足球贴士网

www.zq68.vip)是国内最权威的足球赛事报道、预测平台。免费提供赛事直播,免费足球贴士,免费足球推介,免费专家贴士,免费足球推荐,最专业的足球心水网。

,


Mespinoza 勒索软件的目的已经涉及到了美国出书、房地产、工业制造和教育组织,赎金要求高达 160 万美元。为了进一步领会这个组织,Unit 42剖析了它的基础设施,包罗它用来治理攻击的下令和控制 (C2) 服务器和一个泄露网站,它宣布了那些拒绝支付大笔赎金的受害者的数据。以下是研究职员对 Mespinoza 勒索软件幕后组织的一些主要发现:

极端自律:在接见新网络后,该小组以研究职员以为的分类方式研究受熏染的系统,以确定是否有足够有价值的数据来证实提议周全攻击是合理的。他们寻找的要害词包罗隐秘、诓骗、ssn、驾照、护照和 I-9 表(事情资格认证),这解释他们正在寻找泄露后影响最大的敏感文件。

针对许多行业:受害者组织被称为“互助同伴”,使用该术语解释他们试图将该黑客组织作为一家专业企业运营,并将受害者视为为其利润提供资金的商业同伴。该组织的泄密网站提供了据称属于教育、制造、零售、医疗、 *** 、高科技、运输和物流、工程和社会服务等行业的 187 个受害组织的数据。

具有全球影响力:受害者中有 55% 在美国。其余的则涣散在全球 20 多个国家,包罗加拿大、巴西、英国、意大利、西班牙、法国、德国、南非和澳大利亚。

Mespinoza 勒索软件使用了具有创意名称的攻击工具:一种确立网络隧道以抽取数据的工具称为“MagicSocks”。存储在其暂且服务器上并可能用于竣事攻击的组件名为“HappyEnd.bat”。

Palo Alto Networks Next-Generation Firewall 客户通过 DNS 平安、威胁防护、高级 URL 过滤和 WildFire 平安订阅珍爱免受这种威胁。客户还受到 Cortex XDR 的珍爱,而且可以使用 AutoFocus 来跟踪相关工具。 Cortex Xpanse 客户可以评估和治理他们的网络平安攻击面并整理他们的系统。可以在 Unit 42 ATOM 查看器中查看所考察到的手艺及其相关行动历程的完整可视化。

通过 RDP 接见网络

研究职员已经对勒索软件运营商使用远程桌面协议 (RDP) 接见受影响组织的网络并行使种种开源和内置系统工具来辅助横向移动和网络凭证的事宜做出响应。运营商行使双重勒索战略——在部署勒索软件之前泄露数据,以便他们以后可以威胁泄露数据,并安装一个新的后门,研究职员称之为 Gasket,(基于恶意软件的代码)来维持对网络的接见。 Gasket 还引用了一项名为“MagicSocks”的功效,该功效使用开源 Chisel 项目来确立用于连续远程接见网络的隧道。

在通过 PowerShell 剧本安装勒索软件之前,研究职员考察到 Mespinoza 勒索软件组织将文件泄露到远程服务器,其文件名与要害字列表匹配。要害字包罗子串“secret,” “fraud” 和“SWIFT.”,这解释攻击者试图网络和泄露敏感文件,若是攻击者向民众宣布文件,这些文件将对组织发生最大的影响。在撰写本文时,该组织的泄密网站列出并提供了全球各行业187家组织的信息。


按国家划分的 Mespinoza受害者


按行业划分的 Mespinoza 受害者

在许多形貌中,攻击者将受影响的组织称为他们的“互助同伴”。研究职员嫌疑 Mespinoza 使用该术语是由于他们将自己的运营视为专业企业,而将“互助同伴”视为为其营业提供资金的营业互助同伴。

