勒索病毒 Mimic 利用 Everything API 來執行加密流程

趨勢科技研究員最近發現了一個新的勒索病毒會利用一個名為「Everything」的合法工具當中的 API,這是一個由 Voidtools 所開發的 Windows 檔名搜尋引擎,可快速搜尋並即時更新,且資源用量很低。

趨勢科技研究員最近發現了一個新的勒索病毒會利用一個名為「Everything」的合法工具當中的 API,這是一個由 Voidtools 所開發的 Windows 檔名搜尋引擎,可快速搜尋並即時更新,且資源用量很低。這個勒索病毒 (我們根據其執行檔內的某個字串將它命名為「Mimic」) 最早是在 2022 年 6 月在網路上被發現,專門攻擊使用俄羅斯文與英文的使用者。它擁有許多功能,例如:刪除系統還原點 (shadow copy)、終止各種應用程式和服務、利用 Everything32.dll 函式來查詢它準備加密的目標檔案。 

本文將詳細探討 Mimic 勒索病毒的元件和功能,以及它與 2022 年初外洩的 Conti 勒索病毒產生器之間的關聯。

入侵形態與元件


Mimic 是以執行檔的形態進入系統,該執行檔會在系統植入多個二進位檔案,以及一個密碼保護的壓縮檔 (假冒成 Everything64.dll),該檔案解壓縮後就會出現勒索病毒的惡意檔案。此外也包含一些用來關閉 Windows Defender 的工具,以及合法的 sdel 二進位檔。 


圖 1:Mimic 勒索病毒元件。

檔案名稱說明
7za.exe合法的 7zip 檔案,用來解壓縮惡意檔案。
Everything.exe合法的 Everything 應用程式。
Everything32.dll合法的 Everything 應用程式。
Everything64.dll密碼保護的壓縮檔,內含惡意檔案。
表 1:Mimic 勒索病毒的詳細元件。

當該病毒執行時,首先它會將其元件植入「%Temp%/7zipSfx」資料夾。接著,使用它植入的 7za.exe 來解開密碼保護的 Everything64.dll 檔案到同一個目錄下,指令如下:

%Temp%\7ZipSfx.000\7za.exe” x -y -p20475326413135730160 Everything64.dll


圖 2:Mimic 勒索病毒植入系統的元件。

此外,它還會將連線階段金鑰檔「session.tmp」寫入同一目錄,萬一它在加密過程中被打斷,就能使用這個檔案來繼續執行加密。


圖 3:「session.tmp」的內容。

接著,它會將植入的檔案複製到「%LocalAppData%\{Random GUID}\」,然後勒索病毒會被重新命名為「bestplacetolive.exe」,並且將「%Temp%」目錄中的原始檔案刪除。

根據我們的分析,Mimic 還可支援其他指令列參數,如表 2 所示。

指令列選項可接受的數值說明
-dir 要加密的檔案路徑要加密的目錄。 
-eall

local

net

watch

ul1

ul2
 
全部加密 (預設)。

加密本機檔案。

加密網路共用資料夾中的檔案。

ul:unlocker 
建立一個具備跨處理程序通訊 (IPC) 功能的執行緒並試圖
解鎖另一個處理程序的某些記憶體位址。 
 
-prot 保護勒索病毒不被終止。
-pid<整數>先前執行的勒索病毒處理程序識別碼 (PID)。
表 2:Mimic 勒索病毒可接受的參數。

Mimic 勒索病毒分析


Mimic 勒索病毒會利用 CreateThread 函式來建立多個執行緒以加快加密流程,並且讓資安研究人員的分析工作更具挑戰性。

當它執行時,它首先會利用 RegisterHotKey API 註冊一組快捷鍵 (Ctrl + F1),按下這組快捷鍵會顯示勒索病毒的執行狀態記錄檔。


圖 4:負責註冊快捷鍵的函式。


圖 5:按下「Ctrl +F1」所顯示的記錄檔範例。

勒索病毒的設定是存在於它的 Overlay 記憶體中並且使用 NOT 運算元來解密。


圖 6:用來解開設定的函式。


圖 7:解密後的設定。

以下圖 8 詳細顯示其設定中的項目和數值。


圖 8:Mimic 勒索病毒的設定細節。

Mimic 勒索病毒具備了多種能力,包括:

