#StopRansomware: Interlock勒索软件技术分析

摘要

美国联邦调查局(FBI)、网络安全和基础设施安全局(CISA)、卫生与公众服务部(HHS)和多州信息共享与分析中心(MS-ISAC)联合发布此安全公告，旨在传播通过FBI调查发现的Interlock勒索软件相关指标和战术、技术与程序(TTPs)。

Interlock勒索软件变种首次出现于2024年9月下旬，主要针对北美和欧洲的商业组织、关键基础设施等。该勒索软件采用双重勒索模式，在加密系统前会先窃取数据。

技术细节

初始访问

Interlock攻击者通过以下方式获得初始访问：

• 通过受感染的合法网站进行路过式下载
• 使用ClickFix社会工程技术，诱骗用户执行恶意负载

执行与持久化

• 伪装的Google Chrome浏览器可执行文件作为远程访问木马(RAT)
• 通过PowerShell脚本将文件放入Windows启动文件夹
• 通过Windows注册表键修改建立持久化

侦察

攻击者使用PowerShell命令收集受害者机器信息：

• WindowsIdentity.GetCurrent() - 获取当前Windows用户信息
• systeminfo - 显示系统配置信息
• tasklist/svc - 列出服务信息
• Get-Service - 获取服务对象
• Get-PSDrive - 获取驱动器信息
• arp -a - 显示ARP缓存表

命令与控制

攻击者使用以下工具进行C2通信：

• Cobalt Strike
• SystemBC
• Interlock RAT
• NodeSnake RAT

凭证访问与横向移动

• 下载凭证窃取器(cht.exe)和键盘记录器(klg.dll)
• 使用Lumma Stealer和Berserk Stealer等信息窃取器
• 利用受损凭证和RDP在系统间移动
• 使用AnyDesk和PuTTY等工具协助横向移动

数据收集与外泄

• 使用Azure Storage Explorer导航受害者的Microsoft Azure存储账户
• 使用AzCopy将数据外泄到Azure存储blob
• 使用WinSCP等文件传输工具外泄数据

影响

• 部署名为conhost.exe的64位加密可执行文件
• 使用AES和RSA组合算法加密文件
• 加密文件附加.interlock或.1nt3rlock扩展名

缓解措施

预防初始访问

• 实施DNS过滤阻止访问恶意站点
• 部署Web访问防火墙
• 培训用户识别社会工程尝试

系统防护

• 保持操作系统、软件和固件最新
• 实施网络分段限制横向移动
• 在全组织实施身份、凭证和访问管理(ICAM)策略
• 尽可能要求所有服务使用多因素认证(MFA)

检测与响应

• 在VM、系统和网络上实施强大的端点检测和响应(EDR)能力
• 使用网络监控工具识别异常活动
• 定期更新并启用实时检测的反病毒软件

备份与恢复

• 维护离线数据备份并定期测试恢复
• 确保所有备份数据加密、不可变且覆盖整个组织数据基础设施

MITRE ATT&CK技术映射

该勒索软件活动涉及多个ATT&CK战术和技术，包括：

• 初始访问：T1189 路过式妥协
• 执行：T1059.001 PowerShell
• 持久化：T1547.001 注册表运行键/启动文件夹
• 凭证访问：TA0006 多种凭证窃取技术
• 影响：T1486 数据加密影响

组织应基于这些技术测试和验证其安全控制措施的有效性。