Sorry勒索软件自今年3月现身以来,利用各类常见企业软件漏洞发起攻击,能够远程加载攻击载荷,并展现出跨平台的勒索攻击能力。本周,360反病毒团队持续收到与Sorry勒索软件相关的样本反馈与攻击告警信息,本轮勒索攻击的峰值集中爆发于4月中旬的两个周末。结合样本逆向分析、加密文件结构还原及攻击行为链追踪,本次事件呈现出明显的“利用漏洞自动批量投放”与“目标文件定向加密”的攻击模式。从技术实现角度看,该家族采用分层密钥封装设计。即以RSA+RSA+AES-GCM 的算法组合方案实现文件加密与密钥保护操作。这一设计在兼顾了批量加密速度的同时,也大幅提高了受害者在无密钥的情况下想要破解算法直接恢复文件的难度。
此外,样本在运行时会主动收集主机标识信息,包括但不限于主机名称与基于当前设备环境特征计算出的“host_hash”值,并将其写入相关数据结构中,供攻击运营侧对受害主机与加密会话进行追踪管理。
综合来看,该变种具备完整的工程化实现。其整体完成度较高,建议广大安全厂商将本次事件列为中高危等级的勒索事件,启动相应的分级响应流程。同时结合其在周末假期较为活跃的特性,对五一假期期间极有可能出现的新一轮攻击高峰做好安全防护预案。
本轮的Sorry勒索软件的典型攻击进程链如下:
综合静态与动态分析结论,Sorry勒索软件可以通过直接调用底层 NTDLL 接口并主动跳过关键系统目录,有效降低加密初期被EDR等各类安全终端动态行为监控拦截的概率,具备较强的对抗检测能力。
具体技术特征如下:
加密链路完整采用RSA+RSA+AES-GCM的分层加密保护机制;
文件格式结构稳定可识别固定Magic头+RSA封装段+分块密文+终止块的完整结构;
密钥生成无明显弱点AES会话密钥来源于系统级随机接口,未发现固定种子等可利用缺陷;
具备受害者标识管理逻辑存在基于HOSTNAME、HOST_HASH的主机侧标识构造,与攻击运营侧的受害者管理体系相关联。
跨平台攻击支持Linux系统环境文件加密。
从实战角度判断,该软件并非粗糙型勒索工具,而是一套具备可扩展性与可复用性的成熟实现。经对加密算法的详细分析可以确认:在没有攻击者RSA主私钥的情况下,无论是暴力破解还是提取内存残留密钥,文件恢复的可能性基本为零。
(来源:安全客)
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...