  • 蒐集系統資訊。
  • 透過 RUN 機碼常駐系統。
  • 略過使用者帳戶控制 (UAC) 機制。
  • 停用 Windows Defender。
  • 停用 Windows 監測功能。
  • 啟用防關閉措施。
  • 啟用防終止措施。
  • 卸載虛擬磁碟。
  • 終止處理程序和服務。
  • 停用系統的睡眠模式與關機功能。
  • 移除指標。
  • 防止系統還原。
     

在加密過程當中使用 Everything32 API


Mimic 使用「 Everything32.dll」這個合法的 Windows 檔案名稱搜尋引擎來即時搜尋檔案。它會利用這個工具來查詢某些副檔名與檔名,利用 Everything 的 API 來取得檔案的路徑以便加密。


圖 9:使用 Everything API 的函式。

它使用 Everything_SetSearchW 函式來搜尋要加密或避開的檔案,搜尋格式如下:

file:<ext:{list of extension}>file:<!endwith:{list of files/directory to avoid}>wholefilename<!{list of files to avoid}>

有關 Mimic 會搜尋或避開哪些檔案的詳細資訊,請參閱此處


圖 10:Mimic 勒索病毒呼叫 Everything_SetSearchW API。

接著它會將「.QUIETPLACE」副檔名附在被加密的檔案名稱後端,最後,它會顯示勒索訊息。



圖 11:遭到 Mimic 勒索病毒加密的檔案。


圖 12:Mimic 的勒索訊息。

Conti 勒索病毒產生器外流的程式碼


根據我們的分析,該病毒有某些程式碼似乎是以 2022 年 3 月外洩的 Conti 勒索病毒產生器為基礎。例如,在 Mimic 和 Conti 的加密模式當中,有些模式的數值是一樣的。 


圖 13:Mimic (上) 與外洩的 Conti 產生器 (下) 相似之處。

參數「 net」相關的程式碼也是以 Conti 為基礎。它會使用 GetIpNetTable 函式來讀取 Address Resolution Protocol (ARP) 快取,並檢查 IP 位址是否含有「172.」、「192.168」、「10.」或「169.」等字樣。Mimic 還增加了一個過濾規則來排除含有「169.254」字樣的 IP 位址,因為這是 Automatic Private IP Addressing (APIPA) 的 IP 位址。


Figure 13. Comparison of the Mimic (top) and the leaked Conti builder (bottom) “net” argument

Figure 14. Comparison of the Mimic (top) and the leaked Conti builder (bottom) “net” argument
圖 14:Mimic (上) 與外流的 Conti 產生器 (下) 的「net」參數程式碼比較。

此外,Mimic 在搜尋 Windows 網路共用資料夾時也使用到 Conti 的程式碼,它使用 NetShareEnum 函式來尋找所有其蒐集到的 IP 位址上的共用資料夾。 


Figure 14. Comparison of the Mimic (top) and the leaked Conti (bottom) Share Enumeration function
Figure 15. Comparison of the Mimic (top) and the leaked Conti (bottom) Share Enumeration function
圖 15:Mimic (上) 與外洩的 Conti (下) 的共用資料夾搜尋函式比較。

最後,Mimic 的連接埠掃描函式也是參考 Conti 產生器。


Figure 15. Comparison of the Mimic (top) and leaked Conti builder (bottom) port scanning function

Figure 16. Comparison of the Mimic (top) and leaked Conti builder (bottom) port scanning function
圖 16:Mimic (上) 與外洩的 Conti 產生器 (下) 連接埠掃描函式比較。

有關 Mimic 勒索病毒行為的更多詳細資訊,請參閱這份報告

結論


具備多種能力的 Mimic 勒索病毒似乎是採用了一種新的作法來加快動作,它在加密過程當中運用了多重執行緒,並使用 Everything 的 API,如此可降低資源的用量,執行起來更有效率。此外,Mimic 背後的駭客似乎擁有豐富的資源與不錯的技術能力,他們擷取了一個外洩的勒索病毒產生器中的多項功能,然後加以改良來提高攻擊成效。

要保護系統免於勒索病毒攻擊,我們建議不論是一般使用者或企業都應該養成良好資安習慣並採取最佳實務原則,例如透過資料防護、備份及復原措施來保護可能被加密或清除的資料。定期執行漏洞評估並隨時修補系統,如此可降低那些專門攻擊漏洞的勒索病毒所帶來的損害。

一套多層式的方法有助於企業防範各種駭客可能入侵其系統的途徑,如:端點、電子郵件、網站以及網路。此外,還可利用適當的資安解決方案來偵測惡意元件與可疑行為來保護企業。

入侵指標資料


如需本文當中提到的入侵指標,請參閱 此處

 原文出處:New Mimic Ransomware Abuses Everything APIs for its Encryption Process

✅防毒防詐✅守護帳密✅VPN安心串流✅阻絕惡意✅安心蝦拚
PC-cillin 讓你的『指指點點』可以開心又安心點!

