網路釣魚最近利用以微軟Excel和表單(Forms)製作線上問卷,發動攻擊。由於是連結到forms.office.com或onedrive.live.com的合法微軟官方網址,受害者容易鬆懈警覺心。
也因為這些網址都指向合法的微軟網站,導致一般網路安全過濾軟體可能無法將這類郵件/連結偵測為惡意郵件/連結。

趨勢科技研究員最近發現了一個新的勒索病毒會利用一個名為「Everything」的合法工具當中的 API,這是一個由 Voidtools 所開發的 Windows 檔名搜尋引擎,可快速搜尋並即時更新,且資源用量很低。
趨勢科技研究員最近發現了一個新的勒索病毒會利用一個名為「Everything」的合法工具當中的 API,這是一個由 Voidtools 所開發的 Windows 檔名搜尋引擎,可快速搜尋並即時更新,且資源用量很低。這個勒索病毒 (我們根據其執行檔內的某個字串將它命名為「Mimic」) 最早是在 2022 年 6 月在網路上被發現,專門攻擊使用俄羅斯文與英文的使用者。它擁有許多功能,例如:刪除系統還原點 (shadow copy)、終止各種應用程式和服務、利用 Everything32.dll 函式來查詢它準備加密的目標檔案。
本文將詳細探討 Mimic 勒索病毒的元件和功能,以及它與 2022 年初外洩的 Conti 勒索病毒產生器之間的關聯。
Mimic 是以執行檔的形態進入系統,該執行檔會在系統植入多個二進位檔案,以及一個密碼保護的壓縮檔 (假冒成 Everything64.dll),該檔案解壓縮後就會出現勒索病毒的惡意檔案。此外也包含一些用來關閉 Windows Defender 的工具,以及合法的 sdel 二進位檔。
檔案名稱 | 說明 |
7za.exe | 合法的 7zip 檔案,用來解壓縮惡意檔案。 |
Everything.exe | 合法的 Everything 應用程式。 |
Everything32.dll | 合法的 Everything 應用程式。 |
Everything64.dll | 密碼保護的壓縮檔,內含惡意檔案。 |
當該病毒執行時,首先它會將其元件植入「%Temp%/7zipSfx」資料夾。接著,使用它植入的 7za.exe 來解開密碼保護的 Everything64.dll 檔案到同一個目錄下,指令如下:
%Temp%\7ZipSfx.000\7za.exe” x -y -p20475326413135730160 Everything64.dll
此外,它還會將連線階段金鑰檔「session.tmp」寫入同一目錄,萬一它在加密過程中被打斷,就能使用這個檔案來繼續執行加密。
接著,它會將植入的檔案複製到「%LocalAppData%\{Random GUID}\」,然後勒索病毒會被重新命名為「bestplacetolive.exe」,並且將「%Temp%」目錄中的原始檔案刪除。
根據我們的分析,Mimic 還可支援其他指令列參數,如表 2 所示。
指令列選項 | 可接受的數值 | 說明 |
-dir | 要加密的檔案路徑 | 要加密的目錄。 |
-e | all local net watch ul1 ul2 | 全部加密 (預設)。 加密本機檔案。 加密網路共用資料夾中的檔案。 ul:unlocker 建立一個具備跨處理程序通訊 (IPC) 功能的執行緒並試圖 解鎖另一個處理程序的某些記憶體位址。 |
-prot | 保護勒索病毒不被終止。 | |
-pid | <整數> | 先前執行的勒索病毒處理程序識別碼 (PID)。 |
Mimic 勒索病毒會利用 CreateThread 函式來建立多個執行緒以加快加密流程,並且讓資安研究人員的分析工作更具挑戰性。
當它執行時,它首先會利用 RegisterHotKey API 註冊一組快捷鍵 (Ctrl + F1),按下這組快捷鍵會顯示勒索病毒的執行狀態記錄檔。
勒索病毒的設定是存在於它的 Overlay 記憶體中並且使用 NOT 運算元來解密。
以下圖 8 詳細顯示其設定中的項目和數值。
Mimic 勒索病毒具備了多種能力,包括:
Mimic 使用「 Everything32.dll」這個合法的 Windows 檔案名稱搜尋引擎來即時搜尋檔案。它會利用這個工具來查詢某些副檔名與檔名,利用 Everything 的 API 來取得檔案的路徑以便加密。
它使用 Everything_SetSearchW 函式來搜尋要加密或避開的檔案,搜尋格式如下:
file:<ext:{list of extension}>file:<!endwith:{list of files/directory to avoid}>wholefilename<!{list of files to avoid}>
有關 Mimic 會搜尋或避開哪些檔案的詳細資訊,請參閱此處。
接著它會將「.QUIETPLACE」副檔名附在被加密的檔案名稱後端,最後,它會顯示勒索訊息。
根據我們的分析,該病毒有某些程式碼似乎是以 2022 年 3 月外洩的 Conti 勒索病毒產生器為基礎。例如,在 Mimic 和 Conti 的加密模式當中,有些模式的數值是一樣的。
