勒索软件格局的演变已经从涉及 Windows 有效负载的传统方法转变为针对其他平台(尤其是 Linux)的方法。在这种转变中,勒索软件运营商正在缩短不同有效负载发布之间的时间间隔,并在不同平台上实现功能对等。
勒索软件运营商战略性地利用Conti、Babuk或Lockbit等知名勒索软件系列的代码,重用和修改代码库来创建新颖的攻击技术。随着越来越多的此类案例曝光,安全团队在防御中保持警惕和适应性至关重要。
在这篇文章中,我们重点介绍了几个最近的勒索软件系列,这些勒索软件系列在启动操作后不久就释放了针对 Linux/ESXi 的有效负载。了解这些有效负载的功能是衡量未来风险的重要一步,也是安全团队相应准备防御的关键。
Linux 勒索软件威胁的兴起
回顾四五年,著名的勒索软件运营商的主要关注点是运行 Windows 的设备。非 Windows 版本的有效负载需要额外的技能和时间来开发和发布。现在的情况并非如此,Rust 和 Go 等语言为急切的恶意软件开发人员提供了快速的多平台移植。
我们今天看到的威胁形势包括勒索软件运营商同时为多个平台释放有效负载。通过这种方法,通常的针对 Windows 的有效负载与针对 Linux 和/或 ESXi 的有效负载之间不再存在明显的时间差距。此外,现在跨平台的有效负载表现出相同的功能已成为标准。这些以 Linux 和 ESXi 为中心的Locker一开始就包含 Windows Locker的所有必需功能。
现代勒索软件运营商也越来越多地重用构建器和代码(有时会泄露)或修改代码库以满足他们的需求,同时将主要代码保留为模型。安全研究人员指出,这些产品的主要家族是Conti、Babuk和LockBit。这些变体能够针对 Linux 和 VMWare ESXi 环境,目的是加密 ESXi 服务器上托管的虚拟机 (VM),这些虚拟机通常对业务运营和服务至关重要。
通常,攻击者会利用 ESXi 中的漏洞、弱凭据或其他安全漏洞来访问虚拟化环境。有效定位和加密虚拟机的能力对勒索软件运营商极具吸引力。使用正确且强大的有效负载,可以在几分钟内对完全虚拟化的基础设施进行加密和破解。
MONTI Locker
MONTI Locker 的历史可以追溯到 2022 年中期,针对 VMware ESXi 服务器发起多次攻击。
最新版本的 MONTI ESXI 勒索软件支持各种命令行参数,其中许多是从Conti继承的,MONTI Locker 借用了 Conti 的代码。然而,MONTI Locker 背后的运营商最近已经显示出朝着更加定制化方向发展的迹象。
研究人员最近记录了一个样本,该样本似乎摆脱了旧的基于 Conti 的加密器以及一些命令行参数。这些较新的示例已删除--size,--log和--vmlist参数。
MONTI Locker 的可用命令行参数包括:
2023 年 8 月 MONTI Locker 帮助屏幕
另外值得注意的是 MONTI Locker 能够更新受影响服务器上的 MOTD 文件(每日消息)。/etc/motd例如,此文件 ( ) 控制用户登录 vCenter 时看到的内容。感染后,使用 MONTI Locker 加密的服务器将显示配置的勒索信息。
MONTI Locker 中的MOTD 和Index.html参考
MONTI Locker 的总体攻击量低于本文中的一些其他威胁。他们的目标非常有选择性,并且在感染活动的整体生命周期方面,他们善于打持久战。正如我们将在 Akira 中指出的那样,看看 MONTI Locker 如何在 Conti 之外发展以及这些变化将多快实现,将会很有趣。
Akira 勒索软件
Akira 勒索软件家族的 Linux 变体自 2023 年 6 月以来就已被观察到,但更广泛的操作可追溯到 4 月份。Akira 勒索软件的初始传播是通过利用易受攻击的公开可用的服务和应用程序来实现的。众所周知,该组织还针对多因素身份验证的弱点(或缺乏)。Akira 攻击者在受害者研究方面一视同仁。截至撰写本文时,他们的目标是教育机构以及金融、制造、房地产和医疗行业的机构。
传统上,Akira 勒索软件有效负载是从Conti借用的。Akira 勒索软件的 Linux 版本使用 Crypto++ 库来处理设备上的加密。Akira 提供了一个简短的命令集,其中不包含在加密之前关闭虚拟机的任何选项。然而,它们确实允许攻击者对加密速度以及受害者通过参数进行实际恢复的可能性进行一定的控制-n。该值越大,文件被加密的部分就越多,这意味着速度越慢,受害者在没有适当解密工具的情况下恢复的可能性也就越低。
Akira 的可用命令行参数包括:
Akira 的最小输出与 EP 和 Path 参数
Akira 命令行参数
Akira 因其复古风格的品牌和主题而闻名。运营商过去曾与 Conti 进行过互动,而 Conti 的源代码则遍布 Akira 的整个源代码。监视和观察它们的非 Windows 有效负载如何随着时间的推移而演变,以及它们是否会偏离 Conti 基础以及偏离程度会很有趣。
Trigona Linux Locker