【一下指就掉入詐騙陷阱?PC-cillin讓你安心點 】PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
FB IG Youtube LINE 官網

挑選 XDR 廠商時,該詢問的七個問題

趨勢科技在一份全球調查中發現 50% 的資安團隊表示他們因零散不連貫的單一面向產品與 SIEM 系統所產生的大量警示通知而疲於奔命。看看 XDR 如何減少誤判並改善威脅偵測及回應。

警示通知過多所造成的壓力,是許多資安團隊的一項挑戰。根據趨勢科技一項針對 IT 資安與資安營運中心 (SOC) 決策者的全球調查指出,超過 50% 的受訪者表示他們的團隊因大量的警示通知而疲於奔命。另有 55% 坦承自己沒有十足的把握能判斷警示通知的優先次序並採取回應。

問題的核心來自於威脅偵測及回應解決方案零散不連貫且缺乏效率。許多資安人員會採用一套 SIEM 來將分散於各資安工具的記錄檔與警示通知蒐集在一起。這會產生兩個問題:第一,網路攻擊很少只透過一、兩種途徑;第二,SIEM (Security Information and Event Management 資安事件管理)很會蒐集資料,但卻不會交叉關聯分析。不完整的可視性與情境資訊的缺乏,很容易因誤判而造成雜訊,進而拖慢調查工作的進度。此時,延伸式偵測及回應 (XDR) 就能派上用。

繼續閱讀

《資安新聞周報》以ChatGPT強化的Bing遭使用者誘騙,洩露工程代號及機密/零信任資安要落實,連員工 IG 也要管/ TikTok 偷車教學短片,逼得現代汽車緊急更新 800 萬輛車  

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

資安新聞精選

國科會今年投347億推8大前瞻科研平臺,還要發展臺灣版ChatGPT iThome

以ChatGPT強化的Bing遭使用者誘騙,洩露工程代號及機密          iThome

生成式AI恐引發深假危機 KPMG教戰三招自保       工商時報電子報

義大利禁聊天機器人 Replika,歐盟料祭更嚴 AI 規範     中央通訊社

《科技》雲端大老釋5大IT趨勢 今年AI發展具里程碑 中時新聞網

從華航到iRent都被「駭」 資安危機事件一演再演…… 40天四起個資外洩 中小企業資安拉警報    今周刊

台積電首度自辦校園黑客松,要從大二開始培養新一代半導體IT人才,更預告每月舉辦技術Meetup分享會  iThome

眺望2023年:值得關注的科技產業大勢  EDN Taiwan

駭客入侵智慧家電 家裡看光光    世界新聞網

Windows 曝3個零日漏洞遭駭積極開採!微軟釋出最新安全更新緊急修補     自由時報電子報

TikTok 偷車教學短片,逼得現代汽車緊急更新 800 萬輛車     科技新報網

Passkey 登入免密碼將取代傳統方式,可抵擋網路釣魚威脅   科技新報網

臺灣金融資安必須升級2大理由:全球資安新威脅          iThome

零信任資安要落實,連員工 IG 也要管!4 招抵禦企業最常忽略的「社交工程攻擊」          科技報橘網

【資安日報】2023年2月15日,微軟發布2月份例行修補、俄羅斯駭客Killnet阻礙北約組織救援土耳其地震    iThome

微軟傳裁撤工業元宇宙部門          iThome

Panasonic Automotive Systems 展示次世代汽車座艙系統虛擬 汽車日報

防止勒索病毒攻擊關鍵基礎設施 資安平台全面確保OT資安       新電子雜誌

繼續閱讀

不只一年內攻擊33個教育機構,新興勒索病毒集團Vice Society,也攻擊製造業

Vice Society勒索病毒集團在 2022 年尾及 2023 年初登上媒體版面 ,針對多個目標發動了一連串攻擊,甚至影響了美國舊金山市的捷運系統。大多數的報導都表示該集團主要攻擊教育醫療產業。不過,根據趨勢科技的監測資料顯示,該集團也會攻擊製造業,這意味著他們有能力、也有企圖滲透各種不同產業。 本文探討趨勢科技對 Vice Society 的研究發現,包括我們從趨勢科技內部監測資料所描繪出來的完整感染過程。


