AURIGA SECURITY, INC.

SENTINELONE DETECTS KEYPASS RANSOMWARE

8/20/2018

photo credit by: https://threatpost.com/new-variant-of-keypass-ransomware-discovered/135018/

KeyPass 是一種新的勒索軟體威脅，自8月7日以來，已有至少 20 個國家/地區受到威脅，並且此軟體似乎通過假的軟體安裝程序來進一步擴散。

受害者的資料使用 “.KEYPASS” extenstion 加密，並且贖金票據存放在每個成功加密的目錄中。勒所金為 300 美元，並試圖通過提前在付款之前發送解密證明來安撫受害者。鼓勵受害者向攻擊者發送一個小型加密文件的樣本。在這樣做之後，根據說明，受害者將免費獲得該文件的未加密版本。很明顯，攻擊者正在採用與合法軟體開發人員相同的 “用戶體驗” 關注度，以最大化他們的利潤。

Demo and Findings
從以下的視頻中可以看出，SentinelOne 客戶自動受到對於 KeyPass 的保護。

Agent 會立即檢測到惡意活動，然後刪除惡意軟體。當 SentinelOne 的 policy 設置為 “Protect” 時，預期性的行為是刪除，但在 demo 中，我們使用 “僅檢測” 的 policy 來觀察勒索軟件的行為。那麼是什麼導致惡意軟體被刪除呢？

事實證明，勒索軟體實際上正在刪除自己。讓我們通過檢查 SentinelOne 管理控制台中的攻擊故事情節，仔細研究一下層面下到底發生了什麼。

執行時，KeyPass ransomware.exe 會建立該文件

/c "C:\Users\admin\AppData\Local\Temp\delself.bat"

然後，此檔案會刪除以下兩個文件：

\Device\HarddiskVolume2\Users\admin\Desktop\KeyPass 、\ransomware.exe\Device\HarddiskVolume2\Users\admin\AppData\Local\Temp\delself.bat

幾秒鐘後，贖金票據出現：

幾分鐘後，它開始加密受害者的文件，包括捷徑和桌面背景，導致這種狀態：

出於 demo 的目的，我們使用了 “僅檢測” policy ，並允許勒索軟體完成對整個設備的加密。在這種情況下，SentinelOne 的 rollback 功能可以輕鬆地將設備恢復到原始狀態，只需點擊一下即可。在現實生活中，勒索軟體將會在有機會造成任何損害之前就被阻止。

Deep Visibility

通過 SentinelOne 管理控制台提供的 Deep Visibility 揭示了攻擊故事情節背後的其他事件。控制台顯示惡意軟體首先嘗試與位於俄羅斯的四台伺服器進行溝通，然後自我刪除及其關聯的腳本。
你可以在控制台中檢視到溝通和確切的 DNS 查詢：
178.208.83.13; type: 2 ns4.mchost.ru; type: 2 ns3.mchost.ru; type: 2 ns2.mchost.ru; type: 2 ns1.mchost.ru; 178.208.73.21; 92.222.67.101; 91.134.50.205; 209.250.253.181;

避免停機
通常，勒索軟體攻擊的受害者面臨著嚴峻的選擇。在最近的 ZDNet 採訪中， SentinelOne 的客戶 Lester Godsey ，亞利桑那州梅薩市的首席信息安全官指出，受害者必須支付費用並承擔進一步攻擊的風險，或者仰賴他們從備份中恢復的能力。在影響業務關鍵服務的情況下，避免停機是首要考慮因素。如上所述， SentinelOne agent 可以在所有端點上提供預防和（如果需要）點擊還原選項，從而避免停機。如上所示， SentinelOne agetn 能夠在不中斷用戶的情況下即時恢復受感染的主機。想了解 SentinelOne 如何幫助您改善資安嗎？ Get a Demo Now

原文

AUTOMATED MACOS MALWARE SUBMISSIONS “INFECTING” VIRUSTOTAL

8/3/2018

Photo credit by: https://www.geckoandfly.com/3929/download-the-best-mac-os-x-anti-spyware-and-anti-virus-software-for-free/