Gasket 和 MagicSocks 工具以及泄露网站上泄露的数据可以追溯到 2020 年 4 月,这解释 Mespinoza 勒索软件组织已经活跃了一年多。虽然有讲述解释 Mespinoza 勒索软件组织接纳了勒索软件即服务 (RaaS) 模子,但研究职员尚未凭证研究职员观察的勒索软件案例考察到该组织的这种行为。

Gasket

在对 Mespinoza 勒索软件事宜的剖析历程中,研究职员考察到攻击者在流传勒索软件之前在系统上安装了一个用 Go 语言编写的后门。凭证法国国家信息系统平安局 (ANSSI) 宣布的一份讲述,ANSSI 还考察到攻击者使用 Go 编写的有用载荷传送 Mespinoza 勒索软件。研究职员剖析了 ANSSI 讲述中提到的 Go 样本,发现它是研究职员在研究职员的案例中考察到的统一工具的较早且未混淆的版本。

Gasket 的开发职员在 Golang 中编写了这个后门,并使用开源的 Gobfuscate 工具来混淆有用载荷。研究职员称这个工具为 Gasket,作为在 ANSSI 讲述(SHA256:9986b6881fc1df8f119a6ed693a7858c606aed291b0b2f2b3d9ed866337bdbde)中提到的这个工具的变体,指定为版本“001”,它具有以下两个控制功效,它具有以下两个功效:

◼main.checkGasket

◼main.connectGasket

研究职员信托攻击者使用这个后门作为 RDP 的备份来维持对网络的接见。

Gasket 剖析转达给它的下令行参数,以确定它是否应该作为自力历程运行(无守护历程模式),将自身安装为服务(守护历程模式,无下令行参数)或控制先前安装的 Gasket 服务。 Gasket 支持以下下令行参数:

◼no-persist

◼service Restart|Install|Start|Run

当实验将自己安装为守护历程时,Gasket 将确立一个服务并运行其功效代码。以下服务名称已从已知的Gasket样本中提取:


下令与控制

大多数版本的 Gasket 都配备了一个主要的 C2 通讯通道,以及第二个后备通道。早期版本的 Gasket 仅依赖于使用 IP 地址作为其服务器的基于 HTTP 的 C2 通讯,而厥后的版本使用相同的基于 HTTP 的 C2 通道作为后备,而且主要依赖于 DNS 隧道 C2 通道。 DNS 隧道协议使用 DNS TXT 查询并基于名为 Chashell 的开源项目。例如,以下 DNS TXT 查询是由 Gasket 发出的:

98ca192722ba28e9b8fb34b0d789a00608a13aac2e8d5b420b8e2ae899777a4.5c91a5a50ca31d47ed0d1dbbd0b7d0633b8f816d0wikitranswiki

为了领会 Gasket 发出的出站 DNS 查询,研究职员剖析了 Chashell 的服务器以确定它若那边理入站 DNS 查询并领会服务器若何构建其响应。 Chashell C2 服务器会将子域提升为 C2 的完全限制域名(来自上面的 transnet[.]wiki),并将子域标签毗邻在一起,而不会删除句点。然后服务器使用 XSalsa20 和 Poly1305 解密效果数据,其中的明文被视为序列化的 protobuf 新闻。所有使用基于 Chashell 的 DNS 隧道 C2 通道的 Gasket 样本都使用唯一密钥 37c3cb07b37d43721b3a8171959d2dff11ff904b048a334012239be9c7b87f63 来解密传输的数据。

凭证 Chashell 的 GitHub,chacomm.proto 文件形貌了服务器将用于剖析 Gasket 吸收到的解密数据的 protobuf 新闻结构以及它将若何构建其响应。新闻的结构包罗 clientguid 字段,它是受熏染主机唯一的 GUID,以及 ChunkStart、ChunkData、PollQuery 或 InfoPacket 数据包类型。每种数据包类型的结构各不相同,但下表形貌了每种数据包类型的用途:


