Aggregator

1 概述

InterLock勒索攻击组织被发现于2024年9月，该组织通过网络钓鱼、漏洞利用、搭载于其他恶意软件和非法获取凭证等多种手段渗透受害者网络，窃取敏感信息并加密数据，实施双重勒索，以此对受害者施加压力。暂未发现该组织通过勒索软件即服务（RaaS）模式招募附属成员以扩大非法收益的情况。目前，已监测到该组织开发了针对Windows、Linux和FreeBSD系统的加密载荷。在Windows系统中，InterLock勒索软件采用“AES+RSA”算法对文件进行加密。感染的迹象包括文件名后添加“.interlock”扩展名，以及出现名为“!README!.txt”的勒索信。截至目前，尚未发现任何工具能够有效解密由InterLock勒索软件加密的数据。

InterLock组织在暗网中运营一个名为“InterLock Worldwide Secrets Blog”的网站，公开受害者信息。该网站包含组织介绍、联系方式、受害者资料以及从受害者系统中窃取的数据等。对于每位受害者，攻击者创建独立的信息板块，列出受害者名称、官网链接、信息概览、被盗文件类型和数量。攻击者利用公开受害者信息和部分被盗文件作为要挟，迫使受害者为防数据被出售或公开而支付赎金或满足其他非法要求。截至2024年11月21日，该网站已公布7名受害者的信息，但实际受害数量可能更多。攻击者可能基于多种原因选择不公开或删除某些信息，例如在与受害者达成协议，或受害者支付赎金换取了信息的移除。

InterLock组织所使用的勒索加密载荷和攻击技战术等特征揭示了其与Rhysida组织[1]之间可能的联系。自2023年5月被发现以来，Rhysida组织一直以RaaS和双重勒索模式进行运营，但自2024年10月以来，其攻击活跃度有所下降。在当前复杂的网络犯罪生态和全球执法机构对勒索攻击组织的持续打击下，InterLock与Rhysida之间的关系引发了多种推测：InterLock可能是Rhysida的一个分支或附属机构，继承了其技术和战术；或者Rhysida组织的部分成员因内部分歧或其他原因而另立门户，成立了InterLock；还有一种可能是Rhysida组织为了规避执法机构的打击，以InterLock的新名义继续其非法活动。这些推测基于两个组织在勒索软件操作和战术上的相似性，以及网络犯罪组织内部常见的动态和逃避策略。相关勒索软件及其组织信息可见计算机病毒百科（https://www.virusview.net/RansomwareAttack）。

经验证，安天智甲终端防御系统（简称IEP）可实现对InterLock勒索软件的有效查杀。

2 组织情况

表 2‑1 组织概览

组织名称

InterLock

出现时间

2024年9月

入侵方式

网络钓鱼、漏洞利用、搭载于其他恶意软件和非法获取凭证

典型加密后缀

.interlock

解密工具

暂未发现公开的解密工具

加密系统

Windows、Linux、FreeBSD

攻击模式

非定向与定向攻击模式

常见行业

医疗、金融、教育、制造、公共管理

是否双重勒索

是

勒索信

InterLock勒索软件于2024年9月被MOXFIVE发现[2]，根据勒索信中预留的信息判定该勒索软件是由InterLock勒索攻击组织使用。

图 2‑1 组织暗网页面

在暗网中网站页面设置了“自我介绍”信息栏，表明自己的身份和发起勒索攻击的原因等内容。

图 2‑2 组织“自我介绍”内容

InterLock组织自2024年10月13日发布第一名受害者信息以来，截至11月21日已陆续发布7名受害者信息，实际受害数量可能更多。

图 2‑3 受害者信息栏

3 样本功能与技术梳理

3.1样本标签

表 3‑1 InterLock勒索软件样本标签

病毒名称

Trojan/Win32.InterLock[Ransom]

