发现新的勒索软件：白兔及其规避策略

我们发现新的 勒索软件 家族 White Rabbit 通过在 2021 年 12 月对美国当地一家银行进行攻击而名声大噪。这个新来者 借鉴了更成熟的勒索软件家族Egregor来隐藏其恶意活动并具有潜在的连接到高级持续威胁 (APT) 组 FIN8。

使用命令行密码

White Rabbit 攻击最值得注意的方面之一是其有效负载二进制文件如何需要特定的命令行密码来解密其内部配置并继续执行其勒索软件程序。这种隐藏恶意活动的方法是勒索软件家族 Egregor 用来隐藏恶意软件技术以防分析的一种技巧。 

White Rabbit 的负载乍一看并不显眼，它是一个大约 100 KB 的小文件，没有显着的字符串，似乎没有任何活动。其恶意来源的明显迹象是存在用于记录的字符串，但如果没有正确的密码，就不容易观察到实际行为。

图 1. SysTracer 显示用于执行勒索软件的命令行

我们分析的样本使用了密码或密码短语“KissMe”，如图 1 所示，尽管其他样本可能使用不同的密码。图 1 还显示了勒索软件接受的参数，我们推测它们代表以下内容：

• -p：密码/密码
• -f：要加密的文件
• -l：日志文件
• -t：恶意软件的开始时间

到达和与 APT 的关系

我们的内部遥测显示 Cobalt Strike 命令的痕迹，这些命令可能已被用于侦察、渗透并将恶意负载放入受影响的系统中。

图 2. 显示 Cobalt Strike 痕迹的证据

同时， 来自 Lodestone 的研究人员 指出，与此次攻击相关的恶意 URL 也与名为 FIN8 的 APT 组织有关。他们还注意到 White Rabbit 使用了前所未有的 Badhatch 版本，这是一个与 FIN8 相关的 F5 后门。不幸的是，在分析时，来自上述 URL 的文件不再可用。

勒索软件例程

勒索软件程序本身并不复杂。像许多 现代勒索软件 家族一样，White Rabbit 使用 双重勒索 并威胁其目标，他们的被盗数据将被公布或出售，如他们的赎金记录所示。

图 3. White Rabbit 赎金票据

勒索软件会为它加密的每个文件创建一个注释。每条笔记都带有加密文件的名称，并附有“.scrypt.txt”。在勒索软件例程之前，该恶意软件还会终止多个进程和服务，尤其是与防病毒相关的进程和服务。 

然后，恶意软件会尝试加密固定、可移动和网络驱动器以及资源中的文件（如果未给出 -f 参数）。它还尝试跳过以下路径和目录，以避免系统崩溃并破坏自己的注释：

• *.scrypt.txt
• *.scrypt
• c:\windows\*
• *:\sysvol\*
• *:\netlogon\*
• c:\filesource\*
• *.exe
• *.dll
• *\desktop.ini
• *:\windows\*
• c:\programdata\*
• *:\programfiles\*
• *:\program files (x86)\*
• *:\program files (x64)\*
• *.lnk
• *.iso
• *.msi
• *.sys
• *.inf
• %User Temp%\*
•  *\thumbs.db

结论

目前，我们仍在确定 FIN8 和 White Rabbit 是否确实相关，或者它们是否共享同一创建者。鉴于 FIN8 主要以其渗透和侦察工具而闻名，这种联系可能表明该组织正在扩大其武器库以包括勒索软件。到目前为止，白兔的目标很少，这可能意味着它们仍在试水或为大规模攻击做准备。

因此，考虑到其简单的勒索软件程序，White Rabbit 可能仍处于开发阶段。然而，尽管处于早期阶段，但重要的是要强调它具有现代勒索软件的麻烦特征：它毕竟具有高度针对性并使用双重勒索方法。因此，值得监控。

多层防御可以帮助防范现代勒索软件并防止他们采用的规避策略成功。组织可以通过采取这些步骤并采用这些解决方案来降低风险：

• 部署跨层检测和响应解决方案。找到能够在威胁达到顶峰之前预测并响应勒索软件活动、技术和移动的解决方案。  Trend Micro Vision One™️ 有助于检测和阻止勒索软件组件，以在攻击影响企业之前阻止它们。
• 为攻击预防和恢复创建一个剧本。事件响应 (IR) 手册 和 IR 框架都 允许组织规划不同的攻击，包括勒索软件。
• 进行攻击模拟。让员工接触 真实的网络攻击模拟 ，帮助决策者、安全人员和 IR 团队识别潜在的安全漏洞和攻击并做好准备。

妥协指标 (IOC)