隶属于法国国家网络安全署(ANSSI)的法国政府计算机应急准备小组发现了一种Ryuk变种,在事故响应中具有类似蠕虫的能力。
对于那些不知情的人琉克,它是一种ransomware用于针对企业和组织的定向攻击。它于2018年8月首次在野外被发现,自那以来被用于许多网络攻击,包括对谷歌的攻击等高调事件坦帕湾倍和其他报纸在2020年1月。据美国联邦调查局(FBI)称,就完成的赎金支付金额而言,这是排名第一的勒索软件。
Ryuk如何变化?
法国团队发现Ryuk的一种变体可以在Windows域内从一个系统传播到另一个系统。一旦启动,它将传播到每一台可以访问Windows远程过程调用(RPC)的机器上。(远程过程调用是Windows进程之间通信的一种机制。)
这有什么了不起的?
这对于两个单独的原因来说是值得注意的。
- Ryuk曾经被投放到网络中,并由人工操作传播,或者由其他人部署到网络中恶意软件.
- 从历史上看,其中一个主要的球员,当它来到ryuk时情绪化.碰巧的是,的Emotet僵尸网络遭受严重打击何时,在协调行动时,多个执法机构查获了控制情感僵尸网络。如果抛售的计划后面,那么僵尸网络将是从里面卷起来.
有针对性的勒索软件攻击要求高额赎金,因为它们会感染整个网络,使整个组织陷入瘫痪。在这个发现之前,Ryuk一直依靠其他东西在它攻击的网络中传播它。
鉴于ModeTeTodown(1月27日,2021年)和发现蠕虫的能力(2021年初“)的时间,它很诱人地连接两者。然而,对于这些新功能来说,它需要一个非常快速的转弯,以应对情绪丢失的损失。另一方面,我并不是一个坚定的信徒巧合,特别是当有引人注目的理由另有疑问时。
不是情感替代品
但新发现的Ryuk蠕虫功能并不能替代通过网络进行的初始感染情绪化.类似蠕虫的功能一旦部署即可是Inside and not to得到在里面。
尽管Emotet因与Ryuk的合作而闻名,但它肯定不是Ryuk的独家经销商。目前还很难说,Emotet被撤下会对经常被视为其伙伴的恶意软件家族产生什么影响。
琉克的技术能力
Ryuk背后的团队已经证明,早期的技巧,他们非常擅长使用网络协议。2019年,研究人员发现Ryuk已更新,以便在受感染系统上扫描地址解析协议(ARP)表,以获取已知系统及其IP和MAC地址的列表。对于私有IP地址范围内的系统,然后编程恶意软件以使用Windows Wake-On-LAN命令,将数据包发送到设备的MAC地址,指示它唤醒,因此可以远程加密驱动器。Wake-On-LAN是一种技术,允许网络专业人员在计算机上远程电源或从睡眠模式唤醒。
ARP和RPC的结合。
总之,这个新的变体可以通过读取ARP表找到“邻居”中的系统,通过发送lan上的唤醒命令唤醒这些系统,然后使用RPC将自己复制到已识别的网络共享中。在此步骤之后,在远程机器上创建计划任务。
2019年,国家安全委员会报告说
“Ryuk勒索软件本身并不包含在网络内横向移动的能力,”
意思是攻击者首先进行网络侦察,识别用于开发系统,然后运行工具和脚本以扩展密码锁定恶意软件。随着这种新功能的发展,此声明现在不再是真实的。
减轻网络遍历
提出的缓解过程之一,并且不涉及任何网络安全软件,是禁用用于发送RPC调用的用户帐户,并更改KRTGGT域密码。KRBTGT是一个当地的默认帐户,作为Kerberos分销中心(KDC)服务的服务帐户。Active Directory域中的每个域控制器都运行KDC服务。禁用用户帐户,特别是更改KRBTGT域密码,对网络操作产生严重影响,并要求许多系统重新启动。但这些麻烦不会超过一个完整的网络落后的受害者的后果。
确保网络安全,各位!
评论