勒索軟體的進化:Qilin.B增強加密技術和防禦規避
- 發布單位:TWCERT/CC
- 更新日期:2024-10-30
- 點閱次數:6389
資安公司Halcyon近日追蹤到一種名為Qilin.B的進階勒索軟體版本,該版本是自2022年7月首次出現的Qilin(又名Agenda)勒索軟體的最新變種。Qilin.B專門針對Windows和Linux系統進行攻擊,並透過竊取資料實施雙重勒索。
根據Halcyon的報告,Qilin.B在加密複雜性和規避技術上有顯著提升。此版本的勒索軟體使用AES-256-CTR加密算法,適用於支持AESNI的系統,同時對於不支持AESNI的系統則採用Chacha20加密。此外,為了保護加密密鑰,Qilin.B還使用了RSA-4096與OAEP填充技術,使得在沒有攻擊者私鑰或捕獲的種子值(Seed)的情況下,幾乎無法解密文件。
以下是Qilin.B的特點:
- Qilin.B結合AES-256-CTR加密技術,支持AESNI系統,同時對其他系統保留Chacha20,並使用RSA-4096和OAEP保護加密密鑰,使得沒有私鑰的情況下無法解密文件。
- Qilin.B使用Rust編譯,能終止或停用安全工具、備份和虛擬化相關的服務,如Veeam、VSS、SQL、Sophos、Acronisagent和SAP。
- 持續清除Windows事件日誌以阻礙取證分析,導致檢測和逆向工程分析變得更加困難。
Qilin.B根據系統支援不同的加密技術,如AES-256-CTR或Chacha20,將一個可配置字串附加到加密檔案中,該字串同時作為識別和追蹤的company_id。當受害者遭受攻擊時,Qilin.B會生成名為「README-RECOVER-[company_id].txt」的勒索文件,裡面包含付款詳情和解密指示。
Qilin最初是以Golang編寫,但後來轉向以抵禦逆向工程能力而聞名的Rust編程語言。這一轉變使得Qilin.B在檢測和分析上變得更加困難。該勒索軟體還具備追蹤和識別特定目標的能力,並且能夠有效地終止安全工具相關服務、清除Windows事件日誌,甚至在完成任務後自我刪除,以減少取證痕跡。
Halcyon強調,Qilin.B的出現標誌著勒索軟體家族的進一步演化,其增強的加密機制和有效的防禦規避策略使其成為一個特別危險的威脅。隨著這類攻擊手法的不斷進化,各行各業需要提高警惕,加強資安防護措施,以防止成為下一個受害者。
由本文的案例可知,勒索軟體組織不斷演變策略,攻擊手法也日益複雜,我們需要保持警惕、密切觀察趨勢和攻擊手法,以有效應對和防範勒索軟體的威脅。