研究人员发现勒索软件Snatch可使Windows重新启动到安全模式来绕过安全保护。
10月中旬,研究人员发现名为Snatch的勒索软件将自身设置为一个服务,并在安全模式引导期间运行。它可以快速地将计算机重新启动到安全模式,并在大多数软件(包括安全软件)不运行的安全模式环境中加密受害者的硬盘驱动器。
点击图片查看原图
Snatch勒索软件自2018年夏天以来一直很活跃,该恶意软件的安全模式启动是一个新增加的功能。恶意软件包括一个勒索软件组件和一个单独的数据窃取器,这两个工具显然都是由网络罪犯开发的,此外还有几个公开的工具,这些工具本身并不是恶意的,通常被渗透测试人员、系统管理员或技术人员使用。Snatch勒索软件不支持多平台,该软件可以运行在最常见的Windows版本上,从7到10,32位和64位版本。发现的样本是使用开源打包程序UPX打包,进行了内容混淆。
Snatch工作方式
恶意软件采用主动自动攻击模式,他们通过对易存在漏洞的服务进行自动暴力攻击来渗透企业网络,并在目标组织的网络内部进行传播。恶意软件在勒索的同时能够一直从目标组织窃取大量信息。
Snatch小组成员曾经在线进行技术讨论与寻找合作伙伴,并免费培训其他人使用恶意软件,允许潜在伙伴使用其基础设施,提供运行Metasploit的服务器。
Snatch行为分析
在其中一起针对一家大型国际公司的攻击事件中,MTR设法从目标公司获得勒索软件无法加密的详细日志。攻击者最初通过强行将密码强制输入到Microsoft Azure服务器上的管理员帐户来访问公司的内部网络,并能够使用远程桌面(RDP)登录到服务器。
攻击者使用Azure服务器作为渗透立足点,利用该管理员帐户登录到同一网络上的域控DC,然后在数周内对目标网络执行监视任务。查询有权登录的用户列表,并将结果写入文件。此外还将WMIC系统用户数据、进程列表,Windows LSASS服务的内存内容存储到文件中,然后上传到c2服务器。