Thanos勒索软件是第一个使用研究人员公开的RIPlace反勒索软件规避技术以及众多其他高级功能的软件,这使它一直受到关注。
Thanos首次于2019年10月底开始进行私人发行,但直到2020年1月,受害者才寻求所谓的Quimera Ransomware的帮助。
随着时间的流逝,受害者继续在BleepingComputer论坛中寻求相同勒索软件的帮助,但现在被确定为Hakbit。
在Recorded Future的一份新报告中,我们了解到该勒索软件名为Thanos,自2月以来在俄语俄语论坛上正被推广为一种勒索软件即服务。
黑客论坛广告
由一个名为Nosophorus的威胁研究员,Thanos正在招募黑客和恶意软件分发者来分发勒索软件。为此,他们将获得收入份额,通常占所有赎金付款的60-70%。
加入Thanos RaaS的会员可以访问“私人勒索软件生成器”,该生成器用于生成自定义勒索软件可执行文件。
Thanos勒索软件生成器
尽管大多数用C#编写的勒索软件的复杂程度都不高,但Thanos具有众多高级功能,使其在其他软件中脱颖而出。
正如您在上面看到的那样,该构建器具有广泛的功能,包括内置的未加密文件窃取程序,自动传播到其他设备以电脑及采用研究人员公开的RIPlace规避技术。
率先使用RIPlace反勒索软件规避
2019年11月,BleepingComputer报告了一种名为RIPlace的新型反勒索软件规避技术,该技术由端点保护公司Nyotron的安全研究人员披露。
Nyotron发现,当勒索软件将文件重命名为使用DefineDosDevice()函数创建的符号链接时,反勒索软件将无法准确检测到该操作。
相反,它们的监视功能将收到一个错误,而重命名仍将起作用,从而绕过反勒索软件程序。
如果在调用重命名之前,我们调用DefineDosDevice(创建符号链接的旧函数),则可以传递任意名称作??为设备名称,并传递原始文件路径作为指向的目标。这样,我们可以使设备“ XY”引用“ C:\ passwords.txt”。
RIPlace发现,在回调函数中,使用通用例程FltGetDestinationFileNameInformation时,筛选器驱动程序无法解析目标路径。传递DosDevice路径时,它将返回错误(而不是返回经过处理的路径);但是,重命名调用成功。
Thanos是第一个采用RIPlace技术的勒索软件,如以下代码所示。
Thanos中使用的RIPlace技术
当Nyotron向安全公司负责任地披露该技术时,大多数人告诉他们,由于这是一种理论技术,并且没有在野外使用,因此不会解决。在被告知电脑的公司中,只有卡巴斯基和Carbon Black修改了他们的软件以阻止这种技术。
我们还针对Microsoft的“受控文件夹访问”功能测试了该技术,该功能无法检测到该方法。当我们向微软询问RIPlace时,BleepingComputer被告知该技术不符合漏洞要求,因为它不满足其安全服务标准。
“所描述的技术不是安全漏洞,不满足我们的安全服务标准。受控的文件夹访问是一种纵深防御功能,并且所报告的技术需要在目标计算机上具有更高的权限。”
内置文件盗窃和自动传播
在过去的一年中,勒索软件操作采取了在加密计算机之前先窃取受害者文件的策略。然后,威胁行为者威胁说,如果不支付赎金,就会在数据泄漏站点上释放被盗文件。
这种文件盗窃通常是通过公司的云备份或通过手动将文件复制到远程位置来完成的。Thanos包含ftp_file_exfil()函数,该函数在对计算机进行加密时自动对远程FTP站点执行文件泄漏。
Recorded Future指出,默认情况下被盗的文件是'.docx','。xlsx','。pdf'和'.csv',但是在构建勒索软件可执行文件时,勒索软件会员可以指定其他扩展名。
内置数据渗透
除了内置的文件盗窃之外,Thanos还包括一项功能,该功能将尝试将勒索软件横向传播到网络上的其他设备。
执行后,Thanos将电脑从其GitHub存储库下载SharpExec攻击性安全工具包。勒索软件将使用SharpExec捆绑的PSExec程序在其他计算机上复制并运行勒索软件可执行文件。
自动传播到其他计算机
该功能使勒索软件附属公司可以破坏一台计算机,并可能使用它来加密网络上的其他设备。
如果受感染的用户是域管理员,则这尤其是灾难性的。
在BleepingComputer看到的Thanos赎金记录中,这种勒索软件已经出现在针对对多个服务器进行加密的公司的定向攻击中。
Thanos赎金记录
威胁参与者正在不断发展勒索软件以利用新技术和战术。
他们还可以监视研究人员,开发人员和新闻工作者的活动,以改善其恶意软件。RIPlace反勒索软件理论上的采用清楚地说明了这一点。
在BleepingComputer看到的Thanos赎金记录中,这种勒索软件已在针对目标公司的攻击中被看到,在该公司中,多台服务器被加密。
电脑