Interlock勒索软件深度分析:技术细节与防御策略

本文详细分析了Interlock勒索软件的技术特征,包括其初始访问方式、持久化机制、横向移动技术以及加密方法,并提供了具体的防御建议和缓解措施,帮助组织应对这一新兴威胁。

#StopRansomware: Interlock勒索软件技术分析

执行摘要

美国联邦调查局(FBI)、网络安全和基础设施安全局(CISA)、卫生与公众服务部(HHS)和多州信息共享与分析中心(MS-ISAC)联合发布此安全公告,旨在传播通过FBI调查(截至2025年6月)和可信第三方报告确定的Interlock勒索软件已知IOC和TTP。

Interlock勒索软件变种首次出现于2024年9月下旬,针对北美和欧洲的各种企业、关键基础设施和其他组织。FBI确认这些攻击者基于机会选择目标,其活动具有经济动机。

技术细节

初始访问

Interlock攻击者通过以下方式获得初始访问[TA0001]:

  • 通过受感染的合法网站进行路过式下载[T1189]
  • 使用ClickFix社会工程技术,诱骗用户执行恶意负载

执行和持久化

基于FBI调查,伪造的Google Chrome浏览器可执行文件充当远程访问木马(RAT),设计用于执行PowerShell脚本[T1059.001],将文件放入Windows启动文件夹。从那里,该文件设计为在受害者每次登录时运行RAT[T1547.001],建立持久性[TA0003]。

侦察

为促进侦察,PowerShell脚本执行一系列命令[T1059.001],旨在收集受害者机器信息(见表1)。

表1. 用于侦察的PowerShell命令

PowerShell命令 描述
WindowsIdentity.GetCurrent() 返回表示当前Windows用户的WindowsIdentity对象[T1033]
systeminfo 显示计算机及其操作系统的详细配置信息[T1082]
tasklist/svc 列出当前在本地计算机上运行的每个进程的完整服务信息[T1007]
Get-Service 获取表示计算机上服务的对象[T1007]
Get-PSDrive 获取当前会话中的驱动器[T1082]
arp -a 显示和修改ARP缓存表中的条目[T1016]

命令与控制

FBI观察到Interlock攻击者使用Cobalt Strike和SystemBC等C2应用程序[TA0011]。攻击者还使用Interlock RAT和NodeSnake RAT(截至2025年3月)进行C2和执行命令。

凭证访问、横向移动和权限提升

FBI观察到,一旦Interlock攻击者建立对受损系统的远程控制,他们使用一系列PowerShell命令下载凭证窃取程序(cht.exe)[TA0006]和键盘记录器二进制文件(klg.dll)[T1056.001],[T1105]。

Interlock攻击者利用受损凭证和远程桌面协议(RDP)[T1021.001]在系统之间移动。他们还使用AnyDesk等工具实现远程连接,并使用PuTTY协助横向移动[T1219]。

收集和外泄

Interlock攻击者在数据外泄前利用Azure Storage Explorer(StorageExplorer.exe)导航受害者的Microsoft Azure存储账户[T1530]。根据开源报告,Interlock攻击者执行AzCopy,通过将数据上传到Azure存储blob来外泄数据[T1567.002]。

影响

数据外泄后,Interlock攻击者部署加密二进制文件作为名为conhost.exe的64位可执行文件[T1486],[T1036.005]。FBI已观察到针对Windows和Linux操作系统的Interlock勒索软件加密器。

缓解措施

作者机构建议组织实施以下缓解措施,以基于Interlock勒索软件攻击者的活动改善组织的网络安全状况:

防止初始访问

  • 实施域名系统(DNS)过滤,阻止用户访问恶意站点和应用程序
  • 实施Web访问防火墙,缓解和防止来自恶意域或网站的命令或进程注入
  • 培训用户识别、避免和报告社会工程尝试

系统防护

  • 保持所有操作系统、软件和固件最新
  • 在VM、系统和网络上实施强大的EDR功能
  • 分段网络[CPG 2.F]以防止勒索软件传播
  • 要求对所有服务尽可能使用MFA[CPG 2.H]

数据保护

  • 实施恢复计划[CPG 5.A],在物理分离、分段和安全的位置维护和保留敏感或专有数据和服务器的多个副本
  • 维护数据的离线备份并定期维护备份和恢复

访问控制

  • 审计具有管理权限的用户账户,并根据最小权限原则配置访问控制
  • 实施基于时间的访问控制,用于管理员级别及以上的账户

MITRE ATT&CK技术映射

本公告详细列出了Interlock勒索软件使用的ATT&CK技术,包括:

  • 初始访问(T1189)
  • 执行(T1059.001, T1204.004)
  • 持久化(T1547.001)
  • 防御规避(TA0005, T1036.005, T1218.011, T1070.004)
  • 凭证访问(TA0006, T1555.003, T1056, T1056.001, T1558.003)
  • 发现(T1033, T1082, T1007, T1016)
  • 横向移动(T1078, T1021.001)
  • 收集(T1530)
  • 命令与控制(TA0011, T1105, T1219)
  • 外泄(T1567.002, T1048)
  • 影响(T1486, T1657)

资源

  • Stopransomware.gov:政府整体的勒索软件资源和警报中心位置
  • #StopRansomware指南:缓解勒索软件攻击的资源
  • 网络卫生服务,勒索软件准备度评估:CISA的免费网络卫生服务
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次