Chashell 差异数据包类型的形貌

C2 将使用 TXT 谜底中的十六进制花样数据响应这些查询,这是一个序列化的 protobuf,它使用来自 Chashell 的 chacomm.proto 文件的相同新闻结构。以下示例显示了 DNS 请求和响应以及通过 DNS 隧道 C2 通道将数据从 Chashell 服务器发送到 Gasket 有用载荷所需的新闻内容:


Chashell 的 DNS 请求和响应流程示例

不幸的是,Gasket 不会将通过 Chashell 服务器提供的主机名数据作为下令运行,由于 Gasket 使用子协媾和下令处置程序来确定若那边理服务器的响应,研究职员将在下一节中讨论。除了 Chashell 的 DNS 隧道协议之外,Gasket 还为其 DNS 请求使用子协议,该协议在新闻类型之前加上加密数据以通知 C2 新闻类型。这解释攻击者已经修改了 Chashell 服务器代码以支持这个修改后的通讯渠道。以下新闻类型可用:


Chashell 差异数据包类型的形貌

如前所述,许多 Gasket 版本还具有基于 HTTP 的备份 C2 通道,若是 DNS 隧道通道中使用的域无法接见,它将使用该通道。载荷将直接向 IP 地址发出 HTTP 请求,这不需要任何 DNS 请求来操作。为了支持这个备份通道,有用载荷包罗一个 IP 地址列表,它已经硬编码成四个两字节的二进制花样,有用载荷通过从每个两字节中减去 10 举行解码,并使用效果来确立点示意法 IP 地址。例如,二进制中的字节 37 00 9D 00 EF 00 27 00 将发生一个 0x37、0x9d、0xef 和 0x27 的列表,其中每个都减去 10 以发生 0x2d、0x93、0xe5 和 0x1d,效果是在 45、147、229 和 29 中,然后这些值用"."毗邻起来。字符使点符号 IP 为 45.147.229[.]29。

通过 HTTP C2 通道发送的初始信标涉及对 URL /cert/trust 的 POST 请求。 POST 请求使用默认的 Go-http-client/1.1 用户署理,并包罗如下所示的加密数据


Gasket 初始信标通讯示例

HTTP POST 请求中的数据使用转动 XOR 算法加密,使用字符串 dick 作为密钥。指向/cert/trust的初始信标内的数据包罗一个硬编码版本号021,一个系统的唯一标识符(MD5哈希或base64编码字符串),盘算机名和用户名以///脱离,如下所示:

021///15c50b724a801417ef4143bb58b7178b///< computer name >///< user name >

在初始信标之后,Gasket 向 /time/sync 的 URL 发送弥补请求,以从攻击者那里获取下令,如下所示:


Gasket弥补请求示例

Usdt第三方支付接口

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

这些对 /time/sync 的后续请求使用相同的 XOR 算法和密钥,效果数据仅包罗前两个字段,详细来说是:

021////15c50b724a801417ef4143bb58b7178b

对于具有远程日志纪录功效的版本,Gasket 将 HTTP POST 请求发送到 /cert/dist 的 URL,如下所示:


示例 Gasket 远程日志纪录请求

上面看到的远程日志请求使用与其他 HTTP 请求相同的 XOR 算法和密钥,数据的结构与发送的信息略有差异,包罗版本号、系统的唯一标识符以及最终发送到服务器的新闻,如以下示例中的远程错误日志所示:

002///< base64 username+computername >///[Control]:无法住手 Windows 珍爱系统:未知操作住手

功效

来自C2服务器的响应将提供///带脱离符的数据,该数据包罗一个整数,有用载荷将其视为下令,以及下令的其他参数。下表提供了大多数和最新 (021) Gasket版本中的可用下令列表。


Gasket版本 021 中可用的下令

凭证上表中的下令,Gasket 似乎不仅作为后门服务于攻击者,而且还提供隧道能力,允许攻击者使用 Gasket 作为将流量隧道传输到外部控制服务器的手段。在确立隧道时,Gasket 在其调试日志中引用了“magicSocks”,这似乎是使用“chisel”项目的隧道方式。研究职员有证据解释,该攻击者拥有此隧道工具的自力版本,研究职员将其称为 MagicSocks,并将在下一节中讨论。

