Anubis:深入解析新兴勒索软件与内置擦除器
Anubis是一个新兴的勒索软件即服务(RaaS)组织,通过在典型双重勒索模型中加入文件擦除功能,增加了破坏性边缘。本文探讨其起源,并分析其双重威胁策略背后的技术。
关键要点
- Anubis是一种新兴的RaaS操作,结合文件加密与文件销毁——罕见的双重威胁能力。
- 该勒索软件具有可选的“擦除模式”功能,可永久删除文件内容。这表明威胁行为者可能在未支付赎金时擦除受害者文件。
- Anubis运营灵活的联盟计划,提供可协商的收入分成,并支持数据勒索和访问销售等额外盈利途径。
- 自2024年12月活跃以来,Anubis已声称在多个行业(包括医疗保健和建筑)以及地区(如澳大利亚、加拿大、秘鲁和美国)有受害者。
- Trend Vision One™检测并阻止本文讨论的IOC。Trend Vision One客户还可以访问狩猎查询、威胁洞察和威胁情报报告,以获取有关Anubis的丰富上下文和最新更新。
起源
Anubis于2024年12月加入X(前Twitter)。大约在同一时间,我们的团队识别出一个名为Sphinx的样本,该样本似乎处于开发中,其赎金记录缺乏TOR站点和唯一ID(如图1所示)。
比较Anubis和Sphinx的二进制文件时,它们高度相同,仅有一个微小差异——生成赎金记录的函数。这些观察表明,虽然恶意软件的核心保持不变,但消息传递和品牌已更新,以便最终以Anubis名义亮相。
联盟计划盈利
到2025年,Anubis正式在网络犯罪论坛上活跃。Anubis的代表已在RAMP和XSS上被观察到,分别使用化名“supersonic”和“Anubis__media”。两个账户均使用俄语发布。
2025年2月23日,“superSonic”在RAMP论坛上广告了一种“新格式”的联盟计划。所有提议的收入分成结构均可协商以进行长期合作。其他研究已覆盖该小组的RAMP帖子,概述了Anubis的能力及其联盟计划的结构。这值得注意,因为该小组似乎超越典型的RaaS和双重勒索以进行盈利,提供额外的联盟计划,如数据勒索联盟计划和访问盈利联盟计划。
受害者学
就活动而言,截至撰写时,该小组的泄漏站点上已列出七名受害者。该小组针对多个行业,包括医疗保健、工程和建筑,跨越多个地区,如澳大利亚、加拿大、秘鲁和美国。广泛的目标表明了一种跨不同地区和行业的机会主义方法。
Anubis的文件擦除功能
Anubis与其他RaaS的进一步区别在于其使用文件擦除功能,旨在即使在加密后也破坏恢复努力。这种破坏性倾向增加了受害者的压力,并提高了已经具有破坏性攻击的风险。图2概述了Anubis用于交付、执行和执行这种双重威胁行为的技术。
初始访问
- T1566 - 钓鱼:初始入口向量通过包含恶意附件或链接的鱼叉式网络钓鱼电子邮件建立。这些电子邮件经过精心构造,以看似来自可信来源,诱使收件人打开附件或点击链接。
执行
- T1059 - 命令和脚本解释器:勒索软件接受多个参数作为输入,并依赖它们正常功能。
| 参数 | 描述 |
|---|---|
| “/KEY=” | 密钥 |
| “/elevated” | 提升权限 |
| “/WIPEMODE” | 擦除模式 |
| “/PFAD=” | 排除的目录 |
| “/PATH=” | 应加密的特定路径 |
表1. Anubis参数
防御规避
- T1078 - 有效账户:进程首先检查管理员权限,如果检测到,则显示消息“检测到管理员权限。尝试提升到SYSTEM…”。
否则,它会提示用户“无管理员权限。仍然启动进程?”并等待输入,同时在获得更高权限时能够使用/elevated参数重新启动自身。这些交互式提示表明恶意软件仍在改进和开发中。
权限提升
- T1134.002 - 访问令牌操纵:使用令牌创建进程:程序执行检查以确定当前用户是否具有管理权限,通过尝试访问系统的 primary physical drive,通常称为“.\PHYSICALDRIVE0”。这是一个通常需要提升权限的低级操作。
代码检查当前用户是否具有特殊权限(管理权限),通过尝试访问计算机的主硬盘。
发现
- T1083 - 文件和目录发现:以下是加密期间避免的文件夹列表:
windows, system32, programdata, program files, program files (x86), AppData, public, system volume information, \system volume information, efi, boot, public, perflogs, microsoft, intel, .dotnet, .gradle, .nuget, .vscode, msys64
影响
- T1490 - 抑制系统恢复:勒索软件运行命令
vssadmin delete shadows /for=norealvolume /all /quiet以删除指定驱动器上的所有卷影副本,从而抑制从先前版本恢复文件的能力。 - T1489 - 服务停止:有关终止的进程和禁用或停止的服务的完整列表,请参阅 Indicators of Compromise (IoCs) 列表。
- T1486 - 数据加密以产生影响:加密使用椭圆曲线集成加密方案(ECIES),并在GitHub上公开可用,用Go编写。
经检查,其加密算法的ECIES库类似于EvilByte/Prince勒索软件。
丢弃图标和壁纸图像
代码从程序中提取两个文件“icon.ico”和“wall.jpg”,并将它们保存到计算机的“C:\Programdata”文件夹。
它将加密文件的图标修改为使用其徽标,如图9所示。
它还尝试使用名为“wall.jpg”的文件更改壁纸,但在我们的测试中此操作失败,因为未丢弃此类文件。
Anubis赎金记录采用双重勒索策略,威胁如果其要求未得到满足,将公开释放被盗数据。
T1485 - 数据销毁
- 擦除器:此外,勒索软件包括使用/WIPEMODE参数的擦除器功能,该参数可以永久删除文件内容,防止任何恢复尝试。
图14和15显示了使用擦除模式之前和之后的情况,该模式擦除了文件内容。
| 战术 | 技术 | ID |
|---|---|---|
| 初始访问 | 钓鱼 | T1566 |
| 执行 | 命令和脚本解释器 | T1059 |
| 权限提升 | 访问令牌操纵:使用令牌创建进程 | T1134.002 |
| 防御规避 | 有效账户 | T1078 |
| 发现 | 文件和目录发现 | T1083 |
| 发现 | 进程发现 | T1057 |
| 影响 | 服务停止 | T1489 |
| 影响 | 数据加密以产生影响 | T1486 |
| 影响 | 数据销毁 | T1485 |
表2. Anubis使用的TTP摘要
结论和建议
Anubis的出现标志着网络威胁格局的显著演变,特别是其双重威胁勒索软件能力和灵活的联盟计划。通过将RaaS与额外盈利策略(如数据勒索和访问盈利联盟计划)结合,Anubis正在最大化其收入潜力并扩大其在网络犯罪生态系统中的影响力。其同时加密和永久销毁数据的能力显著提高了受害者的风险,放大了遵守的压力——正如强大的勒索软件操作旨在做到的那样。
鉴于讨论的战术——如鱼叉式网络钓鱼、命令行执行、权限提升、卷影副本删除和文件擦除——解决这些的安全措施在防御Anubis时至关重要。此外,维护离线和异地备份可以帮助减轻Anubis擦除能力的影响。
为了主动防御使用Anubis勒索软件的攻击,企业应实施全面的安全策略,包括以下最佳实践:
- 电子邮件和网络安全:谨慎处理电子邮件和网络实践。避免下载附件、点击链接或安装应用程序,除非来源经过验证和信任。实施网络过滤以限制对已知恶意网站的访问。这应有助于避免类似威胁的初始进入。
- 数据备份:定期备份关键数据并实施强大的恢复计划。这包括维护离线和不可变备份,以确保即使文件被加密或擦除也能恢复文件。
- 访问控制:仅在必要时限制管理权限和访问特权。定期审查和调整权限以最小化未经授权访问的风险。
- 定期更新和扫描:确保所有安全软件定期更新,并进行定期扫描以识别漏洞。使用端点安全解决方案检测和阻止恶意组件和可疑行为。
- 用户教育:为员工进行定期培训,以识别社会工程学策略和网络钓鱼的危险。这种意识可以显著减少成为此类攻击受害者的可能性。
- 多层安全方法:采用包括端点、电子邮件、网络和网络安全的