Vice Society勒索病毒集團在 2022 年尾及 2023 年初登上媒體版面 ,針對多個目標發動了一連串攻擊,甚至影響了美國舊金山市的捷運系統。大多數的報導都表示該集團主要攻擊教育醫療產業。2022 年Vice Society 勒索病毒集團攻擊了33 個教育機構,根據The Hacker News報導,其猖狂程度超過了 LockBit、BlackCat、BianLian 和 Hive 等其他惡名昭彰的勒索病毒集團。不過,根據趨勢科技的監測資料顯示,我們有證據證明該集團也會攻擊製造業,這意味著他們有能力、也有企圖滲透各種不同產業,最有可能的是他們從黑暗網路(Dark Web,簡稱暗網)地下市集購買了已遭外洩的登入憑證。我們在巴西 (主要是製造業)、阿根廷、瑞士及以色列都有偵測到 Vice Society 的蹤影。 

繼續閱讀

IDPS、IDS、IPS… 差別在哪裡?挑選入侵偵測及防護系統廠商時,該問的9 個問題

IDPS、IDS、IPS… 它們的差別在哪裡?探討入侵偵測及防護系統之間的關鍵差異,以及 9 個您在挑選廠商時該詢問的技術與非技術問題。

一眨眼,世界似乎又冒出了一個新的嚴重漏洞。也許企業已經習慣緊盯著那些最新、最受矚目的威脅,但企業仍須留意那些已知的 N-Day 漏洞 以及無法修補的老舊系統。由於不同威脅之間的差異極大,因此企業需要多管齊下來涵蓋整體 IT 基礎架構,包括 私有雲和公有雲

入侵偵測及防護系統 (Intrusion Detection and Prevention System,簡稱 IDPS) 對於提供全方位的威脅防護來防範已知及未公開的漏洞至關重要。本文討論入侵偵測系統 (Intrusion Detection System,簡稱 IDS) 與入侵防護系統 (Intrusion Prevention System,簡稱 IPS) 之間的差異,以及企業該如何做出明智抉擇來改善資安狀況、降低資安風險。

IDS 對上 IPS


IDS 與 IPS 之間最根本的差異,就在於它們偵測到入侵時所採取的動作。

IDS 只會發出警報來通知企業有潛在的入侵事件正在發生,接下來就交由資安營運中心 (SOC) 分析師來深入調查並判斷是否需要採取進一步行動。

常見的 IDS 五種類型:

1. 網路入侵偵測系統 (Network Intrusion Detection System,簡稱 NIDS):藉由部署在網路上的各種感測器來監控流量。
2. 主機入侵偵測系統 (Host Intrusion Detection System,簡稱 HIDS):直接部署在裝置上來監控流量,提供網路系統管理員更多控管能力。
3. 通訊協定入侵偵測系統 (Protocol-based Intrusion Detection System,簡稱 PIDS):部署在伺服器前端來監控進出裝置的流量。
4. 應用程式通訊協定入侵偵測系統 (Application Protocol-based Intrusion Detection System,簡稱 APIDS):監控一群伺服器的流量。
5. 混合式 IDS:結合上述不同類型的入侵偵測系統。


IPS 四種類型:


IPS 是專為攔截或矯正 (視掃描後續設定而定) 偵測到的入侵活動而設計。

1. 網路入侵防護系統 (Network-based Intrusion Prevention System,簡稱 NIPS):監控及保護整個網路。
2. 無線入侵防護系統 (Wireless Intrusion Prevention System,簡稱 WIPS):監控企業持有的任何無線網路。
3. 主機入侵防護系統 (Host-based Intrusion Prevention System,簡稱 HIPS):部署在關鍵裝置或主機上。
4. 網路行為分析 (Network Behavioral Analysis,簡稱 NBA):根據網路內的流量模式來監控異常行為。

