Anubis:深度解析内置擦除器的新兴勒索软件
关键发现
Anubis是一个新兴的勒索软件即服务(RaaS)操作,结合了文件加密和文件销毁功能——这是一种罕见的双重威胁能力。
该勒索软件具有可选的"擦除模式"功能,可永久删除文件内容。这表明威胁行为者如果未收到赎金,可能会擦除受害者的文件。
Anubis运行灵活的联盟计划,提供可协商的收入分成,并支持额外的货币化途径,如数据勒索和访问权限销售。
自2024年12月开始活跃以来,Anubis已在多个行业声称有受害者,包括医疗保健和建筑行业,覆盖澳大利亚、加拿大、秘鲁和美国等地区。
Trend Vision One™检测并阻止本文讨论的IOC。Trend Vision One客户还可以访问狩猎查询、威胁洞察和威胁情报报告,以获取关于Anubis的丰富上下文和最新更新。
技术分析
起源与发展
Anubis于2024年12月加入X(前Twitter)。同期,我们的团队发现了一个名为Sphinx的样本,该样本似乎正在开发中,其赎金记录既没有TOR站点也没有唯一ID。
比较Anubis和Sphinx的二进制文件时,它们高度相同,只有一个微小差异——生成赎金记录的函数。这些观察表明,虽然恶意软件的核心保持不变,但消息传递和品牌已更新,最终以Anubis的名义亮相。
联盟计划货币化
到2025年,Anubis正式在网络犯罪论坛上活跃。Anubis的代表在RAMP和XSS论坛上使用化名"supersonic"和"Anubis__media"发布信息,两个账户都使用俄语。
文件擦除功能
Anubis与其他RaaS的区别在于其使用文件擦除功能,即使在加密后也能破坏恢复工作。这种破坏性倾向增加了对受害者的压力,提高了已经具有破坏性攻击的风险。
攻击链分析
初始访问
- T1566 - 网络钓鱼:通过包含恶意附件或链接的鱼叉式网络钓鱼邮件建立初始入口向量。
执行
- T1059 - 命令和脚本解释器:勒索软件接受多个参数作为输入并依赖它们正常运行。
| 参数 | 描述 |
|---|---|
| /KEY= | 密钥 |
| /elevated | 提升权限 |
| /WIPEMODE | 擦除模式 |
| /PFAD= | 要排除的目录 |
| /PATH= | 应加密的特定路径 |
防御规避
- T1078 - 有效账户:进程首先检查管理员权限,如果检测到,则显示消息"检测到管理员权限。尝试提升到SYSTEM…"
权限提升
- T1134.002 - 访问令牌操作:使用令牌创建进程:程序通过尝试访问系统的主物理驱动器(通常称为".\PHYSICALDRIVE0")来检查当前用户是否具有管理权限。
发现
- T1083 - 文件和目录发现:以下是加密期间避免的文件夹列表: windows, system32, programdata, program files, program files (x86), AppData, public, system volume information, \system volume information, efi, boot, public, perflogs, microsoft, intel, .dotnet, .gradle, .nuget, .vscode, msys64
影响
- T1490 - 抑制系统恢复:运行命令
vssadmin delete shadows /for=norealvolume /all /quiet删除指定驱动器上的所有卷影副本,从而抑制从先前版本恢复文件的能力。 - T1489 - 服务停止:有关终止的进程和禁用或停止的服务的完整列表,请参阅IOC列表。
- T1486 - 数据加密影响:加密使用椭圆曲线集成加密方案(ECIES),并在GitHub上公开提供,使用Go语言编写。
数据销毁
- T1485 - 数据销毁:勒索软件包括使用/WIPEMODE参数的擦除器功能,可以永久删除文件内容,阻止任何恢复尝试。
技术总结
| 战术 | 技术 | ID |
|---|---|---|
| 初始访问 | 网络钓鱼 | T1566 |
| 执行 | 命令和脚本解释器 | T1059 |
| 权限提升 | 访问令牌操作:使用令牌创建进程 | T1134.002 |
| 防御规避 | 有效账户 | T1078 |
| 发现 | 文件和目录发现 | T1083 |
| 发现 | 进程发现 | T1057 |
| 影响 | 服务停止 | T1489 |
| 影响 | 数据加密影响 | T1486 |
| 影响 | 数据销毁 | T1485 |
防御建议
鉴于讨论的战术——如鱼叉式网络钓鱼、命令行执行、权限提升、卷影副本删除和文件擦除——解决这些问题的安全措施对于防御Anubis至关重要。此外,维护离线和异地备份可以帮助减轻Anubis擦除功能的影响。
为主动防御使用Anubis勒索软件的攻击,企业应实施全面的安全策略,包括以下最佳实践:
- 电子邮件和网络安全:谨慎处理电子邮件和网络实践。避免下载附件、点击链接或安装应用程序,除非来源经过验证和信任。实施网络过滤以限制对已知恶意网站的访问。
- 数据备份:定期备份关键数据并实施强大的恢复计划。包括维护离线和不可变备份,以确保即使文件被加密或擦除也能恢复文件。
- 访问控制:仅在必要时限制管理权限和访问权限。定期审查和调整权限以最小化未经授权访问的风险。
- 定期更新和扫描:确保所有安全软件定期更新,并进行定期扫描以识别漏洞。使用端点安全解决方案检测和阻止恶意组件和可疑行为。
- 用户教育:为员工进行定期培训,识别社会工程学策略和网络钓鱼的危险。这种意识可以显著降低成为此类攻击受害者的可能性。
- 多层安全方法:采用包括端点、电子邮件、网络和网络安全的多层防御策略。这种方法有助于保护系统的潜在入口点并增强整体威胁检测能力。
- 沙箱和应用程序控制:使用沙箱工具在执行前分析文件,确保任何可疑文件都经过潜在威胁扫描。强制执行应用程序控制策略以防止未经授权的应用程序和脚本执行。
- 监控异常活动:实施安全信息和事件管理(SIEM)工具以监控异常脚本执行和出站连接。这种主动监控可以帮助在威胁升级之前识别和缓解它们。
趋势科技解决方案
Trend Vision One™是唯一由AI驱动的企业网络安全平台,集中了网络风险暴露管理、安全操作和强大的分层保护。这种全面的方法帮助您预测和预防威胁,加速整个数字资产的主动安全结果。
趋势客户可以访问Trend Vision One™威胁洞察,获取趋势研究关于新兴威胁和威胁行为者的最新见解。Trend Vision One客户可以使用搜索应用程序将本博文中提到的恶意指标与环境中的数据匹配或狩猎。