提高了抵御勒索软件的能力,攻击者被迫付出更大的努力来绕过这些保护措施。”
转载侵删