勒索软件Diavol与开发TrickBot的黑客组织的联系

勒索软件已成为组织面临的头号大网络威胁，占IBM X-Force团队在2020年修复的攻击的近25%。勒索软件攻击经常成为头条新闻，对关键行业的受害者产生了严重影响，攻击的趋势不太可能放缓。

网络安全公司Fortinet在七月份研究发现，新型勒索软件Diavol可能出自开发Trickbot僵尸网络的黑客组织Wizard Spider。IBM X-Force威胁情报团队对此进行了进一步研究，并于2021年8月17日发布了最新研究结果，表明勒索软件Diavol与TrickBot有关，它们使用了相同的命令行参数执行各种任务。此外，勒索软件的代码的配置方式可能暗示了与臭名昭著的TrickBot组织有关，X-Force将其追踪为ITG23。

IBM X-Force威胁情报研究团队指出，原本IBM进行研究的动机，是想要针对Fortinet发现的Diavol开展的进一步分析，但他们找到了另一款Diavol勒索软件的文档，与先前被Fortinet发现的勒索软件存在许多相似之处，其中最主要的差别，是IBM找到的版本仍处于开发阶段，看起来是黑客用来测试的文档，而不像是Fortinet找到的文档，已经是具备完整功能的勒索软件。

这两个版本的Diavol编译时间存在明显的出入。Fortine发现的版本于2021年4月30日编译，但IBM找到的是在2020年3月5日编译的。此外，这个开发版本的文档，在2021年1月27日被上传到恶意软件分析平台VirusTotal，名称为malware.exe。

Diavol勒索软件从受感染系统收集基本信息，并生成一个系统或Bot ID，帮助攻击者在勒索软件即服务(RaaS)操作中跟踪来自附属机构的多次入侵。

Diavol勒索软件的Bot ID格式包括受感染系统的主机名、用户名和Windows版本，以及全局唯一标识符(GUID)。该格式与TrickBot恶意软件生成的格式“几乎相同”。

针对加密文档的方式，开发版本的Diavol与后继版本也有所不同。开发版本采用RSA演算法，攻击者可设置需要优先加密的文档类型，并且能够终止指定的处理程序或是服务，以免加密文档的过程遭到中断。相比之下，先前被揭露的版本采用了非同步程序呼叫（Asynchronous Procedure Calls，APC），取代许多勒索软件使用的对称式加密机制。

此外，由于是开发版本，在研究人员执行Diavol的过程中，虽然会将文档加密，但不会删除原始文件，如果被拿来用于攻击行动，受害者也根本不会支付赎金。

而IBM为何会认为Diavol出自Wizard Spider？首先，针对Diavol执行的过程中，该勒索软件会结合收集到的受害电脑信息，产生一组Bot ID，以便攻击者进行追踪。而这组Bot ID的格式，与TrickBot恶意软件几乎相同，仅仅增加了使用者名称（Username）的部分，而这样的格式、特征也与Wizard Spider另一款恶意软件Anchor DNS相似。受害者ID对恶意软件运营商很重要，因为他们可以跟踪各种活动的成功情况，并让附属机构知道这一点。

另一项与Wizard Spider有关的证据与黑客偏好的语言有关。在Diavol开发版与C2服务器通讯的HTTP标头中，设置偏好以俄语呈现内容，而操作TrickBot的黑客也惯用俄文。

而与语言相关的线索，还有开发版本Diavol具备检查受害电脑操作系统语言的机制，一旦发现是位于俄罗斯，或是独立国家联合体的电脑，就不会发动攻击。

虽然Fortinet在分析Diavol勒索软件的示例中没有发现这种语言检查代码，但IBM表示，在开发版本中发现了这些代码“可能已经存在或打算开发，即使还没有在编译后的示例中激活”。

鉴于这两种Diavol勒索软件变种的不同发展阶段，以及它们被发现时的情况，很明显这种恶意软件正在进化。

网络犯罪集团之间的合作、附属程序和代码重用都是不断增长的勒索软件经济的组成部分。Diavol代码在网络犯罪领域相对较新，不像Ryuk或Conti那么臭名昭著，但它很可能与幕后的相同运营商和黑帽程序员有关。

建议采取以下缓解措施：

l 建立和维护离线备份。确保备份冗余存储在攻击者可以通过只读访问访问的网络区域之外。有效备份的可用性是组织的一个重要优势，可以支持从勒索软件攻击中恢复数据。

l 实施防止未经授权的数据盗窃的策略，特别是当它适用于上传大量数据到攻击者可能会滥用的合法云存储平台时。

l 使用用户行为分析识别潜在安全事件。当被触发时，假设已经发生了入侵。对与特权账户和群组相关的可疑滥用行为进行审计、监控并迅速采取行动。

l 对进入企业网络的所有远程接入点实施多因素身份验证，特别注意保护或禁用远程桌面协议(RDP)访问。已知有多个勒索软件攻击利用弱RDP访问来获得进入网络的初始权限。

参考资料：

【1】https://securityintelligence.com/posts/analysis-of-diavol-ransomware-link-trickbot-gang/

【2】https://www.bleepingcomputer.com/news/security/diavol-ransomware-sample-shows-stronger-connection-to-trickbot-gang/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。