Avoslocker进入勒索瓶场景，询问合作伙伴 - Malwarebytes Labs |必威官方登录备用必威平台APP必威客服app必威平台APP必威官方登录备用Malwarebytes Labs.

发布：7月23日，2021年经过威胁情报团队
最近更新时间：7月28日，2021年

这个博客帖子由hasherezade撰写

7月中旬，我们回应了一个涉及对Microsoft Exchange服务器攻击的事件。威胁Actor使用此入口点进入域控制器，然后将其作为跳板用于部署Ransomware。

在检查赎金瓶有效载荷的同时，我们注意到这是一个我们之前没有听说过的新变种。在这个博客中，我们将看看AvoSlocker一个坚实的稳固，但没有太喜欢的新赎金软件系列已经声称了几个受害者。

然而，这类赎金软件攻击这些天都太常见，并且在许多行业都造成了严重破坏。随着臭名昭着的速度消失，可能的新威胁演员正在积极寻求填补空白。

新的赎金软件，寻找合作伙伴必威客服app

Avos是一个相对较新的赎金书，那是观测到的在6月下旬和7月初。它的作者开始通过各种地下论坛寻找附属公司。他们宣布为“有源目录网络经验的Penterers”和“访问经纪人”招聘，这表明他们希望与远程访问黑客基础设施的人合作。

在其他广告中，他们描述了他们提供的产品：用C ++编写的多线程勒索软件：

它们不仅提供恶意软件，还提供管理与受害者的通信，并在操作期间托管数据被盗。很快，一些受害者这个勒索软件开始出现。

行为分析

AvosLocker由远程访问机器的攻击者手动运行。出于这个原因，它在运行期间并不试图是隐秘的。在默认模式下，它将其作为控制台应用程序报告其在屏幕上的进度的详细信息。

来自运行的示例日志（缩短）：

DRIVE：C：DRIVE：D：线程Init地图：C：搜索文件：C：*文件：C：\ AutoExec.bat地图：D：搜索文件：D：* FindFirstFilea：Direct_handle_value驱动器D：持续0.002000秒开始C：\ autoexec.bat  -  ext蝙蝠 - 密集为kat  - 密集为：c：c：_pin *文件：c：_pin \ pinadx-vsextension-3.17.98314-g0c048d619.bat开始加密C：加密C：_pin \ pinadx-vsextension-3.17.98314-g0c048d619.bat  -  ext蝙蝠 - 上限是[...]搜索文件：c：\ documents和settings * findfirstfilea：invalid_handle_value搜索文件：c：\ $回收.bin *[...]驱动器C：完成了52.59万秒!!64.620000秒

查看日志，我们可以通过列出所有文件来看看Ransomware首次“映射”可访问的驱动器。之后它会加密。根据其扩展，选择文件以进行加密。

可以通过AvoSlocker进行加密的文件.avos.扩展附加到原始文件名。虽然内容是不可读的，但最后我们找到了添加的Base64编码块：

我们可以假设这个Base64编码的数据包含用于加密此文件的RSA保护AES密钥。每个攻击的目录都有一个赎金笔记，它命名get_your_files_back.txt.txt.：

有趣的是，在部署期间未生成ID，但在样本中硬编码（通过查看样品字符串，我们可以轻松地看到）。这可能意味着分销商每名受害者产生样本。

赎金说明指南指向洋葱网站的链接，请求ID，即在注释中：

在ID提交后，受害者呈上个别小组提出：

除了在截止日期后增加价格的临时威胁外，这个赎金软件通过doxing添加了勒索。提供了题为“新闻发布”的附加网站，以证明这些人不仅仅是空威胁：

视觉分析

可视化加密文件的内容显示其高熵。保留了原始文件内容的模式。例子：

这些属性表明，可能在CBC模式（密码块链接）中使用强加密算法。

此外，相同的明文文件已被加密到不同的密文输出。这表明对于每个文件，生成新密钥（或至少一个新的初始化向量）。

里面

该贷款软件专用于手动部署在黑客机器上。此目的是反映在设计中。与大多数恶意软件相比，AvoSlocker没有任何保护（抑制）层。然而，它并非完全无卫冕：所有字符串和一些API都被混淆，以逃避静态检测。然而，在执行期间，控制台在执行动作的日志上大喊大叫，以便攻击者可以在实时观察程序正在做的事情。

