Maze近一年的攻击趋势研究

Maze 勒索软件以前也被称为 "ChaCha 勒索软件 "，于 2019 年 5 月 29 日被Jerome Segura发现。从历史上看，该恶意软件使用不同的技术来获取进入权限，主要是利用漏洞利用工具包，具有弱密码的远程桌面连接或通过电子邮件模拟，或通过不同的代理机构或公司。

在过去的一年中，Maze已成为威胁企业和大型组织的最臭名昭著的恶意软件家族之一。去年底以来，已有佛州彭萨科拉市政府、IT服务业者Cognizant、全录、航天服务供应商VT San Antonio Aerospace、资安保险业者Chubb，以及韩国电子大厂LG、芯片业者MaxLinear遭到Maze肆虐，今年美国缆线制造公司Southwire在遭到Maze攻击后，还将该黑客集团告上法院。今年3月，ST Engineering Aerospace美国子公司遭遇Maze勒索软件攻击，该公司及其合作伙伴被盗1.5TB的敏感数据。2月，Maze入侵五家美国律师事务所，要求支付超过93.3万美元BTC赎金。7月30日，跨国公司佳能(Canon)的电子邮件、存储服务和其美国网站遭到了Maze团伙的勒索软件攻击。Maze要求佳能支付加密货币赎金，否则就将泄漏照片和数据。在未能勒索到赎金之后，勒索软件 Maze 背后的犯罪组织公开了 50.2 GB 的 LG 内部数据和 25.8 GB 的施乐内部数据。Maze 犯罪组织入侵企业网络后，首先窃取数据然后加密数据，最后索要赎金解密文件。LG 和施乐显然拒绝了两次勒索企图。犯罪组织公布的文件包含了 LG 多款产品固件的源代码，公开的施乐数据看起来与其客户服务业务相关。

根据Sophos的最新研究显示，Maze勒索软件背后的攻击者采用Ragnar Locker勒索软件团伙的做法，利用虚拟机来逃避检测。

该安全供应商最先观察到这种攻击手段，攻击者早在5月就开始将勒索软件有效负载分布在虚拟机内。与Ragnar Locker勒索软件团伙相关的攻击者将恶意代码隐藏在Windows XP VM中，这使勒索软件可以肆意运行，而不会被终端的安全软件检测到或阻止。在今年7月，Sophos发现，Maze勒索软件使用类似方法对一家未具名组织进行攻击。调查显示，攻击者不断试图用勒索软件感染计算机，同时索要1500万美元的赎金，但该组织最终没有支付。他们最开始使用勒索软件感染系统没有成功，直到第三次尝试才成功，攻击者使用Ragnar Locker的VM技术的增强版本。该方法可帮助攻击者进一步逃避安全产品的检测。

Maze的演变史

该勒索软件的历史始于2019年上半年，当时没有任何明显的攻击烙印，勒索字样中包含标题``0010 System Failure 0010''，被研究人员简称为``ChaCha勒索软件''。

此后不久，该木马的新版本开始被标记为Maze，并使用一个与受害者相关的网站，而不是截图中显示的通用电子邮件地址。

最新版本的Maze勒索软件使用的网站

Maze勒索软件的传播策略最初包括通过漏洞利用工具包(即Fallout EK和Spelevo EK)以及带有恶意附件的垃圾邮件进行感染。下面是一个恶意垃圾邮件的例子，其中包含一个MS Word文档和一个宏，目的是下载Maze勒索软件有效载荷。

如果收件人打开附加的文档，将提示他们启用编辑模式，然后启用内容。如果他们上当了，包含在文档中的恶意宏就会执行，这将导致受害者的PC被Maze勒索软件感染。

除了这些典型的感染方法之外，Maze背后的开发者也开始以公司和市政组织为目标，以最大程度地勒索勒索金钱。

Maze最初的攻击机制和现在的攻击机制已经有很大相同，一些事件涉及安装Cobalt Strike RAT的鱼叉式网络钓鱼活动，而在其他情况下，网络漏洞是由于利用了脆弱的面向Internet的服务造成的。可从互联网访问的计算机上的弱RDP凭据也构成了威胁，因为Maze的运营商也可能会使用此漏洞。

