Shade勒索软件(又名为Troldesh)是一款历史悠久的勒索软件,于2014年底首次出现,攻击目标主要是针对Microsoft Windows系统的主机,利用恶意垃圾邮件(malspam)和漏洞利用 工具 包进行传播。最近一篇关于Shade的 研究报告 中指出,Shade背后的攻击者的侧重于俄语目标,因为载体往往是俄语电子邮件,但实际上Shade也有非常多的通过英语垃圾邮件进行传播的迹象。
我们回顾了Shade勒索软件的最近的攻击趋势,结果表明,Shade勒索软件的影响群体中,欧美国家占比非常高。事实上,受Shade勒索软件影响的前五个国家不是俄罗斯或前苏联国家,它们分别是是美国、日本、印度、泰国和加拿大,俄罗斯只排在第七,另外一个在前十名中找到的俄语国家是哈萨克斯坦(排名第十)。这些国家受到攻击的顶级行业分别是高科技、批发和教育。
自2016年以来变化很小
Shade勒索软件可执行文件(EXE)非常一致。我们自2016年以来分析的所有EXE样本都使用cryptsen7f043rr6.onion中的相同Tor地址作为解密器页面,感染期间出现的桌面背景也是相同的。
Shade感染是什么样的?
当Windows主机被Shade勒索软件感染时,桌面背景会通知用户已遭到感染,并且会显示10个文本文件,从README1.txt到README10.txt,如图1所示。
图1:感染了Shade勒索软件的Windows主机的桌面
十个README文件都包含相同的指令,如图2所示。
图2:最近Shade勒索软件感染后的勒索说明
自2016年6月起,所有加密文件的文件扩展名都为.crypted000007,如图3所示。
图3:Shade勒索软件感染的加密文件示例
通过垃圾邮件传播
基于恶意邮件的Shade Ransomware感染涉及一个JavaScript(.js)或其他基于脚本的文件,伪装成发票或账单。在某些情况下邮件内容中懈怠了上述文件的链接,还有一些情况是将脚本文件作为zip附件附加到电子邮件中。在2019年2月的俄语垃圾邮件行动中,附件的PDF文件中包含了下载这些文件链接。
在我们审查的所有情况中,都涉及.js或其他基于脚本的文件,如图4所示。这些基于脚本的文件指在检索Shade勒索软件的可执行文件。
图4:基于垃圾邮件Shade感染的流程图
感染链中的可执行文件传递
基于垃圾邮件的Shade感染链有一个共同点,就是从受感染的服务器检索可执行文件。通过关注这个事件链中的可执行文件,我们可以确定Shade感染尝试的位置。
AutoFocus搜索参数
AutoFocus 有一个Shade勒索软件标签,可识别与Shade相关的任何项目。我们搜索了在感染链中交付Shade的可执行文件,将搜索重点放在通过TCP端口80发送的打包可执行(PE)文件上。通过这些国家的Palo Alto Networks设备来确定Shade勒索软件发生的地理位置,时间区间为2019年第一季度。
最后我们在AutoFocus数据库中搜索的参数是:
· 日期在1月1日至3月31日之间
· Unit 42标签 – Shade勒索软件
· 文件类型是PE
· 文件URL有任何值,但不是未知的
· 源端口(文件来自的TCP端口)为80
· 设备国家/地区具有任何值(不是空白或未标识)
· 文件URL不包含字符串/malware/
· 文件URL不包含字符串malshare.com
· 文件URL不包含字符串paloaltonetworks
·文件URL不包含字符串local
图5.:2019年第一季度Shade勒索软件可执行文件的AutoFocus查询
我们从2019年1月至3月的搜索结果显示,有307个Shade勒索软件样本,感染会话共计超过6,536次。每个会话表示托管Shade Ransomware可执行文件的URL的HTTP请求,许多URL在不同的会话中多次出现。发生次数最多的前十大国家的分别是:
· 美国 – 2,010届会议
· 日本 – 1,677届会议
· 印度 – 989届会议
· 泰国 – 723届会议
· 加拿大 – 712届会议
· 西班牙 – 505届会议
· 俄罗斯联邦 – 86届会议
· 法国 – 71届会议
· 英国 – 67届会议
· 哈萨克斯坦 – 21届会议
图6:我们自动对焦搜索结果显示在世界地图的前十大国家/地区
在我们的客户群中,Shade感染会话发生最多的国家是美国,而托管Shade可执行文件的URL中的绝大多数都来自俄罗斯或俄语国家以外的客户设备。
这一时期的感染前10名垂直行业是:
· 高科技:5,009次会议
· 批发和零售:72期
· 教育:720期
· 电信:311届会议
· 财务:51届会议
· 运输和物流:24次会议
· 制造业:32期
· 专业和法律服务:8次会议
· 公用事业和能源:4次会议
· 州和地方政府:1届会议
结论
可以看出,Shade勒索软件攻击最频繁的目标是高科技类别的组织机构。虽然由于我们的客户群体的缘故,但是得出来的结论可能会倾向于英语国家,不过我们也可以发现,Shade勒索软件在俄罗斯以外的国家也非常活跃,针对的目标更多的是会说英语的受害者而不是俄国人。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 360发布11月勒索病毒疫情分析:攻击目标转向个人用户
- 比WannaCry更厉害,新型勒索软件目标瞄准Linux和Windows服务器
- 比WannaCry更厉害的勒索软件来袭,目标瞄准Linux和Windows服务器
- 新的Ryuk勒索软件以大公司为目标,在5个月内获利近400万美元
- 瞄准大型组织进行勒索:详细分析BitPaymer勒索软件
- 华为汽车中自动驾驶目标检测怎么理解?(通过跨模式的雷达目标检测)
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
