【文章转载】 从加密到数据泄露：如何检测 Mega 和 Rclone 下的双重勒索软件活动？

即便本文的重点相对有限，文中包含的检测原则可以被广泛抽象并应用于其他文件传输工具以及被滥用的合法工具。简单地对这些工具的使用进行警报是容易的，以下我们提供了各种二进制元数据，可以帮助您实现这一目标。但在我们处理众多短期事件响应的经验中，攻击者通常会通过重命名这些工具来绕过简单的安全控制。

因此，您需要了解以下几点：

1. 授权的文件共享服务和工具：明确您环境中获得批准使用的文件共享服务和工具。
2. 环境中使用的文件共享服务和工具：不仅限于授权工具，还要识别所有实际在环境中被使用的文件共享服务和工具。
3. 这些工具的正常安装路径：熟悉工具的标准安装路径，以便识别异常位置的文件。
4. 这些工具的合法二进制元数据：了解与这些工具相关的合法二进制元数据，便于识别被改名或伪装的恶意工具。
5. 这些工具的典型行为：包括这些工具通常在哪些地方进行网络连接，帮助检测异常或恶意行为。

通过深入了解这些关键问题，您可以在检测中获得更大的主动性，并提高对被滥用的合法工具的识别能力。

Mega 为用户提供文件的端到端加密、免费基础存储层以及用于远程文件传输的工具套件。与其自建文件共享服务器，攻击者更倾向于使用现有的云存储，尤其是那些允许通过比特币等加密货币进行半匿名支付的服务。在某些环境中，简单地阻止与 Mega 相关的 IP 地址的网络连接可能是一个有效的安全控制手段，但检测到攻击者使用的实际文件传输工具则能为防御提供更深层次的保护。

其中一个工具是 Mega 的主客户端应用程序 MegaSync，它用于常规文件传输，操作方式类似于 Google Drive 和 Dropbox 等其他云存储软件。除了 MegaSync，我们还观察到攻击者使用另一种命令行变体 MegaCmd。该工具提供了 MegaSync 的许多功能，但通过命令行界面进行操作。检测这些工具的使用，特别是在不寻常的网络行为出现时，能够显著提高对非法数据传输的防御能力。

建立基线

在正常情况下，您可期待 MegaSync 具备以下属性：

了解这些基本属性非常重要，因为对手很少使用原始文件名来执行像 MegaCmd 或 MegaSync 这样的工具。因此，成功的检测需要你能够确定给定进程的真实身份，而不管它声称是什么。换句话说，你可能会通过根据进程的内部名称等元数据来识别进程，并在内部名称和显示的进程名称不匹配时发出警报，从而实现良好的检测效果。同样，你也可以通过查找文件路径差异来取得成功。

Mega 的显性使用

攻击者通常会重命名 MegaSync，以绕过在不允许使用此工具的环境中的应用程序控制。然而，这并不总是如此。Trend Micro 报告指出，Nefilim 勒索软件直接将 MegaSync 投放到默认路径下并保持原名称。如果 MegaSync 在您的环境中未被批准使用，那么可以通过检测路径包含\AppData\Local\MEGAsync的进程 megasync.exe 来识别其存在。

除了 Mega 提供的客户端应用程序外，许多勒索软件家族还会使用其他软件或内置的操作系统工具进行数据外传。我们以 Mega 为例，但也可以将其替换为您需要监控的任何其他服务。如果您允许网络浏览器访问 Mega，但希望检测其他进程的连接，可以检测非以下浏览器进程发起的网络连接：chrome.exe、firefox.exe、safari.exe、opera.exe、iexplore.exe、microsoftedge.exe、microsoftedgecp.exe、browser_broker.exe、msedge.exe或 brave.exe，并访问 mega.io 或 mega.co.nz 域名。

异常安装路径

在某些情况下，攻击者会以 MegaSync 的原名运行该工具，但从不寻常的安装路径启动。可以通过以下方式检测异常位置的 MegaSync 执行：

- 进程名称为 megasync.exe

- 文件路径不包含 AppData\Local\MEGAsync\

如果在某些情况下允许 MegaSync 从异常目录运行，请根据实际需求调整检测逻辑。

重命名 MegaSync

在与 Nefilim、Sodinokibi、Pysa 和 Conti 等勒索软件家族相关的事件响应中，我们观察到攻击者使用重命名的 Mega 实例。对重命名的 MegaSync 实例发出警报，有助于防止或减轻类似事件的影响。以下伪分析可以检测到重命名的 MegaSync 实例：

