Anubis: 深入分析新兴勒索软件与内置擦除器

Anubis是一个新兴的勒索软件即服务(RaaS)组织，通过在典型的双重勒索模式中添加文件擦除功能，为其增加了破坏性优势。我们探讨其起源并分析其双重威胁方法背后的策略。

关键要点

• Anubis是一个新兴的勒索软件即服务(RaaS)操作，结合了文件加密和文件销毁功能——这是一种罕见的双重威胁能力
• 该勒索软件具有可选的"擦除模式"功能，可永久删除文件内容。这表明威胁行为者如果未收到赎金，可能会擦除受害者的文件
• Anubis运营一个灵活的联盟计划，提供可协商的收入分成，并支持数据勒索和访问销售等额外盈利途径
• 自2024年12月开始活跃以来，Anubis已在多个行业声称有受害者，包括医疗保健和建筑行业，覆盖澳大利亚、加拿大、秘鲁和美国等地区
• Trend Vision One™检测并阻止本文讨论的IOC。Trend Vision One客户还可以访问狩猎查询、威胁洞察和威胁情报报告，以获取有关Anubis的丰富上下文和最新更新

技术分析

起源与演变

Anubis于2024年12月加入X(前Twitter)。同时，我们的团队发现了一个名为Sphinx的样本，该样本似乎正在开发中，其赎金票据既没有TOR站点也没有唯一ID。

当比较Anubis和Sphinx的二进制文件时，它们高度相同，只有一个微小差异——生成赎金票据的函数。这些观察表明，虽然恶意软件的核心保持不变，但消息传递和品牌已更新，以便最终以Anubis的名义亮相。

攻击技术分析

初始访问

• T1566 - 网络钓鱼: 通过包含恶意附件或链接的鱼叉式网络钓鱼邮件建立初始入口向量

执行

• T1059 - 命令和脚本解释器: 勒索软件接受多个参数作为输入并依赖它们正常运行

防御规避

• T1078 - 有效账户: 进程首先检查管理员权限，如果检测到，则显示消息"检测到管理员权限。尝试提升到SYSTEM…"

权限提升

• T1134.002 - 访问令牌操作: 使用令牌创建进程: 程序通过尝试访问系统的主物理驱动器(通常称为".\PHYSICALDRIVE0")来检查当前用户是否具有管理权限

发现

• T1083 - 文件和目录发现: 加密期间避免的文件夹列表包括windows、system32、programdata等系统关键目录

影响

• T1490 - 抑制系统恢复: 运行命令vssadmin delete shadows /for=norealvolume /all /quiet删除指定驱动器上的所有卷影副本
• T1489 - 服务停止: 终止进程和禁用或停止服务
• T1486 - 数据加密影响: 使用椭圆曲线集成加密方案(ECIES)，该方案在GitHub上公开可用，使用Go语言编写

数据销毁

• T1485 - 数据销毁: 使用/WIPEMODE参数永久删除文件内容，阻止任何恢复尝试

加密技术细节

Anubis使用椭圆曲线集成加密方案(ECIES)进行加密，其ECIES库与EvilByte/Prince勒索软件的实现相似。

系统修改行为

代码从程序中提取两个文件"icon.ico"和"wall.jpg"，并将它们保存到计算机的"C:\Programdata"文件夹中。它修改加密文件的图标以使用其徽标，并尝试使用名为"wall.jpg"的文件更改壁纸。

防御建议

鉴于讨论的战术——如鱼叉式网络钓鱼、命令行执行、权限提升、卷影副本删除和文件擦除——解决这些问题的安全措施对于防御Anubis至关重要。此外，维护离线和异地备份可以帮助减轻Anubis擦除功能的影响。

企业应实施全面的安全策略，包括以下最佳实践：

1. 电子邮件和网络安全: 对电子邮件和网络实践保持谨慎
2. 数据备份: 定期备份关键数据并实施强大的恢复计划
3. 访问控制: 限制管理权限和访问特权
4. 定期更新和扫描: 确保所有安全软件定期更新并进行定期扫描
5. 用户教育: 为员工进行定期培训
6. 多层安全方法: 采用包括端点、电子邮件、网络和网络安全的防御策略
7. 沙盒和应用控制: 使用沙盒工具在执行前分析文件
8. 异常活动监控: 实施安全信息和事件管理(SIEM)工具

威胁检测

Trend Vision One客户可以使用Search App来匹配或狩猎本文中提到的恶意指标与其环境中的数据。可用的狩猎查询包括检测潜在恶意命令执行：processCmd: /\/KEY=[A-Za-z0-9]{30,} \/(?:WIPEMODE|elevated)/

更多狩猎查询可供具有威胁洞察权限的Trend Vision One客户使用。