原始文件名

matrix

MD5

F7F679420671B7E18677831D4D276277

文件大小

1.89 MB (1,982,464字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2024-10-11 04:47:13 UTC

数字签名

无

加壳类型

无

编译语言

Visual C/C++

VT首次上传时间

2024-10-13 17:10:43 UTC

VT检测结果

57/73

3.2样本分析

样本执行支持4种执行参数，具体功能如下表所示：

表 3‑2 功能参数

参数

功能

--directory

加密指定文件夹

--file

加密指定文件

--delete

自删除

--system

创建系统计划任务

样本包含大量混淆代码，并通过代码自解密恢复正常代码执行，以此增加分析难度，减少代码静态特征。

图 3‑1 样本代码混淆

如果指定了自删除参数，则在加密结束后，释放文件%Temp%\tmp

若指定了计划任务参数，则会创建名为TaskSystem的计划任务。

图 3‑2 创建计划任务

避免因加密导致系统崩溃或加密到杀毒软件文件，不对特定文件夹进行加密。

图 3‑3 绕过加密的文件夹

具体绕过加密的文件夹信息如下表所示：

表 3‑3 绕过加密的文件夹

绕过加密的文件夹

$Recycle.Bin

Boot

Documents and Settings

PerfLogs

ProgramData

Recovery

Windows

System Volume Information

AppData

WindowsApps

Windows Defender

WindowsPowerShell

Windows Defender Advanced Threat   Protection

避免因加密导致系统崩溃，不对特定后缀名和特定文件名的文件进行加密。

图 3‑4 绕过加密的后缀名及文件名

具体绕过加密的后缀名及文件名信息如下表所示：

表 3‑4 绕过加密的后缀及文件名

绕过加密的后缀及文件名

.bin

.diagcab

.hta

.scr

.dll

.cab

.diagcfg

.ico

.sys

.exe

.cmd

.diagpkg

.msi

.ini

.ps1

.com

.drv

.ocx

.url

.psm1

.cur

.hlp

Thumbs.db

样本使用LibTomCrypt加密库。

图 3‑5 LibTomCrypt加密库

在要加密的目标文件末尾填充字节，直至文件大小为16字节的倍数，对齐AES加密分组大小。

图 3‑6 填充目标文件末尾

样本采用AES-CBC和RSA加密算法，样本会为每个文件生成独立的48个字节长度的随机数，将其前32字节作为AES密钥对整个文件进行加密。同时将这48个字节的随机数使用RSA非对称加密后附加在加密的文件的末尾。总体加密逻辑如下所示。

图 3‑7 加密逻辑

使用AES加密文件的代码如下，文件所有内容均会被加密。

图 3‑8 采用AES加密算法

勒索信相关内容。

图 3‑9创建勒索信相关代码

清除入侵痕迹，在样本执行结束后调用API清除相关日志。

图 3‑10 清除相关日志

4 防护建议

建议企业用户部署专业的终端安全防护产品，对本地新增和启动文件进行实时检测，并周期性进行网内病毒扫描。安天智甲终端安全系列产品（以下简称“智甲”）依托安天自研威胁检测引擎和内核级主动防御能力，可以有效查杀本次发现病毒样本。

智甲具备内核级防护能力，基于内核驱动持续监控进程等内存对象操作行为动作，研判是否存在持久化、提权、信息窃取等攻击动作，并且结合勒索行为特征库检测，可分析进程行为是否疑似勒索攻击行为，对发现的勒索攻击可在第一时间进行阻断。

图 4‑1 发现病毒时，智甲第一时间拦截并发送告警

智甲提供统一安全管理中心，管理员可通过管理中心快速完成对网内安全事件的查看、分析、处置等操作，提升安全管理效率。

图 4‑2 可通过智甲统一管理平台对威胁进行一键处置

参考链接

[1]2023年活跃勒索攻击组织盘点 [R/OL].(2024-01-25)

https://www.antiy.cn/research/notice&report/research_report/RansomwareInventory.html

[2]MOXFIVE Threat Actor Alert - INTERLOCK Ransomware [R/OL].(2024-09-30)

https://www.moxfive.com/resources/moxfive-threat-actor-spotlight-interlock-ransomware

Bitwarden further strengthened inline autofill capabilities within its browser extension. Users can easily generate and autofill strong, unique passwords for new accounts directly from the inline autofill menu. This update eliminates the need for manual password creation, making account management more efficient and intuitive. Integrating secure account creation directly into the autofill menu enables users to complete the process with just one click, enhancing functionality and convenience. Streamlining account creation and security The latest update … More →

The post Bitwarden enhances inline autofill features to simplify account creation appeared first on Help Net Security.

1 概述

近期，安天CERT监测到一起挖矿木马攻击事件，该挖矿木马从2024年3月开始出现，并持续更新攻击脚本。该挖矿木马的典型特点是针对操作系统类型下载对应的挖矿程序、检查系统环境是否有curl、Python、Perl等工具，如果有则使用这些工具下载挖矿程序，如果没有会进行下载适配、根据CPU算力动态调整运行参数，不会饱和使用CPU资源，避免因消耗过多资源被用户感知发现。该挖矿木马因其在脚本中多次出现“app”字符串，故安天CERT将该挖矿木马命名为“app Miner”。

经验证，安天智甲终端防御系统可实现该挖矿木马的有效查杀。

2 攻击流程

app Miner挖矿木马首先会执行一系列功能模块中的功能，如根据CPU线程数估算门罗币（Monero）挖矿的哈希率、根据CPU算力动态调整运行参数、遍历指定目录尝试找到一个足够空间投放挖矿木马的目录、根据受害主机操作系统类型和架构等，生成一个格式化的文件名、查找感染系统中正在运行的竞品挖矿进程等等。之后会从指定的URL上下载挖矿程序、设置挖矿配置文件进行挖矿。该挖矿木马还有很多函数具有多种功能，但默认状态下脚本未开启这些功能或待开发中，其中主要包括计划任务函数、服务函数、进程检查函数等等。