研究人員和注重安全的電腦用戶都依賴在線反惡意軟體沙箱服務 VirusTotal 來跟上最新的威脅，並檢查他們發現的可疑樣本是否已經是已知的違法者。此工具的一個重要功能是任何人都可以上傳任何內容並立即檢查它是否是已知的威脅。

令人驚訝的是，即使惡意軟體開發者本身也可以利用 VirusTotal 等服務，通過上傳自己的惡意軟體來查看是否被檢測到來。雖然惡意軟體開發人員將其產品預先警告反惡意軟件服務似乎違反常裡，但這是開發人員測試其軟體是否會避免現有檢測算法以及了解其軟體在現實中的反檢測方式的是否起作用的一種方法。在 2015 年發布的一項研究中，發現在成為公開惡意軟體活動的一部分之前，已超過有 1500 個惡意軟體樣本在 VirusTotal 和其他在線虛擬沙箱上預先發布了。

考慮到這一點，研究人員熱衷於在這些網站上搜索和 “追捕” 未檢測到或檢測不到的惡意程式，並意識到他們很可能能夠更新自己的檢測機制以捕獲新出現的惡意軟體。這一情況在今年3月得到了極大的體現，由於此 “概念性驗證”（PoC）被上傳到 VirusTotal，發現了兩個 zero-day 漏洞影響 Adobe 和微軟的並進行了預先修補。

事實上，這是一場在公開服務上玩弄貓捉老鼠的遊戲。

最近，這場遊戲發生了不尋常的轉變因為一名 SentinelOne 研究人員注意到 2018 年上半年被引用的 macOS 惡意軟體感染的數據特別奇怪。獨立研究機構 AV-Test，其主要任務是比較和測試主要的 AV 解決方案，注意到目前為止，FlashBack 和MaControl（又名“MacKontrol”，“MacControl”）是迄今為止 macOS 平台上最普遍的威脅。

當然，惡意軟體在macOS上的增加也就不足為奇了。令人驚訝的是 FlashBack 和 MaControl 是應該如此的普遍。 FlashBack和 MaControl 在 2012 年幾已經成為頭條新聞，即便如此，它們也不是第一個在外發現的變種。即使對那些仍然在危險軟體風險中翻滾的人來說，如果沒有像 SentinelOne 使用全面的反惡意軟體解決方案來強化套件，那麼這些數字是相當令人大開眼界。這不僅也是因為我們面對的是一個六年前的威脅。而且 FlashBack 和 MaControl 已被 Apple 自己的基本反惡意軟體工具-- Gatekeeper，XProtect 和 MRT 認可，它們將阻止，識別和刪除許多這些變種。

雖然可能是 Apple 的檢測通常不像 SentinelOne 有最新檢測，但事實是大多數聲譽良好的 macOS 反惡意軟體產品都清楚所有當前已知的 FlashBack 和 MaControl 變種。此外，在 2014 年，Apple 收購了所有與 FlashBack bot 相關的 C＆C 域名，並且在2013年末已關閉與上一個已知相關的 Java 漏洞。從各方面來看，FlashBack 已經不活躍。那麼，FlashBack 和MaControl 怎麼還能夠有如此龐大數量並被發現呢？

在分析 VirusTotal 上的樣本後，SentinelOne 研究人員發現了一條線索：

SentinelOne 的 macOS 團隊更進一步研究發現，FlashBack 和 MaControl 的相同樣本在同一天內以增倍時間點多次提交。

Making a Hash of it

要了解這如何影響檢測，讓我們將原始 MaControl 樣本與最近上傳的樣本進行比較。在兩個文件上執行二進制差異表示它們是相同的，除了末尾的插入：

令人擔憂的是，對於未受保護的 Mac 用戶，Apple 的內建安全工具將無法檢測到 “填充” 樣本。 Apple 的識別程序依賴於與Yara 規則匹配的Sha1 hash 值：

但是，“填充” 將 XProtect 可識別的 Sha1，從 8a86ff808d090d400201a1f94d8f706a9da116ca 更改為
93922b711f18b7b9d859718521ba2854c37d39d7，這與搜索規則不匹配，並讓 Apple 不會注意到該文件的安全保護。

