| 細節描述: |
Kasseika 利用 Martini 驅動程式 (Martini.sys/viragt64.sys)(TG Soft 的 VirtIT Agent 系統的一部分)來停用保護目標系統的防毒產品。
在調查 Kasseika 勒索軟體案例中,它使用有針對性的網路釣魚技術進行初始訪問,並從目標公司的一名員工那裡收集憑證。然後,它使用遠端管理工具(RAT)來獲得特權存取並在其目標網路內橫向移動。?
Kasseika使用合法的Windows PsExec工具來執行其惡意檔案並遠端執行惡意.bat檔案。 該批次檔檢查是否存在名為「Martini.exe」的進程並終止它以避免干擾。 然後,它將易受攻擊的 Martini.sys 驅動程式載入到電腦上。 驅動程式的存在在攻擊鏈中至關重要 – 如果 Martini.sys 遺失,惡意軟體就會停止運作。
使用 BYOVD 攻擊,即利用載入驅動程式中的缺陷,惡意軟體獲得終止硬編碼清單中的 991 個進程的能力,其中許多進程對應於防毒產品、安全工具、分析工具和系統實用程式。
最終,Kasseika 啟動 Martini.exe 來終止防毒軟體進程,然後啟動主要勒索軟體二進位 (smartscreen_protected.exe)。 之後,執行“clear.bat”腳本以刪除攻擊痕跡。
最後,Kasseika 使用複雜的混淆和反偵錯技術,將其程式碼與 Themida 安全模組打包,並在加密檔案之前更改 Windows 註冊表。 人們還發現,Kasseika 在加密後使用「wevutil.exe」命令清除系統事件日誌,以消除其活動痕跡並使分析變得複雜。
該勒索軟體利用 ChaCha20 和 RSA 加密演算法對目標檔案進行加密,在檔案名稱後面附加偽隨機字串,類似於 BlackMatter。
Kasseika 在其加密的每個目錄中放置勒索字條,並更改電腦的桌面以顯示有關攻擊的註釋。
受害者被要求在 72 小時內存入 50 個比特幣(2,000,000 美元),每延遲解決 24 小時,就會另外增加 50 萬美元。 |
