AURIGA SECURITY, INC.
  • HOME
  • NEWS & EVENTS
  • BLOG
  • Contact Us
  • WE WANT YOU !

SENTINELONE DETECTS KEYPASS RANSOMWARE

8/20/2018

 
Picture
photo credit by:  https://threatpost.com/new-variant-of-keypass-ransomware-discovered/135018/
KeyPass 是一種新的勒索軟體威脅,自8月7日以來,已有至少 20 個國家/地區受到威脅,並且此軟體似乎通過假的軟體安裝程序來進一步擴散。
​

受害者的資料使用 “.KEYPASS”  extenstion 加密,並且贖金票據存放在每個成功加密的目錄中。勒所金為 300 美元,並試圖通過提前在付款之前發送解密證明來安撫受害者。鼓勵受害者向攻擊者發送一個小型加密文件的樣本。在這樣做之後,根據說明,受害者將免費獲得該文件的未加密版本。很明顯,攻擊者正在採用與合法軟體開發人員相同的 “用戶體驗” 關注度,以最大化他們的利潤。
Demo and Findings
從以下的視頻中可以看出,SentinelOne 客戶自動受到對於 KeyPass 的保護。
Agent 會立即檢測到惡意活動,然後刪除惡意軟體。當 SentinelOne 的 policy 設置為 “Protect” 時,預期性的行為是刪除,但在 demo 中,我們使用 “僅檢測” 的 policy 來觀察勒索軟件的行為。那麼是什麼導致惡意軟體被刪除呢?

事實證明,勒索軟體實際上正在刪除自己。讓我們通過檢查 SentinelOne 管理控制台中的攻擊故事情節,仔細研究一下層面下到底發生了什麼。

執行時,KeyPass ransomware.exe 會建立該文件


/c "C:\Users\admin\AppData\Local\Temp\delself.bat"

然後,此檔案會刪除以下兩個文件:

\Device\HarddiskVolume2\Users\admin\Desktop\KeyPass 、\ransomware.exe\Device\HarddiskVolume2\Users\admin\AppData\Local\Temp\delself.bat
​

幾秒鐘後,贖金票據出現:
Picture
幾分鐘後,它開始加密受害者的文件,包括捷徑和桌面背景,導致這種狀態:
Picture
出於 demo 的目的,我們使用了 “僅檢測” policy ,並允許勒索軟體完成對整個設備的加密。在這種情況下,SentinelOne 的 rollback 功能可以輕鬆地將設備恢復到原始狀態,只需點擊一下即可。在現實生活中,勒索軟體將會在有機會造成任何損害之前就被阻止。
Picture
Deep Visibility

通過 SentinelOne 管理控制台 提供的 Deep Visibility 揭示了攻擊故事情節背後的其他事件。控制台顯示惡意軟體首先嘗試與位於俄羅斯的四台伺服器進行溝通,然後自我刪除及其關聯的腳本。
你可以在控制台中檢視到溝通和確切的 DNS 查詢:
178.208.83.13; type: 2 ns4.mchost.ru; type: 2 ns3.mchost.ru; type: 2 ns2.mchost.ru; type: 2 ns1.mchost.ru; 178.208.73.21; 92.222.67.101; 91.134.50.205; 209.250.253.181;
Picture
避免停機
通常,勒索軟體攻擊的受害者面臨著嚴峻的選擇。在最近的 ZDNet 採訪中, SentinelOne 的客戶 Lester Godsey ,亞利桑那州梅薩市的首席信息安全官指出,受害者必須支付費用並承擔進一步攻擊的風險,或者仰賴他們從備份中恢復的能力。在影響業務關鍵服務的情況下,避免停機是首要考慮因素。如上所述, SentinelOne agent 可以在所有端點上提供預防和(如果需要)點擊還原選項,從而避免停機。如上所示, SentinelOne agetn 能夠在不中斷用戶的情況下即時恢復受感染的主機。想了解 SentinelOne 如何幫助您改善資安嗎? Get a Demo Now
原文

Comments are closed.

    Archives

    November 2019
    August 2019
    April 2019
    February 2019
    January 2019
    December 2018
    November 2018
    October 2018
    September 2018
    August 2018
    July 2018
    May 2018
    April 2018
    March 2018
    November 2017
    October 2017
    September 2017
    August 2017

    Categories

    All
    Qlik
    SentinelOne
    端點防護
    資訊安全

    RSS Feed

​Copyright © 2017 安創資訊 Auriga Security Inc,. All rights reserved.
home page background photo credit to :  http://www.skyscrapercenter.com/building/taipei-101/117
  • HOME
  • NEWS & EVENTS
  • BLOG
  • Contact Us
  • WE WANT YOU !