1??????? 概述

近期，安天CERT（CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）發(fā)現(xiàn)與網(wǎng)絡(luò)安全公司同名的Sophos[1]勒索軟件，網(wǎng)絡(luò)安全公司Sophos發(fā)表聲明稱與該勒索軟件并無關(guān)系。

Sophos勒索軟件被發(fā)現(xiàn)于2023年7月，其攻擊載荷通過Rust編程語言開發(fā)，經(jīng)分析發(fā)現(xiàn)，樣本庫文件路徑中帶有Dubinin字樣，猜測(cè)可能為載荷開發(fā)人員的相關(guān)信息，該勒索軟件勒索信格式和添加后綴名的邏輯與Phobos[2]勒索軟件較為相似。Sophos勒索軟件執(zhí)行流程不完善，截至發(fā)稿前暫未發(fā)現(xiàn)受害者信息，結(jié)合多種原因，猜測(cè)該勒索軟件當(dāng)前處于測(cè)試階段，尚未投入正式攻擊活動(dòng)。

表 1?1 Sophos勒索軟件概覽

此前也有借名網(wǎng)絡(luò)安全廠商的Cylance勒索軟件，該勒索軟件被發(fā)現(xiàn)于2023年3月，與BlackBerry（黑莓）旗下網(wǎng)絡(luò)安全公司Cylance同名，暫未發(fā)現(xiàn)大量攻擊活動(dòng)。經(jīng)分析發(fā)現(xiàn)，Cylance勒索軟件部分代碼段與REvil（又名Sodinokibi）[3][4]勒索軟件較為相似，二者都通過特定參數(shù)執(zhí)行勒索軟件載荷，猜測(cè)可能是REvil勒索軟件組織成員創(chuàng)建的新勒索軟件或是REvil勒索軟件更名。

表 1?2 Cylance勒索軟件概覽

經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡(jiǎn)稱IEP）、安天智甲云主機(jī)安全監(jiān)測(cè)系統(tǒng)、安天智甲容器安全檢測(cè)系統(tǒng)均可實(shí)現(xiàn)對(duì)Sophos和Cylance勒索軟件的有效查殺。

2??????? 防護(hù)建議

應(yīng)對(duì)勒索軟件攻擊，安天建議個(gè)人及企業(yè)采取如下防護(hù)措施：

2.1??????? 個(gè)人防護(hù)

1.??????? 提升網(wǎng)絡(luò)安全意識(shí)：保持良好用網(wǎng)習(xí)慣，積極學(xué)習(xí)網(wǎng)絡(luò)安全相關(guān)知識(shí)；

2.??????? 安裝終端防護(hù)：安裝反病毒軟件。建議安天智甲用戶開啟勒索病毒防御工具模塊（默認(rèn)開啟）；

3.??????? 加強(qiáng)口令強(qiáng)度：避免使用弱口令，建議使用16位或更長(zhǎng)的密碼，包括大小寫字母、數(shù)字和符號(hào)在內(nèi)的組合，同時(shí)避免多個(gè)服務(wù)器使用相同口令；

4.??????? 定期更改口令：定期更改系統(tǒng)口令，避免出現(xiàn)口令泄露導(dǎo)致系統(tǒng)遭到入侵；

5.??????? 及時(shí)更新補(bǔ)?。航ㄗh開啟自動(dòng)更新安裝系統(tǒng)補(bǔ)丁，服務(wù)器、數(shù)據(jù)庫、中間件等易受攻擊部分應(yīng)及時(shí)更新系統(tǒng)補(bǔ)??；

6.??????? 關(guān)閉高危端口：對(duì)外服務(wù)采取最小化原則，如無使用需要，建議關(guān)閉135、139、445和3389等高危端口；

7.??????? 關(guān)閉PowerShell：如不使用PowerShell命令行工具，建議將其關(guān)閉；

8.??????? 定期數(shù)據(jù)備份：定期對(duì)重要文件進(jìn)行數(shù)據(jù)備份，備份數(shù)據(jù)應(yīng)與主機(jī)隔離。

2.2??????? 企業(yè)防護(hù)

1.??????? 網(wǎng)絡(luò)安全培訓(xùn)與安全演練：定期開展網(wǎng)絡(luò)安全培訓(xùn)與安全演練，提高員工網(wǎng)絡(luò)安全意識(shí)；

2.??????? 安裝終端防護(hù)：安裝反病毒軟件，針對(duì)不同平臺(tái)建議安裝安天智甲終端防御系統(tǒng)；

3.??????? 及時(shí)更新補(bǔ)?。航ㄗh開啟自動(dòng)更新安裝系統(tǒng)補(bǔ)丁，服務(wù)器、數(shù)據(jù)庫、中間件等易受攻擊部分應(yīng)及時(shí)更新系統(tǒng)補(bǔ)?。?/p>