图 2‑1 攻击流程图

3 脚本功能分析

根据CPU线程数估算Monero挖矿的哈希率，然后基于这个哈希率动态计算并选择一个端口号。用于配置一个挖矿程序以选择适当的端口进行通信。这样的设计可能是为了在不同机器上运行时根据机器的不同性能选择合适的设置。

图 3‑1 估算Monero挖矿的哈希率

根据CPU核数的70%，按指定公式调用mathlib计算结果。比如，对于16核CPU，这一结果为4096。通过控制线程数量的方式，让CPU的资源占用不饱和。

图 3‑2 动态调整CPU功率

遍历一系列目录（如$HOME，$PWD，/var/tmp，/dev/shm，/var/run，/tmp），尝试在这些目录中找到一个可写的目录，并检查其是否有足够的可用空间。

图 3‑3 遍历指定目录并查看目录可用空间大小

根据操作系统类型、架构以及是否需要压缩和加密，来生成一个格式化的文件名。该功能通常用于生成特定平台和配置的可执行文件或包的名称，以便在不同环境中识别和使用。

图 3‑4 格式化文件名

查找系统中正在运行的竞品挖矿进程，支持精确匹配和模式匹配。它根据系统上可用的工具（如pgrep、ps、pidof）选择最佳方式进行查找，并在这些工具不可用时，通过手动遍历/proc文件系统进行查找，当查找到竞品挖矿进程后，使用pkill、killall、kill等命令进行结束进程。

图 3‑5 查找正在运行的竞品挖矿进程

更改挖矿程序落地目录的权限。

图 3‑6 更改挖矿程序落地目录的权限

从指定的URL下载挖矿程序，并根据受害者机器上的工具进行下载操作。如wget、curl、perl、Python 2.x和Python 3.x等。

图 3‑7 下载挖矿程序

设置挖矿配置文件，矿池地址为207.180.217.230:80。

图 3‑8 设置挖矿配置文件

4 事件对应的ATT&CK映射图谱

针对攻击者投放挖矿木马的完整过程，安天梳理本次攻击事件对应的ATT&CK映射图谱如下图所示。

图 4‑1 事件对应的ATT&CK映射图谱

攻击者使用的技术点如下表所示：

表 4‑1 事件对应的ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

执行

利用命令和脚本解释器

使用bash脚本命令

持久化

利用外部远程服务

创建服务

利用计划任务/工作

创建计划任务

提权

滥用提升控制权限机制

修改文件权限

防御规避

修改文件和目录权限

修改文件权限和目录权限

发现

发现系统信息

发现系统架构等信息

影响

资源劫持

占用CPU资源

5 防护建议

针对挖矿攻击，安天建议企业采取如下防护措施：

1.安装终端防护：安装反病毒软件，针对不同平台建议安装安天智甲终端防御系统Windows/Linux版本；

2.加强SSH口令强度：避免使用弱口令，建议使用16位或更长的口令，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令；

3.及时更新补丁：建议开启自动更新功能安装系统补丁，服务器应及时更新系统补丁；

4.及时更新第三方应用补丁：建议及时更新第三方应用如Redis等应用程序补丁；

5.开启日志：开启关键日志收集功能（安全日志、系统日志、错误日志、访问日志、传输日志和Cookie日志），为安全事件的追踪溯源提供基础；

6.主机加固：对系统进行渗透测试及安全加固；

7.部署入侵检测系统（IDS）：部署流量监控类软件或设备，便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统（PTD）以网络流量为检测分析对象，能精准检测出已知海量恶意代码和网络攻击活动，有效发现网络可疑行为、资产和各类未知威胁；

8.安天服务：若遭受恶意软件攻击，建议及时隔离被攻击主机，并保护现场等待安全工程师对计算机进行排查；安天7*24小时服务热线：400-840-9234。

建议企业用户部署专业的终端安全防护产品，对本地新增和启动文件进行实时检测，并周期性进行网内病毒扫描。安天智甲终端安全系列产品（以下简称“智甲”）依托安天自研威胁检测引擎和内核级主动防御能力，可以有效查杀本次发现病毒样本。

智甲客户端通过主动防御能力实时检测本地脚本执行行为，对执行脚本进行威胁检测，一旦发现启动脚本为恶意文件，可自动拦截并向用户发送风险告警，保障终端环境安全。

图 5‑1运行恶意脚本时智甲成功拦截

智甲还为用户提供统一管理平台，管理员可通过平台集中查看网内威胁事件详情，并批量进行处置，提高终端安全运维效率。

图 5‑2 通过智甲管理中心可对安全事件统一管理和处置

6 IoCs

IoCs

157.230.106[.]100

111.48.208[.]225

207.180.217[.]230

185.213.26[.]27

199B790D05724170F3E6583500799DB1

C0ED4F906576C06D861302E8CF924309