freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

InterLock勒索攻击组织情况分析
2024-11-26 14:48:19
所属地 北京

1          概述

InterLock勒索攻击组织被发现于2024年9月,该组织通过网络钓鱼、漏洞利用、搭载于其他恶意软件和非法获取凭证等多种手段渗透受害者网络,窃取敏感信息并加密数据,实施双重勒索,以此对受害者施加压力。暂未发现该组织通过勒索软件即服务(RaaS)模式招募附属成员以扩大非法收益的情况。目前,已监测到该组织开发了针对Windows、Linux和FreeBSD系统的加密载荷。在Windows系统中,InterLock勒索软件采用“AES+RSA”算法对文件进行加密。感染的迹象包括文件名后添加“.interlock”扩展名,以及出现名为“!README!.txt”的勒索信。截至目前,尚未发现任何工具能够有效解密由InterLock勒索软件加密的数据。

InterLock组织在暗网中运营一个名为“InterLock Worldwide Secrets Blog”的网站,公开受害者信息。该网站包含组织介绍、联系方式、受害者资料以及从受害者系统中窃取的数据等。对于每位受害者,攻击者创建独立的信息板块,列出受害者名称、官网链接、信息概览、被盗文件类型和数量。攻击者利用公开受害者信息和部分被盗文件作为要挟,迫使受害者为防数据被出售或公开而支付赎金或满足其他非法要求。截至2024年11月21日,该网站已公布7名受害者的信息,但实际受害数量可能更多。攻击者可能基于多种原因选择不公开或删除某些信息,例如在与受害者达成协议,或受害者支付赎金换取了信息的移除。

InterLock组织所使用的勒索加密载荷和攻击技战术等特征揭示了其与Rhysida组织[1]之间可能的联系。自2023年5月被发现以来,Rhysida组织一直以RaaS和双重勒索模式进行运营,但自2024年10月以来,其攻击活跃度有所下降。在当前复杂的网络犯罪生态和全球执法机构对勒索攻击组织的持续打击下,InterLock与Rhysida之间的关系引发了多种推测:InterLock可能是Rhysida的一个分支或附属机构,继承了其技术和战术;或者Rhysida组织的部分成员因内部分歧或其他原因而另立门户,成立了InterLock;还有一种可能是Rhysida组织为了规避执法机构的打击,以InterLock的新名义继续其非法活动。这些推测基于两个组织在勒索软件操作和战术上的相似性,以及网络犯罪组织内部常见的动态和逃避策略。相关勒索软件及其组织信息可见计算机病毒百科(https://www.virusview.net/RansomwareAttack)。

2           组织情况

表 2‑1 组织概览

组织名称

InterLock

出现时间

2024年9月

入侵方式

网络钓鱼、漏洞利用、搭载于其他恶意软件和非法获取凭证

典型加密后缀

.interlock

解密工具

暂未发现公开的解密工具

加密系统

Windows、Linux、FreeBSD

攻击模式

非定向与定向攻击模式

常见行业

医疗、金融、教育、制造、公共管理

是否双重勒索

勒索信

InterLock勒索软件于2024年9月被MOXFIVE发现[2],根据勒索信中预留的信息判定该勒索软件是由InterLock勒索攻击组织使用。

图 2‑1 组织暗网页面


在暗网中网站页面设置了“自我介绍”信息栏,表明自己的身份和发起勒索攻击的原因等内容。

图 2‑2 组织“自我介绍”内容


InterLock组织自2024年10月13日发布第一名受害者信息以来,截至11月21日已陆续发布7名受害者信息,实际受害数量可能更多。

图 2‑3 受害者信息栏

3          样本功能与技术梳理

3.1         样本标签

表 3‑1 InterLock勒索软件样本标签

病毒名称

Trojan/Win32.InterLock[Ransom]

原始文件名

matrix

MD5

F7F679420671B7E18677831D4D276277

文件大小

1.89 MB (1,982,464字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2024-10-11 04:47:13 UTC

数字签名

加壳类型

编译语言

Visual C/C++

VT首次上传时间

2024-10-13 17:10:43 UTC

VT检测结果

57/73

3.2         样本分析

样本执行支持4种执行参数,具体功能如下表所示:

表 3‑2 功能参数

参数

功能

--directory

加密指定文件夹

--file

加密指定文件

--delete

自删除

--system

创建系统计划任务

样本包含大量混淆代码,并通过代码自解密恢复正常代码执行,以此增加分析难度,减少代码静态特征。

图 3‑1 样本代码混淆

如果指定了自删除参数,则在加密结束后,释放文件%Temp%\tmp<随机数>.wasd,然后使用rundll32执行。该文件实际是一个dll格式文件,有个导出函数run,功能为删除文件。

图 3‑2 自删除功能

若指定了计划任务参数,则会创建名为TaskSystem的计划任务。

图 3‑3 创建计划任务

避免因加密导致系统崩溃或加密到杀毒软件文件,不对特定文件夹进行加密。

图 3‑4 绕过加密的文件夹

具体绕过加密的文件夹信息如下表所示:

表 3‑3 绕过加密的文件夹

绕过加密的文件夹

$Recycle.Bin

Boot

Documents and Settings

PerfLogs

ProgramData

Recovery

Windows

System Volume Information

AppData

WindowsApps

Windows Defender

WindowsPowerShell

Windows Defender Advanced Threat Protection



避免因加密导致系统崩溃,不对特定后缀名和特定文件名的文件进行加密。

图 3‑5 绕过加密的后缀名及文件名

具体绕过加密的后缀名及文件名信息如下表所示:

表 3‑4 绕过加密的后缀及文件名

绕过加密的后缀及文件名

.bin

.diagcab

.hta

.scr

.dll

.cab

.diagcfg

.ico

.sys

.exe

.cmd

.diagpkg

.msi

.ini

.ps1

.com

.drv

.ocx

.url

.psm1

.cur

.hlp

Thumbs.db



样本使用LibTomCrypt加密库。

图 3‑6 LibTomCrypt加密库

在要加密的目标文件末尾填充字节,直至文件大小为16字节的倍数,对齐AES加密分组大小。

图 3‑7 填充目标文件末尾

样本采用AES-CBC和RSA加密算法,样本会为每个文件生成独立的48个字节长度的随机数,将其前32字节作为AES密钥对整个文件进行加密。同时将这48个字节的随机数使用RSA非对称加密后附加在加密的文件的末尾。总体加密逻辑如下所示。

图 3‑8 加密逻辑

使用AES加密文件的代码如下,文件所有内容均会被加密。

图 3‑9 采用AES加密算法

勒索信相关内容。

图 3‑10创建勒索信相关代码

清除入侵痕迹,在样本执行结束后调用API清除相关日志。

图 3‑11 清除相关日志

参考链接

  • 2023年活跃勒索攻击组织盘点 [R/OL].(2024-01-25)

https://www.antiy.cn/research/notice&report/research_report/RansomwareInventory.html

  • MOXFIVE Threat Actor Alert - INTERLOCK Ransomware [R/OL].(2024-09-30)

https://www.moxfive.com/resources/moxfive-threat-actor-spotlight-interlock-ransomware

# 网络安全 # 勒索攻击 # 安天科技 # 勒索组织
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录