參數「 net」相關的程式碼也是以 Conti 為基礎。它會使用 GetIpNetTable 函式來讀取 Address Resolution Protocol (ARP) 快取,並檢查 IP 位址是否含有「172.」、「192.168」、「10.」或「169.」等字樣。Mimic 還增加了一個過濾規則來排除含有「169.254」字樣的 IP 位址,因為這是 Automatic Private IP Addressing (APIPA) 的 IP 位址。
此外,Mimic 在搜尋 Windows 網路共用資料夾時也使用到 Conti 的程式碼,它使用 NetShareEnum 函式來尋找所有其蒐集到的 IP 位址上的共用資料夾。
最後,Mimic 的連接埠掃描函式也是參考 Conti 產生器。
有關 Mimic 勒索病毒行為的更多詳細資訊,請參閱這份報告。
具備多種能力的 Mimic 勒索病毒似乎是採用了一種新的作法來加快動作,它在加密過程當中運用了多重執行緒,並使用 Everything 的 API,如此可降低資源的用量,執行起來更有效率。此外,Mimic 背後的駭客似乎擁有豐富的資源與不錯的技術能力,他們擷取了一個外洩的勒索病毒產生器中的多項功能,然後加以改良來提高攻擊成效。
要保護系統免於勒索病毒攻擊,我們建議不論是一般使用者或企業都應該養成良好資安習慣並採取最佳實務原則,例如透過資料防護、備份及復原措施來保護可能被加密或清除的資料。定期執行漏洞評估並隨時修補系統,如此可降低那些專門攻擊漏洞的勒索病毒所帶來的損害。
一套多層式的方法有助於企業防範各種駭客可能入侵其系統的途徑,如:端點、電子郵件、網站以及網路。此外,還可利用適當的資安解決方案來偵測惡意元件與可疑行為來保護企業。
如需本文當中提到的入侵指標,請參閱 此處。
原文出處:New Mimic Ransomware Abuses Everything APIs for its Encryption Process
防毒防詐
守護帳密
VPN安心串流
阻絕惡意
安心蝦拚
PC-cillin 讓你的『指指點點』可以開心又安心點!
趨勢科技在一份全球調查中發現 50% 的資安團隊表示他們因零散不連貫的單一面向產品與 SIEM 系統所產生的大量警示通知而疲於奔命。看看 XDR 如何減少誤判並改善威脅偵測及回應。
警示通知過多所造成的壓力,是許多資安團隊的一項挑戰。根據趨勢科技一項針對 IT 資安與資安營運中心 (SOC) 決策者的全球調查指出,超過 50% 的受訪者表示他們的團隊因大量的警示通知而疲於奔命。另有 55% 坦承自己沒有十足的把握能判斷警示通知的優先次序並採取回應。
問題的核心來自於威脅偵測及回應解決方案零散不連貫且缺乏效率。許多資安人員會採用一套 SIEM 來將分散於各資安工具的記錄檔與警示通知蒐集在一起。這會產生兩個問題:第一,網路攻擊很少只透過一、兩種途徑;第二,SIEM (Security Information and Event Management 資安事件管理)很會蒐集資料,但卻不會交叉關聯分析。不完整的可視性與情境資訊的缺乏,很容易因誤判而造成雜訊,進而拖慢調查工作的進度。此時,延伸式偵測及回應 (XDR) 就能派上用。
繼續閱讀本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
國科會今年投347億推8大前瞻科研平臺,還要發展臺灣版ChatGPT iThome
以ChatGPT強化的Bing遭使用者誘騙,洩露工程代號及機密 iThome
生成式AI恐引發深假危機 KPMG教戰三招自保 工商時報電子報
義大利禁聊天機器人 Replika,歐盟料祭更嚴 AI 規範 中央通訊社
《科技》雲端大老釋5大IT趨勢 今年AI發展具里程碑 中時新聞網
從華航到iRent都被「駭」 資安危機事件一演再演…… 40天四起個資外洩 中小企業資安拉警報 今周刊
台積電首度自辦校園黑客松,要從大二開始培養新一代半導體IT人才,更預告每月舉辦技術Meetup分享會 iThome
眺望2023年:值得關注的科技產業大勢 EDN Taiwan
駭客入侵智慧家電 家裡看光光 世界新聞網
Windows 曝3個零日漏洞遭駭積極開採!微軟釋出最新安全更新緊急修補 自由時報電子報
TikTok 偷車教學短片,逼得現代汽車緊急更新 800 萬輛車 科技新報網
Passkey 登入免密碼將取代傳統方式,可抵擋網路釣魚威脅 科技新報網
臺灣金融資安必須升級2大理由:全球資安新威脅 iThome
零信任資安要落實,連員工 IG 也要管!4 招抵禦企業最常忽略的「社交工程攻擊」 科技報橘網
【資安日報】2023年2月15日,微軟發布2月份例行修補、俄羅斯駭客Killnet阻礙北約組織救援土耳其地震 iThome
微軟傳裁撤工業元宇宙部門 iThome
Panasonic Automotive Systems 展示次世代汽車座艙系統虛擬 汽車日報
防止勒索病毒攻擊關鍵基礎設施 資安平台全面確保OT資安 新電子雜誌
繼續閱讀