Trigona 是一个勒索软件家族,于 2022 年 6 月首次发现。Trigona 是一个多重勒索组织,拥有受害者的公共博客及其被盗数据。他们的恶意软件有效负载已在 Windows 和 Linux 上观察到。
在这里讨论的所有系列中,Trigona 的原始 Windows 有效负载版本与勒索软件的 Linux 版本之间的差距最长。尽管 Trigona 的 Windows 和 Linux 有效负载版本之间差距最大,但它们绝不落后于其他勒索软件系列。
Trigona 以 Linux 为中心的有效负载精简而高效,它们包括本文讨论的系列中最强大的日志记录和测试输出选项。该组织的活动和要求非常积极,我们将继续监控该组织针对这些平台和其他潜在平台更新工具的情况。
Trigona选项/erase在 Windows 和 Linux 版本上均可用。这个选项经常被忽视,但也许不应该被忽视。安全团队应该意识到,此选项允许勒索软件充当某种擦除器。
对于 Trigona 有效负载,该/erase选项将完全删除该文件,使其基本上不可恢复。此行为在某种程度上可通过选项的组合使用进行定制/full。如果没有后者,则只有给定文件的前 512KB 会被 NULL 字节覆盖。与该/full参数结合使用时,文件的全部内容将被覆盖。受影响的文件将被赋予._erased扩展名,而不是通常的._locked扩展名。
Trigona 的可用命令行参数包括:
Trigona 使用基本/path参数启动
Trigona 的最终日志
Trigona 命令行参数
Abyss Locker
Abyss Locker 勒索软件操作于 2023 年 3 月出现,积极针对 VMware ESXi 环境。Abyss Locker 有效负载的初始交付通过各种方式进行,包括网络钓鱼电子邮件或利用易受攻击的公开可用服务和应用程序。
适用于 Linux 的 Abyss Locker 有效负载源自 Babuk 代码库,并且功能非常相似。此外,Abyss 中的加密功能基于 HelloKitty 勒索软件中的加密功能。目前尚不清楚Abyss Locker、HelloKitty和Vice Society之间如何正式合作。Abyss Locker 包含特定于esxcli用于管理虚拟设备的命令行工具的调用。
Abyss Locker 中的 VMware ESXi 命令
Abyss Locker 使用esxcli命令行工具,并允许多种虚拟机和进程终止模式。
esxcli vm process list
esxcli vm process kill -t=force -w=%d
esxcli vm process kill -t=hard -w=%d
esxcli vm process kill -t=soft -w=%d这些命令会影响目标虚拟机关闭的“优雅”程度。根据 VMware 的文档,该soft选项通常是最需要的。该hard选项执行立即关闭(假设有特权),而该force选项只能用作最后的手段。如果需要的话,Abyss 将利用所有这些。
Abyss Locker 的可用命令行参数包括:
-v创建一个详细的“work.log”文件,显示所选的加密模式以及遇到的每个文件的加密时间基准。
Abyss Locker 的 work.log 文件
Abyss Locker 命令选项
就设备整体加密速度而言,Abyss Locker 的有效负载快速高效。随着这个组织继续调整他们的有效负载,我们预计会看到更多的他们出现在定制品牌的、副社会风格的活动中。
结论
在这篇文章中,我们研究了几个著名的 Linux 和 VMWare ESXi 勒索软件系列,深入研究了特定有效负载的用法和命令行语法。通过尽可能突出可理解的谱系并关注可用的参数,安全团队可以“亲自动手、观察和感受”有效负载,从而增强其威胁检测能力。使用 Windows 有效负载的攻击与针对其他平台的攻击的差异标志着勒索软件格局的持续发展。随着威胁行为者不断迭代其逃避检测的策略,安全领导者保持领先于这些趋势至关重要。
Linux 勒索软件文件示例
MONTI Locker
a0c9dd3f3e3d0e2cd5d1da06b3aac019cdbc74ef
f1c0054bc76e8753d4331a881cdf9156dd8b812a
Akira
9180ea8ba0cdfe0a769089977ed8396a68761b40Trigona
0144800f67ef22f25f710d181954869f1d11d471
55f47e767dd5fdd1a54a0b777b00ffb473acd329
62e4537a0a56de7d4020829d6463aa0b28843022Abyss Locker
40ceb71d12954a5e986737831b70ac669e8b439e转载来源:https://www.sentinelone.com/blog/from-conti-to-akira-decoding-the-latest-linux-esxi-ransomware-families/
图片来源网络侵权可联系删除