Gasket的演变

研究职员在本博客的前几节中提到了几个版本的 Gasket,但研究职员只稀奇提到了 001 和 021。这两个版本号标志着已知的最旧和最新版本的 Gasket,研究职员在 2020 年 4 月到 2021 年 3 月时代首次看到该版本。表 4 提供了 Gasket 样本列表、它们各自的版本号和研究职员关联的第一个时间戳与样本。



已知的Gasket样本及其各自的版本

研究职员提取了 Gasket 样本用于基于 HTTP 和基于 DNS 的通道的 C2 位置以举行剖析。表 5 中的硬编码域和 IP 地址并不是 Gasket 版本独占的,由于在具有差异版本号的 Gasket 样本中使用了多个域和 IP。




C2 域和 IP 地址及其相关的Gasket版本

如前所述,研究职员剖析了攻击者使用的许多 Gasket 后门和 MagicSocks 版本,并网络了大量相关基础设施用于阻止和跟踪目的。下图中的 Maltego 图表有助于可视化上表中列出的 Gasket 示例、它们的版本和用于 C2 通讯的相关基础设施。下图大致显示了两个主要集群,左侧显示更新的版本(012 到 021),右侧显示 012 之前的版本。

下图中显示的实体之间的绝大多数链接都与基础设施相关,即在研究职员的 WildFire 沙箱剖析时代各个样本毗邻到或可以毗邻到的域名和 IP 地址,基于提取的 C2 设置信息。


Maltego 图显示了 Gasket 和 MicroSocks 基础设施和链接

一些差异集群之间的链接是有限的,通常涉及 C2 重用。然则,使用示例元数据(例如前面列出的常见 Windows 服务名称)可以提供一些分外的链接。

使用热图(如下图所示),研究职员能够进一步可视化所有 Gasket 样本中主要 C2 地址的重用和重叠量。一样平常而言,该表显示,早期版本的Gasket重用C2解决了相同版本的多个变体和使用较新的Gasket版本的差异变体的问题。热图显示,较晚的版本(约莫从008最先)在版本内和跨版本中削减了主C2地址的重用,而在最新的版本中,主C2地址似乎没有被重用。


热图显示了针对主要 C2 的Gasket样本计数和版本

此模式的异常值是上面图8中的第9、11和12行。第9行和第11行与图7中右上方的集群相关,而第12行与右下方的集群相关。它们是异常值,由于Gasket版真相对较旧,但它们的C2重用不存在。此外,图7中从包罗第9行和第11行中列出的c2在内的集群到Gasket映射的其余部门的链接仅仅是由于它们是已知的Gasket示例,而且它们与来自其他集群的其他示例共享相同的Windows Service名称。研究职员以为这些异常值可能是由于特定的流动涉及Gasket恶意软件与定制的攻击基础设施。

研究职员在早期版本的Gasket中看到了对基础架构的重复使用,以及对熏染时代确立的Windows服务名称的几处更改。然而,最新的 Gasket 版本似乎接纳了更多的一次性和短期基础设施,(至少对于他们的主要 C2)使用一致的 Windows 服务名称,即 JavaJDBC。

上图还通过公共IP地址89.44.9[.]229突出了Gasket和MagicSocks工具之间的重叠区域,同时也托管了Gasket (SHA256: aa2faf0f41cc1710caf736f9c966bf82528a97631e94c7a5d23eadcbe0a2b586),MagicSocks样本(SHA256:d49a69be32744e0af32ad622aa22ba480d68253287c99f5a888feb9f2409e46f)和一些与MagicSocks相关的PowerShell组件。从其他 MagicSocks 示例中提取的 PowerShell 剧本哈希值和其他 C2 地址在后面的 IOC 部门中列出。