执行流程

执行在主要功能中开始：

首先，Malware检查是否提供了可选的CommandLine参数。通过提供它们，攻击者可以启用/禁用一些功能。

然后，互斥锁名称被解码（“ievah8evki3ho4oo”），并检查其存在。它是为了防止赎金软件在时间不止一次运行。如果互斥锁已存在，则执行终止。

此恶意软件可能附带攻击者的硬编码RSA公钥。此键将进一步用于加密用于加密文件的单个AES密钥。然而，公钥的存在是可选的。如果未提供，则应用程序将生成一个新密钥对。

在此准备后，恶意软件进行加密文件。根据给出的参数，它可以加密网络资源。然后，无条件地，它加密驱动器。加密操作在新线程中运行。

加密完成后，它将打印攻击者的信息。然后，最终确定所有正在运行的线程。最后，恶意软件打印了关于加密可用资源需要多长时间的摘要。

争论

默认情况下，它将作为控制台应用程序运行，但可以通过提供特定的commandline参数来隐藏控制台：'h'（隐藏）。还有一个commandline参数允许选择加密网络资源：'n'（网络）。

字符串混淆

如前所述，Avos使用字符串混淆。所有字符串都被XOR与给定密钥混淆，并在使用前拆借。虽然算法很简单，但它的实现方式尤其令人疑惑。在线完成，而不是拥有一个中央驱杂化函数，而不是具有一个中央脱离函数。例子：

API混淆

以及字符串，恶意软件使用的某些API会被混淆。通过其校验和来检索函数，这是恶意软件使用的常见技巧，以避免可能升起怀疑的功能的硬编码名称。虽然是较小的，但是，解决API的函数也用作内联。

这种混淆API调用的方式不仅隐藏了使用的函数，还可以为代码添加卷，使其更加不可读且难以遵循。

然而，很容易在帮助下揭示使用过的函数名称跟踪和标记。示例 - 上述困难功能解决了GetLogicalDrives：

攻击的目标

ransomware加密所有附加的驱动器。

此外，除非来自命令行中的参数（'n'），否则ransomware将继续加密网络共享。循环中枚举可用资源：

可访问的网络共享已加密：

从每个介质，首先将文件添加到列表中。然后，创建的列表由加密例程处理。

具有以下扩展的文件正在攻击：

ndoc docx xls xlsx ppt pptx ppt oost msg eml vsd vsdx txt csv rtf wks wk1 pdf dwg onetoc2 snt jpeg jpg docb docm dot dotm dotx xlm xlsb xlw xlt xlm xlc xltx xltm pptm pot ppps pptm pot p pps pptm pot ppp ppps ppp p pps ppp ppp p pps pps pp pp p pps ppp p pp pp pp pp pp p pp ppp p p pps p ppam potx potm pppam potx potm edb hwp 602 sxi sti sldxSLDM SLDM VDI VMDK VMX GPG AES ARC PAQ BZ2 TBK BAK TAK TGZ GZ 7Z RAIP备份ISO VCD BMP PNG GIF原料CGM TIF TIFF NEF PSD AI SVG DJVU M4U M3U MID WMA FLV 3G2 MKV 3GP MP4 MOV AVI ASF MPEG VOB MPG WMV FLASWF WAV MP3 SH级罐Java RB ASP PHP JSP BRD SCH DCH DIP PL VB VBS PS1 BAT CMD JS ASM H PAS CPP C CS SUO SLN LDF MDF IBD MYI MYD FRM ODB DBF DB MDB ACCDB SQL SQLitedB SQLITE3 ASC LAT6 Lay6 Lay6 Lay6 Lay6 Lay6 Lay6 Lay6 Lay6 Lay 6ODG UOP STD SXD OTP ODP WB2 SLK DIF STC SXC OTS ODS 3DM MAX 3DS UOT STW SXW OTT ODT PEM P12 CSR CRT键PFX DER DAT