寻找进程名称不是 megasync.exe 但具有以下任何对应元数据的进程：

• 二进制内部名称为 megasync.exe
• 二进制产品名称为 MEGAsync
• 二进制描述为 MEGAsync

以下示例显示了 meg.exe 的执行过程。但通过检查二进制元数据可以发现，meg.exe 实际上是被重命名的 MegaSync 实例。利用这一检测方法，您可以识别出被重命名并伪装的 MegaSync 进程，从而有效监控潜在的非法数据传输。

将注意力从特定于 Mega 的工具转移开来，如果不提跨平台的开源文件传输工具 Rclone，任何关于数据外传的讨论都将不完整。一旦勒索软件运营者侵入组织，Rclone 就能帮助他们顺利提取数据。如果无法成功转移数据，任何双重勒索的企图都将落空。

那么，Rclone 的特别之处在哪里呢？它的多功能性。一旦攻击者将 Rclone 部署在终端设备上，修改数据外传的目标变得轻而易举。攻击者可以选择使用内置的命令标志列表来执行各种操作，或者使用自定义配置文件，从而避免输入多条命令行标志。例如，由于技术控制限制，可能无法使用云存储提供商，因为它禁止连接到攻击者指定的托管服务提供商。但 Rclone 让攻击者能够轻松使用 FTP 或 SFTP 等文件传输协议，有效地将文件传输到任何所需位置。有关 Rclone 支持的命令列表，请参阅本报告末尾的附录。

建立基线

与 MegaSync 类似，要检测重命名 Rclone 工具的攻击者，首先需要了解与 Rclone 相关的二进制元数据。在正常情况下，您可以预期 Rclone 具有以下属性：

Rclone的显性使用

如果 Rclone 未获准在您的环境中使用，那么可以简单地检测名为 rclone.exe 的进程的执行。值得注意的是，Rclone 没有特定的标准执行路径，因此无法像 MegaSync 那样进一步缩小检测范围。

重命名 Rclone

Red Canary 在事件响应中观察到，攻击者运行了重命名版本的 Rclone，以绕过基本的应用程序控制。鉴于此，我们可以像检测 MegaSync 一样，为重命名的 Rclone 实例创建检测分析。

可以通过检测以下情况来识别重命名的 Rclone 实例：查找名称不是 rclone.exe，但其二进制元数据包含以下任意信息的进程：

• 原始名称为 rclone.exe
• 描述为“Rsync for cloud storage”
• 内部名称为 rclone
• 公司名称为 https://rclone.org
• 产品名称为 Rclone

下图显示了 sihosts.exe 的执行过程，但通过二进制元数据分析可以发现，sihosts.exe 实际上是被重命名的 Rclone 实例。

可疑的命令行标志

为构建更具弹性的检测分析，值得注意的是，攻击者可能会通过某些方式篡改二进制文件的元数据，以绕过上述安全控制。因此，还需关注 Rclone 的可疑命令行标志（有关命令参数列表，请参阅附录）。

当发现这些命令行标志时，可能是时候仔细检查 Rclone 在您的环境中是如何被使用的。当然，不同组织的情况可能会有所不同。如果您的环境中有合法的 Rclone 使用场景，您可能需要相应调整检测分析。

我们成功检测到以下命令参数的使用情况，包括但不限于：rclone、lsd、remote:、ftp:、mega、--config、--auto-confirm、--multi-thread-streams，以及其他标志如 copy、config、create、lsd、remote、mega、user、pass、--config、--progress、--no-check-certificate、--ignore-existing、--auto-confirm、--multi-thread-streams、--transfers、ftp:、remote: 或 \。

下图展示了在实际应用中这些命令行标志的样子。通过关注这些标志，可以帮助您识别潜在的恶意 Rclone 使用。

尽管这是一个良好的起点，但 Rclone 项目不断更新新功能，因此，关注其更新日志（ChangeLog）和文档（Docs）将有助于及时发现识别该工具的新方法，以增强检测能力。

请记住：检测或不检测，别无选择。

如前所述，以下表格列出了 Rclone 的一些特别值得关注的命令：

这些命令标志对于识别 Rclone 的恶意使用非常有用，定期关注 Rclone 的功能更新，将有助于在检测中始终保持领先。