4.??????? 開啟日志：開啟關(guān)鍵日志收集功能（安全日志、系統(tǒng)日志、PowerShell日志、IIS日志、錯(cuò)誤日志、訪問日志、傳輸日志和Cookie日志），為安全事件的追蹤溯源提供基礎(chǔ)；

5.??????? 設(shè)置IP白名單規(guī)則：配置高級(jí)安全Windows防火墻，設(shè)置遠(yuǎn)程桌面連接的入站規(guī)則，將使用的IP地址或IP地址范圍加入規(guī)則中，阻止規(guī)則外IP進(jìn)行暴力破解；

6.??????? 主機(jī)加固：對(duì)系統(tǒng)進(jìn)行滲透測(cè)試及安全加固；

7.??????? 部署入侵檢測(cè)系統(tǒng)（IDS）：部署流量監(jiān)控類軟件或設(shè)備，便于對(duì)勒索軟件的發(fā)現(xiàn)與追蹤溯源。安天探海威脅檢測(cè)系統(tǒng)（PTD）以網(wǎng)絡(luò)流量為檢測(cè)分析對(duì)象，能精準(zhǔn)檢測(cè)出已知海量惡意代碼和網(wǎng)絡(luò)攻擊活動(dòng)，有效發(fā)現(xiàn)網(wǎng)絡(luò)可疑行為、資產(chǎn)和各類未知威脅；

8.??????? 災(zāi)備預(yù)案：建立安全災(zāi)備預(yù)案，安全事件發(fā)生時(shí)確保備份業(yè)務(wù)系統(tǒng)可以快速啟用；

9.??????? 安天服務(wù)：若遭受勒索軟件攻擊，建議及時(shí)斷網(wǎng)，并保護(hù)現(xiàn)場(chǎng)等待安全工程師對(duì)計(jì)算機(jī)進(jìn)行排查。安天7*24小時(shí)服務(wù)熱線：400-840-9234。

經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡(jiǎn)稱IEP）、安天智甲云主機(jī)安全監(jiān)測(cè)系統(tǒng)、安天智甲容器安全檢測(cè)系統(tǒng)均可實(shí)現(xiàn)對(duì)Sophos和Cylance勒索軟件的有效查殺。

圖 2?1 安天智甲可實(shí)現(xiàn)對(duì)Sophos勒索軟件的有效查殺

圖 2?2 安天智甲可實(shí)現(xiàn)對(duì)Cylance勒索軟件的有效查殺

3??????? 應(yīng)急處置建議

當(dāng)機(jī)器感染勒索軟件后，不要驚慌，可立即開展以下應(yīng)急工作，降低勒索軟件產(chǎn)生的危害：隔離網(wǎng)絡(luò)、分類處置、及時(shí)報(bào)告、排查加固、專業(yè)服務(wù)。

1.??????? 首先要將感染勒索軟件的機(jī)器斷網(wǎng)，防止勒索軟件進(jìn)行橫向傳播繼續(xù)感染局域網(wǎng)中的其他機(jī)器。

2.??????? 不要重啟機(jī)器，個(gè)別勒索軟件的編寫存在邏輯問題，在不重啟的情況下有找回部分被加密文件的可能。

3.??????? 不要急于重做系統(tǒng)、格式化硬盤等破壞加密文檔行為。先備份加密后的文檔，被加密后帶后綴的文件不具有傳染性，可復(fù)制到任意計(jì)算機(jī)上做備份保存，但是恢復(fù)的可能性極小?？梢愿鶕?jù)情況考慮是否等待解密方案，有小部分勒索軟件的解密工具會(huì)由于各種原因被放出。

4.??????? 雖然可以從后綴名、勒索信等信息判斷出勒索軟件家族類型。但由于暫時(shí)缺失勒索軟件在用戶網(wǎng)絡(luò)內(nèi)如何加密、傳播的具體過程，仍無法準(zhǔn)確判斷其類型。雖然可以從威脅情報(bào)庫中獲取功能相似的病毒樣本，通過模擬感染過程來確認(rèn)，但在感染過程、感染源頭的定位還需要細(xì)化，建議通過現(xiàn)場(chǎng)安全服務(wù)的形式進(jìn)行定位、溯源。

