剖析Makop勒索软件团伙的恶意武器库

网络安全研究员 Luca Mella 分析了最近一次入侵中使用的 Makop 勒索软件。

执行摘要

  • Makop 勒索软件运营商最近发起的一次入侵的监测显示了通过专用.NET 工具的持久性能力。
  • Makop工具包包括现成的工具和定制开发的工具,包括来自中国地下生态系统的工具。
  • 自2020年以来,Makop团伙没有进行任何重大重组,这清楚地表明他们即使在三年和数百次成功攻击之后仍然有效。
  • 该团伙利用暴露的远程管理服务和面向互联网的漏洞来获取和维持对受害者网络的访问。

介绍

Makop勒索软件运营商利用臭名昭著的Phobos勒索软件的新变种,于2020年开始了他们臭名昭著的犯罪活动。近年来,即使不参与双重敲诈勒索,该团伙在地下犯罪活动中也保持着稳固的存在。

他们的操作基于人类操作员勒索软件的做法,其中大部分入侵都是由动手键盘犯罪分子处理的,即使在加密阶段也是如此。

Makop勒索软件团伙被归类为B级勒索软件攻击者,但尽管如此,他们仍不断袭击欧洲和意大利的公司。Lifars安全团队大大深化了Makop勒索软件加密工具的技术细节,因此,在本文中,我将重点介绍利用Makop帮派武器库进行数字勒索的其他部分。

技术细节

Makop勒索软件运营商武器库是一种混合型武器库:它既包含客户开发的工具,也包含从公共存储库中获取的现成软件。特别是,最近的调查能够识别出其中的四个:ARestore升级工具、后门和其他公开可用的工具包,例如Advanced_Port_Scanner和一种特别流行的中国黑客工具。

自定义工具

在初次访问后,Makop犯罪分子仍在使用一种可追溯到他们在网络空间中首次行动时使用的旧工具。“ARestore”工具是 2020 年构建的.NET可执行文件,并进行了部分混淆。此外,PE标头中的编译时间看起来被混淆了,但.NET程序集模块的元数据显示了一个与Makop操作的时间尺度相匹配的更合理的日期。

文件名:ARestore.exe

md5: 7f86b67ac003eda9d2929c9317025013

代码的混淆部分基于switch-case状态机循环和跳转MSIL代码中的标签。尽管如此,该工具不包含任何规避或反调试技术,并且包含仅IL的32位代码。

该工具主要用于两个目的:生成本地Windows用户名和潜在密码的组合列表,并在本地测试它们。该工具能够自动从组中检索本地用户,过滤管理,然后测试密码。骗子目前在其攻击链的初始访问阶段之后使用它。

Makop 运营商还利用其他自定义 .NET 程序集来实现杀伤链的进一步阶段。例如,他们使用我们命名为“PuffedUp”的特定持久性工具,旨在确保初始访问后的持久性。即使这个工具看起来是在Makop操作的早期阶段编译和生成的,并且仍在当前的入侵中使用。即使这次的可执行文件已经在2020年构建,但它并没有被混淆。

文件名:data.exe
md5:e245f8d129e8eadb00e165c569a14b71

在最近的Makop 入侵中,该工具已与另一个名为“c.exe”的可执行文件结合使用,但不幸的是,它已在脱离阶段被攻击者删除。无论如何,快速查看PuffedUp代码会发现一个简单的逻辑,即通过RUN注册表项保持其执行持久性。

有趣的是,该工具依赖于放置在同一文件夹中的文本配置文件。这个特定文件包含一个或多个42个字符的字符串,将被放入用户剪贴板。显然,只有更全面地了解Makop军火库,这种奇怪的行为才有意义。

现成的工具

Makop勒索软件运营商广泛使用现成的开源和免费软件工具来进行横向移动和系统发现。除了对PsExec等Microsoft SysInternal工具和其他知名开源工具(例如Putty和永不遗漏的Mimikatz)的经典滥用之外,在最近的操作中,Makop还滥用了更加奇特的软件。

比如“Advanced Port Scanner”,一款由著名的Radmin作者开发的免费端口扫描工具。Makop犯罪分子最近使用的是该工具的2.5.3869版本,该版本可追溯到2019年。

Advanced_Port_Scanner_2.5.3869.exe
md5: 6A58B52B184715583CDA792B56A0A1ED

这个特定版本的免费软件的日期特别有意义,因为它完全符合Makop入侵武器库的其他自定义工具的构建和编译时间。事实上,Makop犯罪分子仍在使用早在2019年和2020年构建的工具来危害世界各地的中小企业。

同样,Makop 武器库中的另一个工具仍然可以追溯到 2019 年:“Everything”工具。Everything 都是由 Voidtools 维护的免费软件。正如预期的那样,Makop勒索软件运营商在最近的202 年入侵中滥用的版本仍然是2019年1月发布的1.4.1.932版本。

该工具基本上是Windows环境中本地和网络共享文件的搜索引擎:与默认的Windows搜索不同,它旨在按文件名立即定位文件和文件夹,从而加快系统信息发现。

文件名:Everything.exe
md5:b69d036d1dcfc5c0657f3a1748608148

在Makop军火库中发现的最后一个有趣的工具是俄罗斯地下犯罪分子很少使用的特殊系统管理工具。它的名字是YDArk,它是一个开源工具,甚至可以在GitHub上使用。

文件名:YDArk.exe
md5:9fd28d2318f66e4fe37a9a5bc1637928

YDArk 是一个强大的内核操纵工具,早在 2020 年就出现在中国地下社区,用于逃避游戏社区反作弊程序的内存扫描。SangYun Shin之前分析过该工具。YDArk 可以隐藏进程的rootkit方式:在内核级别。它通过将其PID更改为 0 并将前向和反向ActiveProcessLinks重定向到自身的EPROCESS地址来操纵目标进程的EPROCESS内核对象。

这个工具在Makop武器库中的存在非常有趣,因为YDArk之前曾在其他勒索软件妥协中被发现:

  • 2021年4月和2020年12月,Sophos报告了YDArk在未指明情况下的滥用情况。
  • 2022年7月,Dark Lab安全公司报告了在SonicWall SMA100开发活动中滥用YDArk的情况,该活动旨在利用CVE-2019-7481和CVE-2021-20028在暴露于互联网的设备上安装Lockbit勒索软件。

结论

Makop勒索软件运营商正在使用多年未检测到的一致网络武器库进行网络勒索。Makop运营商实践中没有进行重大重组,这告诉我们阻止勒索软件入侵的路还很长。

如果一个针对全球数百家公司的B级人为操作勒索软件团伙在运行三年后不需要更新和改变其武器库,这清楚地表明我们在执行基于不断增加的有效网络攻击威慑战略方面仍然落后网络罪犯的攻击成本并迫使他们重组。

Makop网络武器库工具的披露将使防御者能够将更多的入侵企图与该团伙联系起来,从而及早发现合法和定制工具的滥用情况。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4929.html

标签