Thanos勒索软件通过RIPlace战术逃避反勒索软件的保护

预计阅读时间： 5 分钟

勒索软件通过不断改进其对系统文件进行加密的技术和策略，在网络领域已走了很长一段路。多年来，勒索软件通过使用不同的编译器和复杂的打包程序，从PE迁移到非PE和独立的有效负载，从而即兴发挥了自己的作用。为了应对这种变化，基于行为的检测和反勒索软件解决方案起着至关重要的作用，因为针对勒索软件的活动是针对性的，这是任何人都无法避免的。

勒索软件的作者现在已经开始将其恶意有效载荷注入Windows正版系统进程中，该进程通常被列入白名单，并通过绕过安全解决方案对文件进行加密-一直以来，他们一直在寻找易受攻击的漏洞并在漏洞公开曝光后对其进行滥用。

最近，我们观察到类似的勒索软件（称为Thanos 勒索软件），试图通过实施不同的技术来逃避传统的反勒索软件解决方案，其中包括过程注入和最新技术。 RIPlace 战术。

去年，Nyotron的研究人员提供了 概念验证（POC） RIPlace策略的一种，它可以潜在地加密文件而不会被反勒索软件或端点检测和响应（EDR）解决方案识别。

技术分析

已发现Thanos 勒索软件使用多种功能，以绕过防病毒（AV）产品。

感染向量尚不清楚，但是有一个PowerShell脚本，其中包含另一个双重Base64编码的PowerShell，其中包含嵌入式C＃代码。第一个脚本执行嵌入式PowerShell脚本并创建以下过程 “记事本” 在隐藏模式下。第二个脚本中存在的C＃代码基本上取自Github上Sharp-Suite框架的Urban Bishop代码。创建的记事本进程的PID作为参数传递给此C＃代码。此后，脚本将被横向分配给网络中连接的所有计算机。

 

该函数调用包含Base64编码的shellcode（如图3所示），然后将其注入到 记事本 处理。 Shellcode包含已编码的.Net有效内容。该有效载荷是Thanos勒索软件的变体，可对目标计算机上的文件进行加密。

Thanos框架中有不同的模块。一些有趣的是-

1.反杀 –如图所示。 4，使用命名函数， IamInmortal（） 通过更改流程安全描述符来使流程永生。

2.反分析 –用于识别调试器或虚拟环境的存在，如果发现，则终止示例。

3.反嗅探器 –停止遵循通常用于分析的流程-

4. AwakeMe –负责实施局域网唤醒。 （可以找到局域网唤醒的详细说明 在我们之前的博客中)

5.加密 –包含所有与加密相关的功能，例如AES-CBC加密，解密，从文件读取数据，将数据写入文件。

6.密码学助手 –已实施RSA加密。

7.网络传播 –下载Power Admin的应用程序，即 可执行程序 （这允许在远程计算机上执行Windows程序），并在远程计算机上执行当前示例。

8. MutexHelper –它检查是否存在下面的互斥对象，以检查样本是否已在系统上执行–

“全局\\ 3747bdbf-0ef0-42d8-9234-70d68801f407”

9. ProcessCritical – 检查进程是否正在以管理员权限运行。

10. RIP –稍后将讨论RIPlace策略的实现。

11.捷径 –在启动文件夹中创建快捷方式，并将目标文件名作为赎金票据，并保存在％温度％文件夹。

12. WakeOnLan –通过获取连接到当前计算机的所有计算机的IP地址来实现局域网唤醒。

不同样本中包含的此类不同模块有所不同。

采取了最大的预防措施，因此它试图隐藏以下过程-

 任务管理器

任务管理器

ProcessHacker

procexp

自我复制也将被放置在StartupFolder上，它还会尝试停止与不同AV相关的各种服务，这些服务将通过以下方式在系统上运行 可执行文件，使用图6中所示的命令

它使用以下命令进一步删除卷影副本 vssadmin.exe， 删除存在于不同驱动器上的所有备份文件，包括使用

cmd.exe / c rd / s / q％SYSTEMDRIVE％\\ $ Recycle.bin

加密

文件已加密，文件名带有扩展名 “ .locked”。 仅对具有以下扩展名的文件执行加密-

bco，一个，dat，txt，vib，vbm，vbk，jpeg，gif，lst，tbl，cdx，日志，fpt，jpg，png，png，php，cs，cpp，rar，zip，html，htm，xlsx，xls， avi，mp4，ppt，doc，docx，sxi，sxw，odt，hwp，tar，bz2，mkv，eml，msg，ost，pst，edb，sql，accdb，mdb，dbf，odb，myd，php，java， cpp，pas，asm，key，pfx，pem，p12，csr，gpg，aes，vsd，odg，raw，nef，svg，psd，vmx，vmdk，vdi，lay6，sqlite3，sqlitedb，accdb，java，class， mpeg，djvu，tiff，备份，pdf，cert，docm，xlsm，dwg，bak，qbw，nd，tlg，lgb，pptx，mov，xdw，ods，wav，mp3，aiff，flac，m4a，csv，sql， ora，mdf，ldf，ndf，dtsx，rdl，dim，mrimg，qbb，rtf，7z

使用AES-CBC对文件进行加密，然后使用RSA对加密中使用的密钥进行加密，并将其附加在Ransom注释中（如图8所示）。如果文件大小小于10MB，则对整个文件进行加密；否则，仅对最大10MB的文件数据进行加密。

但是，Thanos用来逃避反勒索软件解决方案的最重要且新颖的技术是 RIPlace 资产Microsoft Windows文件的策略 改名 功能！它可以帮助勒索软件从现代的反勒索软件解决方案中隐藏起来。

通过这种技术，恶意软件可以调用 DefineDosDevice，这是一个真正的函数，可以创建符号链接，并且可以为目标/目标文件路径指定任意名称（例如，在这种情况下为“ Resolve”）。当我们打电话给 改名 函数，使用公共例程时，筛选器驱动程序无法解析回调函数中的目标路径 FltGetDestinationFileNameInformation。因此，它没有返回新路径，而是返回错误，但是，重命名调用成功。

除此之外，Thanos可能会尝试覆盖MBR，并尝试显示以下消息-

结论

勒索软件家族已经使用了多种技术来更早地避开AV产品，从而增加了复杂性，操作速度，分析工具的终止，但这一次它变得更加先进，对反勒索软件技术提出了挑战。使用几乎所有可能的反分析技术，然后从反勒索软件解决方案中隐藏加密文件的新扩展名，使任务变得更加困难。

国际奥委会：

7BDD4B25E222B74E8F0DB54FCFC3C9EB

AF0E33CF527B9C678A49D22801A4F5DC

A15352BADB11DD0E072B265984878A1C

BE60E389A0108B2871DFF12DFBB542AC

 98880A1C245FBA3BAE21AC830ED9254E

 E01E11DCA5E8B08FC8231B1CB6E2048C