特权升级、侦察和横向移动策略也因情况而异。在这些阶段中，已观察到使用了以下工具：mimikatz，procdump，Cobalt Strike，Advanced IP Scanner，Bloodhound，PowerSploit等。

在这些中间阶段，攻击者会试图识别出受感染网络中服务器和工作站上存储的有价值的数据。然后，他们将泄漏受害者的机密文件，以便在商讨赎金的大小时加以利用。

在入侵的最后阶段，恶意操作员会将Maze勒索软件可执行文件安装到他们可以访问的所有计算机上。这样可以对受害者的宝贵数据进行加密，并最终完成攻击。

数据泄漏/混淆

Maze勒索软件是第一批威胁如果受害者拒绝合作就泄露其机密数据的勒索软件家族之一，实际上，这使Maze成为一种攻击趋势引领者，因为这种方法对罪犯来说是如此有利可图，以至于现在它已成为包括REvil / Sodinokibi，DoppelPaymer，JSWorm / Nemty / Nefilim，RagnarLocker和Snatch在内的几个臭名昭著的勒索软件的榜样。

Maze勒索软件的开发者们开发了一个网站，在那里他们列出了最近的受害者，并公布了部分或全部文件，这些文件是他们在一次网络入侵后窃取的。

2020年6月，Maze背后的攻击者与另外两个攻击组织LockBit和RagnarLocker合作，组成了一个所谓的“cartel组织”，这个小组窃取的数据现在将发布在由Maze运营商维护的博客上。

攻击者不仅仅是通过储存泄露的文件来吸引行业的注意力，显然他们还分享了他们的专业知识，Maze现在使用的执行技术以前只有RagnarLocker使用过。

简要技术介绍

Maze勒索软件通常是作为一个PE二进制(EXE或DLL，这取决于具体的场景)，该二进制文件以C / C ++开发并由自定义保护程序进行混淆处理。它采用各种技巧来阻止静态分析，包括动态API函数导入、使用条件跳转的控制流混淆、用JMP dword ptr [esp-4]代替RET，用PUSH + JMP代替CALL，以及其他一些技术。

为了不被动态分析检测到，Maze木马程序还将终止研究人员通常使用的流程，例如procmon，procexp，ida，x32dbg等。

Maze使用的加密方案包括几个层次：

• 为了加密受害者文件的内容，Maze会安全地生成唯一的密钥和随机数值，以与ChaCha流密码一起使用;
• ChaCha密钥和随机数值由启动恶意软件时生成的会话公共RSA-2048密钥加密;
• 会话专用RSA-2048密钥由木马主体中硬编码的主公用RSA-2048密钥加密。

该方法允许攻击者在为每个受害者出售解密工具时保持他们的主私有RSA密钥的秘密，也确保了一个受害者购买的解密工具不会被其他人使用。

当在一台计算机上执行时，Maze勒索软件还会尝试确定它感染了哪种类型的电脑。它尝试区分不同类型的系统(“备份服务器”、“域控制器”、“独立服务器”等)。Maze进而利用勒索信中的这些信息，进一步恐吓受害者，使他们认为攻击者了解有关受影响网络的一切。

Maze用来生成赎金票据的字符串

生成赎金票据的程序片段

缓解措施

勒索软件技术每天都在发展，这意味着避免和预防感染的应激性方法无济于事。勒索软件的最佳防御方法是主动预防，因为一旦加密数据，恢复数据通常为时已晚。

有许多建议可以帮助防止此类攻击：

• 保持操作系统和应用程序已更新并保持最新状态。
• 对所有员工进行网络安全培训。
• 仅将安全技术用于公司局域网中的远程连接。
• 将终端安全与行为检测和自动文件回滚一起使用，例如Kaspersky Endpoint Security for Business 。
• 使用最新的威胁情报信息可以快速检测到攻击，并了解有用的对策并防止其扩散。

本文翻译自：https://securelist.com/maze-ransomware/99137/

【责任编辑：赵宁宁 TEL：（010）68476606】