檢視高調的 Sodinokibi (REvil)勒索病毒攻擊

在去年有好幾次高調的攻擊事件背後都有Sodinokibi(REvil)的影子。我們在本文裡將會利用遇過的一些案例來描述其攻擊過程。
(2021/3更新:台灣在今年也發生相關攻擊:宏碁傳出疑似遭到勒索軟體REvil攻擊,駭客索討5千萬美元贖金)

Sodinokibi(REvil)勒索病毒 Ransomware (勒索軟體/綁架病毒)最早是在2019年4月被偵測到,並且和已經宣布收手的GandCrab有關聯。從那之後,Sodinokibi (REvil)進行了數次備受矚目的攻擊,一直持續到2020年,讓它成為值得注意的勒索病毒家族之一。我們在這裡會介紹Sodinokibi(REvil)一般的攻擊過程。

延伸閱讀: REvil 等勒索病毒集團與系統駭入集團結盟,專攻大型企業

技術分析

Sodinokibi(REvil)的使用者通常會僱用各種下游組織來進行初始進入。通常會使用熟悉的手法,如帶有魚叉式釣魚(spear phishing)連結或附件檔的垃圾郵件,使用有效帳號進行RDP連線,入侵網站以及漏洞攻擊。也常會使用其他具有針對性攻擊性質的技術。

初始進入


我們看到使用了一些初始進入技術。就跟惡意攻擊活動一樣,我們看到會利用CVE-2019-2725漏洞,同時在一案例中看到利用映射載入技術將Sodinokibi載入PowerShell記憶體,而非直接執行檔案。我們還看過會導致用巨集下載並執行惡意軟體的惡意垃圾郵件。

惡意軟體也會利用CVE-2018-13379CVE-2019-11510還有被竊的有效帳號。讓駭客可以植入並執行其他組件,例如反防毒功能、資料滲出工具以及最終的Sodinokibi本身。

橫向移動和躲避戰術


跟今天許多勒索病毒家族一樣,Sodinokibi(REvil) 會將針對性技術用在攻擊活動中。比方說,我們可以看到它使用RDP和PsExec進行橫向移動(這是種針對性攻擊的跡象),來植入和執行其他組件和勒索病毒本身。

我們還觀察到它會用PC Hunter和Process Hacker來終止服務或程序,尤其是防毒軟體相關的服務和程序。

一旦系統受到感染,Sodinokibi(REvil)就會對命令和控制(C&C)伺服器發送報告和系統資訊。它會用固定格式來產生隨機網址,並加進設定檔內的網域列表。

資安建議


眾所周知 Sodinokibi (REvil)將目標放在知名實體,並且會使用明顯的躲避偵測手法。因此,企業應該小心注意其使用的技術。而現在,這裡有一些防止這類勒索病毒攻擊的最佳作法:

  • 避免開啟未經驗證郵件或點入其連結,因為這可能會啟動勒索病毒的安裝程序。
  • 遵守3-2-1原則來備份重要檔案:用兩種不同格式來製作三份備份,其中一份單獨存放在別處。
  • 定期更新軟體和應用程式,確保你的應用程式在最新狀態,並且可以對新漏洞做好保護。

如果你認為自己的組織已經遭受此活動影響,請連上此網頁來取得可用的趨勢科技解決方案,這些解決方案能夠幫你偵測和解決此惡意活動所帶來的風險。

入侵指標(IoC)

SHA256偵測名稱
04ae146176632509ab5239d0ec8f2447d7223090Ransom.Win32.SODINOKIBI.MRA
10682d08a18715a79ee23b58fdb6ee44c4e28c61Ransom.Win32.SODINOKIB.SMTH    
169abe89f4eab84275c88890460a655d647e5966Ransom.Win32.SODINOKIB.SMTH  
20d90f04dcc07e1faa09aa1550f343c9472f7ec6Ransom.Win32.SODINOKIB.SMTH    
2a75db73888c77e48b77b72d3efb33ab53ccb754Ransom.Win32.SODINOKIBI.AUWUJDES
58d835c3d204d012ee5a4e3c05a06e60b4 316d0eRansom.Win32.SODINOKIB.SMTH    
Ce0c8814d7630f8636ffd73f8408a36dc0e1ca4dRansom.Win32.SODINOKIB.SMTH

原文出處:Examining a Sodinokibi Attack 作者:趨勢科技研究部

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用 ,
FB IG Youtube LINE 官網