有趣的是，我們使用 “填充” 版本，刪除附加的字符串並將其轉回原始副本，XProtect 會注意到。這證明了 2012 年的原始樣本與最近上傳到 VirusTotal 的樣本之間沒有其他區別，除了二進製文件末尾的填充。

Automated Variants 自動變種
到目前為止，我們可能會認為惡意軟體開發者必須負責製造這些小變種以避免被發現，但事實證明，這是個有點複雜的故事。當我們檢查檔案末尾的填充性質時，我們可以開始明白為什麼。

這是 FlashBack 變種末尾的填充，然後是 MaControl 變種末尾的填充：

驚訝的是，它們看起來非常相似，具有多個 “H” 字符串的形式：

FlashBack sample
H42_IP11.005_W7_x86_Ent_SP11531001025.22
H42_IP11.005_W7_x86_Ent_SP11531001240.06
H42_IP11.005_W7_x86_Ent_SP11531002164.69

MaControl sample
H43_IP13.054_W2008R2_x64_Ent_SP11531643140.19
H43_IP13.054_W2008R2_x64_Ent_SP11531643213.24
H43_IP13.054_W2008R2_x64_Ent_SP11531643334.22

字符串的主體表示出這是不同版本的 Windows 和字符串的結尾，正如以上提到的 SentinelOne 研究員所發現的，結果是包含了 Unix 時間點：

當然，這些與提交到 VirusTotal 的檔案實際時間點無關：

但是，一次刪除一個時間點，再重新計算 Hash 值並在 VirusTotal 上搜索，在大多數情況下，一次僅能命中一個範本，而且還是最近上傳的。

進一步的調查顯示，VirusTotal 中又增加了 10000 多個包含 “H” 字符串的 FlashBack 獨特變種。至於 MaControl，在某些情況下，unix timestring 被附加到文件的 __LINKEDIT 段以及 “H” 字符串或代替 “H” 字符串，以製造同一檔案的更多變種。我們的研究表示，僅在7月份，就有1000多個 MaControl 變種一次就上傳到 VirusTotal。

目前尚不清楚是誰上傳了這些變種，但考慮到 “H” 字符串和 unix timestring 的絕對數量和常見形式，它很可能是自動化和單一的。以下範例顯示嵌入的時間為非常接近的日期：

Thu 12 Jul 2018 08:51:05
Thu 12 Jul 2018 08:52:37
Thu 11 Jul 2018 23:56:07
Thu 12 Jul 2018 00:00:05

對於以上的範例，實際上傳時間為3天後。

此外，據我們所知，FlashBack 和 MaControl 沒有共同的開發者身份或分發管道。我們還注意到，儘管 Apple 的內建檢測很容易被 Hash 的變化所欺騙，但這些變種可被 VirusTotal 上的引擎廣泛檢測到。當然，SentinelOne 是不依賴於基於 hash 或特徵碼的檢測，無論二進制的更改如何，都還是可以識別這些變種。由於這些原因，這些上傳的變種似乎不太可能是以擊敗已知的安全軟體為目的。

最後，我們能夠從 VirusTotal 上的可用 metadata 中確定上傳者是使用API密鑰及通過程序化界面上傳的。

Wrapping Up

不論這些上傳是否試圖誇大 FlashBack 和 MaControl 的範圍，或者它們是否是 “友好的攻擊火力” 的結果 - 也或許是由資安供應商使用的自動腳本，沒有注意到，甚至失去控制，這還有待觀察。

然而，很清楚的是，隨著安全研究人員依賴對像 VirusTotal 等服務的分析，惡意軟體獵人很可能會因此類提交而得出錯誤的結論。當提交檔案像這樣誇大時，研究不僅可能淹沒在這些無關的噪音中，還可能導致對當前威脅景觀性質的誤解。 FlashBack 和 MaControl 是否真的是 macOS 用戶目前面臨的五大威脅之一？或者是過去的威脅被挖出來了，還是重新開始？如果是後者，那麼 2018 年 macOS 上最普遍的惡意軟體究竟是什麼？

我們的研究結果已在發布前告知 VirusTotal。當更多新信息曝光時，我們會更新 SentinelOne 讀者。

原文

WHAT IS RANSOMWARE? THE RANSOM-BASED MALWARE DEMYSTIFIED

7/5/2018

Archives

Categories