在过去的一年里,Underground 勒索软件团伙已成为对不同行业和地区的组织构成的巨大威胁。
该组织于 2023 年 7 月首次被发现,并于 2024 年 5 月以专用泄漏地点 (DLS) 重新浮出水面,标志着一个更新和更复杂的运营阶段。
他们的活动现在从阿拉伯联合酋长国到韩国,针对建筑、制造、IT 等领域的公司。
受害者报告了加密的关键资产和数据泄露的威胁,并利用技术和心理压力要求赎金。
在他们最新的作案手法中,地下操作员根据受害者的环境精心定制了每次攻击。
初始渗透通常利用被盗的凭据或远程桌面服务中未修补的漏洞。
进入后,他们使用该命令禁用卷影副本,从而剥夺受害者的快速回滚选项。vssadmin delete shadows /all /quiet
ASEC 分析师指出,这种实践方法将日常环境转变为完全受损的环境,留下取证痕迹,使事件响应变得复杂。
侦察后,勒索软件继续执行结合 AES 对称加密和 RSA 非对称包装的加密例程。
每个文件都使用唯一的 AES 密钥进行加密,而密钥材料和初始化向量 (IV) 在附加到文件之前使用硬编码的 RSA 公钥进行密封。
加密过程中不发生外部 C2 通信,确保仅靠本地证据无法促进解密。
加密元数据(涵盖文件的原始大小、标志集、版本和魔术值)以附加在每个文件末尾的 0x18 字节块中构建。
感染机制深入探讨
Underground 感染机制的核心在于其多阶段有效负载执行。启动后,二进制文件会检查其命令行参数,并在检测到两个以上参数时立即退出,这是一种基本的反分析保护措施。
然后,恶意软件声明一个互斥字符串“8DC1F7B9D2F4EA58”以防止多个实例。
在不采用高级沙盒规避技术的情况下,它可以快速执行预加密例程:删除卷影副本、修改注册表项以限制远程桌面断开连接,以及使用以下命令停止 SQL 服务:-
reg add HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\ /v MaxDisconnectionTime /t REG_DWORD /d 1209600000 /f
net stop MSSQLSERVER /f /m
net stop SQLSERVERAGENT /f /m
net stop MSSQLFDLauncher /f /m
通过排除系统目录和可执行扩展(例如 、 和 ),恶意软件避免了作系统瘫痪,将其破坏力集中在用户生成的内容上。.exe.dll.sys
环境准备就绪后,通过 BCrypt API 生成一个 0x30 字节的随机数,分为 0x20 字节的 AES 密钥和 0x10 字节的 IV。
文件被读入内存,就地加密,然后附加 RSA 加密的密钥材料(0x200 字节)。
对于大文件,条带化方法使用指示加密单元大小和间隙间隔的标志值对头段、尾段和周期段进行加密,从而平衡性能和文件影响。
最后,勒索软件部署一个脚本来清除 Windows 事件日志,删除其活动痕迹并阻碍根本原因分析。_eraser.batwevtutil.exe
通过这些改进的策略,Underground 结合了经典和高级方法,强调了主动修补、分段备份和强大的端点监控对于防御其不断变化的威胁的重要性。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
