Interlock勒索软件技术分析与防御指南

本文详细分析了Interlock勒索软件的技术特征,包括其初始访问方式、执行持久化机制、横向移动手法以及数据加密技术,并提供了全面的缓解措施建议,帮助组织防范此类威胁。

#StopRansomware: Interlock | CISA

摘要

联邦调查局(FBI)、网络安全和基础设施安全局(CISA)、卫生与公众服务部(HHS)和多州信息共享与分析中心(MS-ISAC)联合发布此安全公告,传播通过FBI调查(截至2025年6月)和可信第三方报告确定的Interlock勒索软件已知入侵指标(IOCs)和战术、技术与程序(TTPs)。

Interlock勒索软件变种首次出现在2024年9月下旬,针对北美和欧洲的各种企业、关键基础设施和其他组织。FBI确认这些攻击者基于机会选择目标,其活动具有财务动机。FBI了解到Interlock勒索软件加密器针对Windows和Linux操作系统设计;这些加密器已被观察到在两种操作系统上加密虚拟机(VMs)。

技术细节

初始访问

FBI观察到Interlock攻击者通过受损合法网站的偷渡式下载获取初始访问,这对勒索软件组织来说是一种非典型方法。Interlock勒索软件的初始访问方法先前将恶意负载伪装成假的Google Chrome或Microsoft Edge浏览器更新,尽管一家网络安全公司最近报告转向将负载文件名伪装成常见安全软件的更新。

在某些情况下,FBI观察到Interlock攻击者使用ClickFix社会工程技术,诱使用户通过点击假的完全自动化公共图灵测试(CAPTCHA)来执行恶意负载。该CAPTCHA包含用户打开Windows运行窗口、粘贴剪贴板内容,然后执行恶意的Base64编码PowerShell进程的指令。

执行和持久化

根据FBI调查,假的Google Chrome浏览器可执行文件充当远程访问木马(RAT),设计用于执行PowerShell脚本,将文件放入Windows启动文件夹。从那里,该文件设计为在受害者每次登录时运行RAT,建立持久化。

FBI还观察到Interlock攻击者执行PowerShell命令,通过修改Windows注册表项来建立持久化。为此,Interlock攻击者使用PowerShell命令添加名为"Chrome Updater"的运行键值,该值在用户登录时使用特定日志文件作为参数。

侦察

为促进侦察,PowerShell脚本执行一系列命令,旨在收集受害者机器的信息,包括:

  • WindowsIdentity.GetCurrent() - 返回代表当前Windows用户的WindowsIdentity对象
  • systeminfo - 显示计算机及其操作系统的详细配置信息
  • tasklist/svc - 列出当前在本地计算机上运行的每个进程的完整服务信息
  • Get-Service - 获取代表计算机上服务的对象
  • Get-PSDrive - 获取当前会话中的驱动器
  • arp -a - 显示和修改地址解析协议(ARP)缓存表中的条目

命令与控制

FBI观察到Interlock攻击者使用Cobalt Strike和SystemBC等命令与控制(C2)应用程序。Interlock攻击者还使用Interlock RAT和NodeSnake RAT(截至2025年3月)进行C2和执行命令。

凭证访问、横向移动和权限提升

FBI观察到,一旦Interlock攻击者建立对受损系统的远程控制,他们使用一系列PowerShell命令下载凭证窃取器(cht.exe)和键盘记录器二进制文件(klg.dll)。根据开源报告,凭证窃取器收集受害者在线帐户的登录信息和相关URL,而键盘记录器动态链接库(DLL)将用户击键记录在名为conhost.txt的文件中。

截至2025年2月,私营网络安全分析师还观察到Interlock勒索软件感染执行不同版本的信息窃取器,包括Lumma Stealer和Berserk Stealer,以收集用于横向移动和权限提升的凭证。

Interlock攻击者利用受损凭证和远程桌面协议(RDP)在系统之间移动。他们还使用AnyDesk等工具实现远程连接,并使用PuTTY协助横向移动。除了窃取用户的在线凭证外,Interlock攻击者还入侵了域管理员帐户(可能通过使用Kerberoasting攻击)以获得额外权限。

收集和外泄

Interlock攻击者利用Azure Storage Explorer(StorageExplorer.exe)在外泄数据前导航受害者的Microsoft Azure存储帐户。根据开源报告,Interlock攻击者执行AzCopy,通过将数据上传到Azure存储blob来外泄数据。Interlock攻击者还通过文件传输工具(包括WinSCP)外泄数据。

影响

数据外泄后,Interlock攻击者部署加密二进制文件作为名为conhost.exe的64位可执行文件。FBI观察到针对Windows和Linux操作系统的Interlock勒索软件加密器。加密器设计使用组合的高级加密标准(AES)和Rivest-Shamir-Adleman(RSA)算法加密文件。此外,网络安全研究人员已识别使用FreeBSD ELF加密器的Interlock勒索软件样本,这与通常为VMware ESXi服务器和VM设计的Linux加密器不同。

一家网络安全公司识别了一个名为tmp41.wasd的DLL二进制文件——在使用rundll32.exe加密后执行——它使用remove()函数删除加密二进制文件;在Linux机器上,加密器使用类似技术执行removeme函数。

缓解措施

作者机构建议组织实施以下缓解措施,以基于Interlock勒索软件攻击者的活动改善组织的网络安全状况:

  • 防止Interlock勒索软件攻击者获取初始访问:

    • 实施域名系统(DNS)过滤,阻止用户访问恶意站点和应用程序
    • 实施Web访问防火墙,缓解和防止来自恶意域或网站的未知命令或进程注入
    • 培训用户识别、避免和报告社会工程尝试

  • 实施恢复计划,在物理上独立、分段和安全的位置维护和保留敏感或专有数据和服务器的多个副本

  • 要求所有具有密码登录的帐户符合NIST密码标准

  • 尽可能要求对所有服务进行多因素认证(MFA),特别是Web邮件、虚拟专用网络(VPN)和访问关键系统的帐户

  • 保持所有操作系统、软件和固件最新;优先修补面向互联网系统中已知被利用的漏洞

  • 在VM、系统和网络上实施强大的端点检测和响应(EDR)功能

  • 分段网络以防止勒索软件传播

  • 使用网络监控工具识别、检测和调查异常活动

  • 通过防止未知或不受信任的来源访问内部系统上的远程服务来过滤网络流量

  • 在所有主机上安装、定期更新并启用实时检测的防病毒软件

  • 审查域控制器、服务器、工作站和活动目录中的新和/或无法识别的帐户

  • 审核具有管理权限的用户帐户,并根据最小权限原则配置访问控制

  • 禁用未使用的端口

  • 考虑在从组织外部收到的电子邮件中添加电子邮件横幅

  • 禁用收到的电子邮件中的超链接

  • 为管理员级别及以上的帐户实施基于时间的访问

  • 禁用命令行和脚本活动及权限

  • 维护数据的离线备份,并定期维护备份和恢复

  • 确保所有备份数据已加密、不可变,并覆盖整个组织的数据基础设施

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次