MagicSocks

Gasket 工具引用了称为 MagicSocks 的署理和隧道功效,该功效基于开源 Chisel 项目。攻击者 们还确立了一个自力版本的 MagicSocks,除了 Gasket 之外,他们还将使用该版本。自力的 MagicSocks 工具以动态链接库 (DLL) 形式泛起,该攻击者也是用 Golang 编写的。 MagicSocks 的开发职员使用来自 Chisel 项目的代码将流量从内陆系统传输到外部攻击者控制的 Chisel 服务器。该工具将构建字符串R:0.0.0.0:50000:socks,它将提供应Chisel客户端代码,该代码将天生以下JSON,客户端使用它作为设置:


该工具还构建了一个字符串,示意外部攻击者控制的 Chisel 服务器,该服务器托管在:http://creatordampfe[.]xyz:443

运行 MagicSocks 工具时,MagicSocks 使用 Chisel 客户端毗邻到位于 creatordampfe[.]xyz 的 Chisel 服务器。这从一个 HTTP 请求和响应最先,如下所示:


MagicSocks 初始请求和响应示例

使用 Chisel 的目的是将流量从内陆系统传送到creatordampfe[.]xyz,它充当出站流量真实位置的署理。不幸的是,研究职员无法接见位于 creatordampfe[.]xyz 的 Chisel 服务器来确定流量的最终目的地,这突出了MagicSocks提供应攻击者的隐藏功效。

研究职员发现了另外五个 MagicSocks 自力样本,所有在 2021 年 2 月至 2021 年 4 月时代编译。研究职员从五个样本中的每一其中提取了远程 Chisel 服务器的位置,并找到了以下三个唯一的 C2 位置:

104.168.164[.]195

172.96.189[.]86

142.79.237[.]163

这些样本也用 Gobfuscate 举行了混淆,但早期编译的样本是在以下位置编译的,这解释它们是由名为 solar 的用户在 Linux 系统上确立的:

/home/solar/c/go/magic-dll/src/sokos/

研究职员发现的其中一个MagicSocks自力样本是由另一个文件名为run64.exe的工具提供并执行的(SHA256: f2dcad28330f500354eb37f33783af2bcc22d205e9c3805fed5e919c6853649c)。这个工具只是运行MagicSocks DLL (timex.dll),详细地通过运行以下rundll32下令挪用Debug导出函数:

C:\Windows\System32\rundll32.exe

研究职员信托此示例与 MagicSocks 示例是统一小我私人确立的,由于 Go 项目的源位于以下具有相同solar用户名的文件夹中:

/home/solar/c/go/exec-dll/src/

研究职员发现了 2020 年 9 月的另一个 MagicSocks 样本(SHA256:d49a69be32744e0af32ad622aa22ba480d68253287c99f5a888feb9f2409e46f),它没有被 Gobfuscate 混淆。此样本托管在 89.44.9[.]229/info.txt,这与托管 Gasket 样本的 IP 相同(SHA256:aa2faf0f41cc1710caf736f9c966bf82528a97631e94c7a5d23eadcbe0a2b5)。这个版本的 MagicSocks 使用了一个 socks5 库来确立一个远程服务器的署理,稀奇是 23.227.206[.]158:443。 89.44.9[.]229 IP 托管了其他感兴趣的文件。

本文翻译自:https://unit42.paloaltonetworks.com/gasket-and-magicsocks-tools-install-mespinoza-ransomware/ Usdt自动充值接口声明:该文看法仅代表作者自己,与本平台无关。转载请注明:Usdt第三方支付接口(www.caibao.it):Mespinoza 勒索软件攻击趋势剖析(上)
发布评论

分享到:

2022世界杯资讯(www.x2w99.com):朱芳雨完成今夏第一签!豪砸5年大条约签约CBA三分王,杜锋也知足
1 条回复
  1. 新2代理手机端
    新2代理手机端
    (2021-08-08 00:03:07) 1#


    好多粉丝等你呢

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。