【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现

逆向病毒分析 1年前 (2023) admin
233 0 0
【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现


恶意文件名称:

MoneyMessage

威胁类型:

勒索软件

简单描述:

MoneyMessage是一款横跨Linux和Windows的双平台勒索软件。该组织在部署勒索软件前,会窃取用户的私人数据,MSI 等多个企业的数据也已遭泄露。


恶意文件分析

【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现

事件描述

深信服深盾终端实验室在近期的运营工作中捕获了 MoneyMessage 勒索病毒,通过关联分析发现该样本最早出现于2023年3 月。截至发文,从全球范围来看,已有多个受害者公开披露其遭受了MoneyMessage勒索病毒的攻击,其中不乏大型公司。

【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现


援引 Bleeping Computer 2023年4月7日的消息,MSI 已确认其遭受勒索软件攻击:


【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现
【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现

恶意文件分析


选取SHA256为dc563953f845fb88c6375b3e9311ebed49ce4bcd613f7044989304c8de384dac的样本进行分析,其基本信息如下所示。


【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现


勒索软件开始执行后,其会从文件的末尾读取攻击者留存的配置文件,配置文件具体如下所示:


【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现


读取配置文件命令行如下图所示:


【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现


提取出的参数如下所示:

info_text_message

mutex_name

extensions

skip_directories

network_public_key

network_private_key

processes_to_kill

services_to_stop

logging

domain_login

domain_password

crypt_only_these_directories

temporary_extension


从配置文件读取出的信息将用于后续的加密过程。


1. 创建 Mutex 避免重复运行。


【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现


2. 通过以下 API 组合枚举当用户系统中的所有服务及其状态:OpenSCManagerW、EnumServicesStatusExW、CloseServiceHandle。

若服务名称符合以下名称集合中的任意一个元素,则关闭该服务。


【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现


3. 通过 API 组合关闭配置文件中提到的进程。


【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现


4. 删除 VSS 备份文件。


【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现


5. 横向移动。使用存储在配置文件中的账号和密码,尝试连接当前计算机所在网络的其它机器,连接成功则再次进行加密操作。


【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现


配置文件中的字符串解密后对应的账户名和密码如下所示,在此处攻击者并未使用密码字典进行 RDP 爆破来传播勒索病毒,而是使用有限数量且特殊的用户名和密码,具有较强的指向性。


【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现


此勒索样本和传统的勒索病毒不同的点在于,此勒索样本并不会修改加密文件的后缀。加密后的文件如下图所示:


【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现


加密操作完成后,攻击者留存的勒索信如下图所示:


【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现


在此勒索样本的分析过程中,并未发现其有明显的外连行为。根据 hackread 于 2023年4月8日的一篇文章,MSI 对外声称遭受到 MoneyMessage 勒索病毒的攻击,MoneyMessage 要求 MSI 支付 4 百万美元,否则将窃取的 MSI 信息公之于众。MSI 于2023年4月7日发表了一篇声明,其修复了位于固件平台上的一个漏洞。MoneyMessage 很可能利用了该固件漏洞获取了MSI内部计算机的控制权,并部署相应的勒索软件。

国外某社交软件平台上一位用户声称,MoneyMessage 团伙使用 RClone 将窃取的信息传输至云存储服务中。


【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现


该组织窃取的信息在如下网站公布:


【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现


MSI  泄露的信息如下所示:


【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现

IOC


Sha256:

dc563953f845fb88c6375b3e9311ebed49ce4bcd613f7044989304c8de384dac

4f8bd37851b772ee91ba54b8fd48304a6520d49ea4a81d751570ea67ef0a9904

97abcf01deea74eb3771ddcef8bfc0906b46a55172588de8e2ad20f8d92b2de7

bbdac308d2b15a4724de7919bf8e9ffa713dea60ae3a482417c44c60012a654b

解决方案

【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现

处置建议


预防勒索攻击措施:

Ø 避免打开可疑或来历不明的邮件中的链接和附件。

Ø 进行定期备份,并将这些备份保存在离线状态或单独的网络中。

Ø 安装知名的防病毒和 Internet 安全软件包。

当遭遇勒索攻击后:

Ø 对受感染设备进行断网。

Ø 断开外部存储设备(如果已连接)。

Ø 检查系统日志中是否存在可疑事件。

【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现

深信服解决方案

【深信服终端安全管理系统EDR】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,设置相应的防护策略,获取全方位的勒索防护;


【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现


【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。


【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现


原文始发于微信公众号(深信服千里目安全技术中心):【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现

版权声明:admin 发表于 2023年4月19日 下午9:12。
转载请注明:【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...