4??????? 技術(shù)梳理

4.1??????? Sophos勒索軟件

Sophos勒索軟件載荷執(zhí)行時(shí)可以發(fā)現(xiàn)如下圖所示的內(nèi)容，包括載荷版本、受害者設(shè)備ID、聯(lián)系方式和加密方式等內(nèi)容，攻擊者可以自定義郵箱地址、Jabber通訊地址和用于加密的密鑰，圖中所示當(dāng)前為0.0.9版本。

圖 4?1 載荷自定義執(zhí)行界面

文件屬性中可以看到與勒索軟件載荷相關(guān)的描述信息。

圖 4?2 載荷文件屬性

分析時(shí)發(fā)現(xiàn)兩個(gè)版本的樣本庫文件路徑中均帶有Dubinin字樣。

圖 4?3 庫文件路徑

聯(lián)網(wǎng)下載硬編碼地址中的圖片文件。

圖 4?4 聯(lián)網(wǎng)下載圖片

聯(lián)網(wǎng)下載成功后，圖片用于修改桌面背景。

圖 4?5 修改桌面背景

通過關(guān)聯(lián)分析發(fā)現(xiàn)Tor站點(diǎn)，訪問后發(fā)現(xiàn)并非是數(shù)據(jù)泄露站點(diǎn)，猜測(cè)為攻擊組織成員登錄的管理界面。

圖 4?6 Tor站點(diǎn)信息

執(zhí)行加密操作前，會(huì)終止特定進(jìn)程，避免干擾加密流程執(zhí)行，具體進(jìn)程名如下表所示：

表 4?1 結(jié)束的進(jìn)程列表

?

執(zhí)行加密操作時(shí)，會(huì)繞過特定文件夾，具體文件夾名如下表所示：

表 4?2 繞過的文件夾列表

執(zhí)行加密操作時(shí)，會(huì)繞過特定擴(kuò)展名文件，具體擴(kuò)展名如下表所示：

表 4?3 繞過的擴(kuò)展名列表

?

刪除卷影備份，避免通過卷影備份恢復(fù)文件。

圖 4?7 刪除卷影備份

生成名為information.hta的勒索信。

圖 4?8 生成勒索信

在被加密文件結(jié)尾添加.[[數(shù)字+字母組合而成的8位設(shè)備ID]].[[郵箱地址]].sophos格式的后綴，例如：test.doc.[[1a2b3c4d]].[[test@aaa.com]].sophos

圖 4?9 被加密文件后綴

4.2??????? Cylance勒索軟件

Cylance勒索軟件載荷支持通過特定參數(shù)執(zhí)行。

圖 4?10 參數(shù)執(zhí)行

創(chuàng)建名為CylanceMutex的互斥量，避免載荷重復(fù)執(zhí)行。

圖 4?11 創(chuàng)建互斥量

創(chuàng)建名為Windows Update BETA的計(jì)劃任務(wù)實(shí)現(xiàn)持久化。

圖 4?12 創(chuàng)建計(jì)劃任務(wù)

執(zhí)行加密操作時(shí)，會(huì)繞過特定文件名，具體文件名如下表所示：

表 4?4 繞過特定文件名

?

執(zhí)行加密操作時(shí)，會(huì)繞過特定文件擴(kuò)展名，具體擴(kuò)展名如下表所示：

表 4?5 繞過特定文件擴(kuò)展名

執(zhí)行加密操作時(shí)，會(huì)繞過特定文件夾，具體文件夾名稱如下表所示：

表 4?6 繞過特定文件夾

?

執(zhí)行加密操作時(shí)，必定加密帶有特定文件擴(kuò)展名的文件，具體文件擴(kuò)展名如下表所示：

表 4?7 必定加密的文件擴(kuò)展名列表

?

生成名為CYLANCE_README.txt的勒索信，勒索信內(nèi)容如下所示：

圖 4?13 生成勒索信

在被加密文件結(jié)尾添加.Cylance后綴，例如：test.doc.Cylance

圖 4?14 被加密文件后綴

5??????? IoCs

附錄：參考資料

[1]???? Sophos Discovers Ransomware Abusing “Sophos” Name

https://news.sophos.com/en-us/2023/07/18/sophos-discovers-ransomware-abusing-sophos-name/

[2]???? Phobos勒索軟件變種分析報(bào)告

https://www.antiy.cn/research/notice&report/research_report/20191016.html

[3]???? 勒索軟件Sodinokibi運(yùn)營(yíng)組織的關(guān)聯(lián)分析

https://www.antiy.cn/research/notice&report/research_report/20190628.html

[4]???? Sodinokibi/REvil勒索組織近期活動(dòng)梳理與最新樣本分析

https://www.antiy.cn/research/notice&report/research_report/20210918.html