photo credit by: https://threatpost.com/new-variant-of-keypass-ransomware-discovered/135018/
KeyPass 是一種新的勒索軟體威脅,自8月7日以來,已有至少 20 個國家/地區受到威脅,並且此軟體似乎通過假的軟體安裝程序來進一步擴散。
受害者的資料使用 “.KEYPASS” extenstion 加密,並且贖金票據存放在每個成功加密的目錄中。勒所金為 300 美元,並試圖通過提前在付款之前發送解密證明來安撫受害者。鼓勵受害者向攻擊者發送一個小型加密文件的樣本。在這樣做之後,根據說明,受害者將免費獲得該文件的未加密版本。很明顯,攻擊者正在採用與合法軟體開發人員相同的 “用戶體驗” 關注度,以最大化他們的利潤。
Demo and Findings
從以下的視頻中可以看出,SentinelOne 客戶自動受到對於 KeyPass 的保護。
Agent 會立即檢測到惡意活動,然後刪除惡意軟體。當 SentinelOne 的 policy 設置為 “Protect” 時,預期性的行為是刪除,但在 demo 中,我們使用 “僅檢測” 的 policy 來觀察勒索軟件的行為。那麼是什麼導致惡意軟體被刪除呢?
事實證明,勒索軟體實際上正在刪除自己。讓我們通過檢查 SentinelOne 管理控制台中的攻擊故事情節,仔細研究一下層面下到底發生了什麼。 執行時,KeyPass ransomware.exe 會建立該文件 /c "C:\Users\admin\AppData\Local\Temp\delself.bat" 然後,此檔案會刪除以下兩個文件: \Device\HarddiskVolume2\Users\admin\Desktop\KeyPass 、\ransomware.exe\Device\HarddiskVolume2\Users\admin\AppData\Local\Temp\delself.bat 幾秒鐘後,贖金票據出現:
幾分鐘後,它開始加密受害者的文件,包括捷徑和桌面背景,導致這種狀態:
出於 demo 的目的,我們使用了 “僅檢測” policy ,並允許勒索軟體完成對整個設備的加密。在這種情況下,SentinelOne 的 rollback 功能可以輕鬆地將設備恢復到原始狀態,只需點擊一下即可。在現實生活中,勒索軟體將會在有機會造成任何損害之前就被阻止。
Deep Visibility
通過 SentinelOne 管理控制台 提供的 Deep Visibility 揭示了攻擊故事情節背後的其他事件。控制台顯示惡意軟體首先嘗試與位於俄羅斯的四台伺服器進行溝通,然後自我刪除及其關聯的腳本。 你可以在控制台中檢視到溝通和確切的 DNS 查詢: 178.208.83.13; type: 2 ns4.mchost.ru; type: 2 ns3.mchost.ru; type: 2 ns2.mchost.ru; type: 2 ns1.mchost.ru; 178.208.73.21; 92.222.67.101; 91.134.50.205; 209.250.253.181;
避免停機
通常,勒索軟體攻擊的受害者面臨著嚴峻的選擇。在最近的 ZDNet 採訪中, SentinelOne 的客戶 Lester Godsey ,亞利桑那州梅薩市的首席信息安全官指出,受害者必須支付費用並承擔進一步攻擊的風險,或者仰賴他們從備份中恢復的能力。在影響業務關鍵服務的情況下,避免停機是首要考慮因素。如上所述, SentinelOne agent 可以在所有端點上提供預防和(如果需要)點擊還原選項,從而避免停機。如上所示, SentinelOne agetn 能夠在不中斷用戶的情況下即時恢復受感染的主機。想了解 SentinelOne 如何幫助您改善資安嗎? Get a Demo Now Comments are closed.
|
Categories
All
Archives
January 2021
|