IDS + IPS = IDPS


您不必只能在兩者之間選擇一個,理想的情況下,您會希望尋找一種可同時結合 IDS 和 IPS 的解決方案 (也就是 IDPS) 來提供完整的偵測及回應能力。IDS 可以讓您深入掌握自己的網路流量狀況,而 IPS 則提供了主動的網路防護來防範及矯正偵測到的狀況。

做出明智抉擇:9 個在挑選廠商時該詢問的技術與非技術問題


並非每家資安廠商的解決方案都具備相同實力,某些廠商非常擅長行銷,很會在市場上製造聲量,但他們的產品實際上卻不怎麼樣。首先,您必須評估及判斷您企業風險的優先次序,如此才能完全了解您對解決方案有何期待,然後才能夠聰明地採購。想要做出明智判斷,挑選一套適合您的入侵偵測及防護產品,您可詢問以下幾個技術及非技術問題:


技術問題:


1. 採用什麼技術來偵測威脅?請尋找一些結合深層封包檢查、威脅信譽評等、網址信譽評等、內建 SSL 加密流量檢查,以及根據個別流量分析進階惡意程式的技術,以便主動偵測威脅。如此有助於減少誤判,節省資安團隊的時間好讓他們執行其他任務。
2. 採用什麼技術來防範威脅?在資安團隊超時工作、人員短缺的情況下,一套具備自動化能力的解決方案非常重要。客製化的掃描後續動作和政策,以及虛擬修補,都應該自動化才可有效率保護含有漏洞的關鍵系統。
3. 是否能延伸到雲端?由於絕大多數企業都採用混合雲環境,因此能夠同時涵蓋企業內及雲端環境的防護至關重要。請確定同一套企業內防護也能夠延伸至雲端 (如虛擬修補) 來防範漏洞、攔截漏洞攻擊、防範已知及 零時差攻擊
4. 是否能與其他資安產品整合?您最不想做的一件事就是在現有的資安防護組合當中再增加更多單一面向產品。單一面向產品不僅有礙可視性,而且威脅很少會乖乖待著不動。為了正確調查威脅並限制其擴散範圍,您需要能涵蓋整個受攻擊面的完整可視性。一家能提供全方位網路資安平台的廠商,將可簡化防護、減輕資安團隊原本就已沉重的負擔,提供單一窗口來檢視企業的基礎架構。請小心那些將單一面向產品用優惠價購包裝在一起的廠商,一套真正的平台不僅要能整合廠商自己的生態系,還要能與第三方解決方案流暢整合。
5. 是否可擴充?雲端讓企業能隨時建立新的專案,因此您需要一套靈活、可擴充的解決方案來提供立即的防護。

非技術問題:


1. 定價結構如何?別被那些從未用到的訂閱額度綁死。一套按用量付費的方案,以及能輕鬆重新分配的彈性授權方式,可以讓您永遠不必多花冤枉錢。
2. 廠商提供什麼支援來解決部署方面與未來的問題?許多廠商在產品賣出之後就撒手不管,造成許多軟體被束之高閣 ,也使得採用率遲遲無法提升。好的廠商會像合作夥伴一樣協助您完成部署,確保所有必要功能都發揮作用,並且會盡速回應任何的疑問或問題,提供持續的教育訓練來強化您團隊的技能。
3. 廠商是否擁有一套威脅情報蒐集計畫?威脅情勢隨時瞬息萬變,因此您的解決方案也要跟著演變。一套全球威脅情報蒐集計畫 (重點在於「全球」二字),可確保您的解決方案隨時擁有最新的過濾規則,完整涵蓋整個漏洞來防止攻擊可能發生的突變,而非只防範特定攻擊手法。為了應付零時差漏洞,請尋找一家擁有 零時差漏洞揭露優良傳統以及 非限定廠商獨立漏洞懸賞計畫的資安廠商來協助您預防性地保護系統,限縮攻擊的擴散範圍。
4. 廠商是否榮獲市場或業界評測肯定?人人都能宣稱自己是第一名,但重點是能不能提出證明?請參閱知名產業分析機構 (如 Gartner、Forrester、IDC、Omdia 及 MITRE) 的客觀報告。此外,擁有龐大客戶基礎的廠商,也會不吝分享業界評測來協助您進一步了解他們的解決方案如何滿足您的資安及業務需求。

下一步


如需有關受攻擊面風險管理的更多資訊,請參閱以下文章:

原文出處:Intrusion Detection & Prevention Systems Guide