首页
社区
课程
招聘
[推荐]奇葩勒索软件ONI:是勒索软件还是清除工具?
发表于: 2017-11-1 20:07 3335

[推荐]奇葩勒索软件ONI:是勒索软件还是清除工具?

2017-11-1 20:07
3335

奇葩勒索软件ONI:是勒索软件还是清除工具?

如今,越来越多勒索软件事件出现在人们生活中。勒索软件究竟是个清除工具还是真正的勒索工具,其中的分界线越来越模糊。最新的一个勒索软件攻击事件就是这样。这款软件称为ONI,几个月来一直在攻击一家日本公司。

 

一家安全公司在检查电脑时,发现其被ONI感染。这款勒索软件曾被发现过,但是当时不知道受害者是如何感染的。据Cybereason的研究人员调查,他们发现被感染的电脑先前曾被鱼叉式网络钓鱼(spear phishing)运动攻击,并在受害者的电脑上下载了一个RAT或者远程木马。

鱼叉式网络钓鱼(spear phishing)是面向特定组织的欺诈行为,目的是不通过授权访问机密数据。和用于常规钓鱼(phishing)活动的电邮信息一样,鱼叉式网络钓鱼信息看上去来源可靠。钓鱼信息通常看上去是来自朋广泛群众基础的大型知名公司或网站,比如易趣或贝宝(PayPal)。但是在鱼叉式网络钓鱼事件中,电子邮件的显示来源可能是接收人公司内部的个人,且通常是地位比较高的人。

 

这些假邮件会伪装成收据,内附有一个zip包,zip文件里有一个恶意word文档。当用户打开这个文档,并执行宏指令时,VBSscript脚本就会开始运行,在受害电脑中下载一个Ammyy Admin RAT的副本。

VBScript是Visual Basic Script的简称,即 Visual Basic 脚本语言,有时也被缩写为VBS。它是一种微软环境下的轻量级的解释型语言,它使用COM组件、WMI、WSH、ADSI访问系统中的元素,对系统进行管理。同时它又是asp动态网页默认的编程语言,配合asp内建对象和ADO对象,用户很快就能掌握访问数据库的asp动态网页开发技术。

 

 

虽然Ammyy Admin是一个合法的远程管理工具,但这个时候,它却被攻击者用来完全获取系统的权限。Cybereason发现RAT下载时间最远可以追溯到2016年9月份,最近的时候是2017年7月。

 

所有受害电脑都是中大型企业。目前,政府尚未收到受到攻击的报告。

掩盖行踪

攻击者一旦获取了网络权限,会进一步获取管理员的账户和服务器。不幸的是,目前,暂时不清楚攻击者在他们获取权限的3到6个月之间究竟做了什么。

 

cybereason认为敏感数据已经在攻击过程中流失了。

 

攻击停止后,ONI勒索软件开始登场。因为攻击者已经侵入管理员的账号,他们会利用Group Policy Scripts执行一个批处理文件,清除超过460个日志来掩盖他们的活动。

 

 

同样的脚本也会应用于ONI勒索软件,来锁定文件和尽可能的混淆攻击者的行踪。

ONI勒索软件:是勒索软件还是清除工具?

这个攻击有意思的地方就是攻击者使用了两种不同版本的ONI勒索软件。一种版本,是GlobeImposter的变体,通常用来加密用户模式。这次被是用来锁定不太重要的电脑。

 

下载完成后,ONI勒索软件会加密电脑中的文件,并在文件名中加上“.oni”的扩展名。

 

这一切执行完以后,受害者会在被锁的文件夹中看到一个留言,名为!!!README!!!.html。勒索留言中含有被锁软件的基本信息,和了解交付赎金的联系方式。

 

这些都是GlobeImposter勒索软件变体的标准步骤。

 

事情变得越来越有意思了。Cybereason发现攻击者在一些特定电脑上还使用了另一款勒索软件。这款勒索软件称为MBR-ONI,因为它加密的真实的文件系统,然后又把MBR、Master Boot Record替换称一个有密码的屏保,会在windows启动时显示。

 

攻击者通过使用合法的DiskCryptor(硬件加密程序)来加密文件系统并通过设置密码使之可以再次访问。这个程序在最近的Bad Rabbit勒索软件的攻击中也有用到。

DiskCryptor,是一个开源的磁盘加密软件。它可以加密整个硬盘,包括系统分区、闪存驱动器实时加密不会影响性能。同样也可以创建加密的CD/DVD(主要通过磁盘镜像.ISO文件)。

 

 

MBR-ONI只用在活跃的目录服务器或者关键设备中。

 

NotPetya 攻击不允许加密文件系统,而ONI和MBR-ONI是合法软件感染,用户得到秘钥后即可解密。但目前没有受害者支付赎金,甚至联系攻击者。

NotPetya是源自类似Petya的全新形式勒索病毒,可以将硬盘整个加密和锁死,从内存或者本地文件系统里提取密码。
2017年6月27日晚间11点左右,欧洲再度爆发大规模网络安全事件,包括全球最大的广告公司WPP在内的欧洲企业以及乌克兰基辅机场的网络系统受到NotPetya网络攻击,陷入瘫痪,相关用户被要求支付300美元的加密式数字货币以解锁电脑。

 

问题在于攻击者是否使用ONI获取了不义之财。

 

##IOCs
Hashes:

 

SHA256: 9bba34947b9b2f9d52aeb45b342637ce93d6683bbf8e352da53dae053da37ae6 (GlobeImposter Variant)

ONI相关的文件:

!!!README!!!.html

ONI Ransom留言 (中文版本):

重要信息!

 

所有的文件都已经用RSA-2048和RSA-256加密了。
不用担心,你可以恢复所有的文件。
我们保证所有的文件都能又快又安全的恢复过来。
如果想要恢复文件的方法,就联系我们吧!
为了证明可靠度,你可以免费解密两个文件。告诉我们你的文件和个人ID。(文件小于10MB,且没有机密信息)

 

联系信息:
hyakunoonigayoru@yahoo.co.jp

 

原文链接:https://www.bleepingcomputer.com/news/security/oni-ransomware-used-in-month-long-attacks-against-japanese-companies/
本文由看雪翻译小组哆啦咪编译
转载请注明来自看雪论坛


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//