LeakNet勒索软件
LeakNet勒索软件行动显著改进了入侵策略,它利用ClickFix社交工程技术作为主要入侵途径。这种方法诱骗用户在解决伪造的系统错误时执行恶意命令。与传统的入侵方式(例如从初始访问代理处购买被盗凭证)不同,这种策略直接利用了用户的信任和日常行为。
一些原本合法的网站遭到入侵,被恶意利用来投放虚假的验证码提示。这些提示会诱导用户复制并执行恶意的 msiexec.exe 命令,该命令会通过 Windows 的“运行”对话框运行。由于这种交互方式模仿了日常系统活动,攻击看起来十分普通,不易引起怀疑。这种广泛而伺机而动的策略使得攻击者能够跨越多个行业,不受任何限制地进行攻击。
目录
战略转变:摆脱对初始接入代理的依赖
LeakNet 向 ClickFix 的过渡是一项经过深思熟虑的运营转型。通过摆脱对第三方凭证提供商的依赖,该组织降低了获取访问权限的成本和延迟。这种独立性消除了一个关键瓶颈,使活动能够更快、更高效地扩展。
此外,使用被入侵的合法基础设施而非攻击者控制的系统,会显著降低可检测的网络指标。这使得传统的基于边界的防御措施效果降低,因为恶意活动可以与可信流量无缝融合。
无文件执行:基于 Deno 的加载器实战
这些攻击的一个显著技术特征是部署了一个基于 Deno JavaScript 运行时的分阶段命令与控制加载器。该加载器直接在内存中执行 Base64 编码的 JavaScript 代码,避免了磁盘写入,从而最大限度地减少了取证痕迹。
加载器一旦激活,就会执行以下几个关键功能:
- 分析受损系统以收集环境情报
- 建立与外部服务器的通信,以检索辅助有效载荷
- 通过轮询机制保持持久性,该机制持续获取并执行额外的代码。
这种无文件执行模型增强了隐蔽性,并使传统安全工具的检测工作变得更加复杂。
一致的后剥削策略手册
尽管初始访问方式有所不同,但LeakNet的行动最终都会形成一套可预测的入侵后工作流程。这种一致性为防御者提供了宝贵的机会,使其能够在勒索软件部署之前进行检测和阻止。
典型的攻击序列包括:
- 利用 DLL 侧加载来执行加载器提供的恶意库。
- 利用 PsExec 等工具进行横向移动以扩展网络访问
- 通过 cmd.exe /c klist 进行凭据侦察,以识别活动的身份验证会话
- 通过 S3 存储桶进行数据暂存和泄露,将活动伪装成合法的云流量。
- 勒索软件部署的最后加密阶段
使用 Windows 原生工具和常见的云服务,可以让恶意行为融入正常的系统和网络行为中。
威胁概况:来源和目标范围
LeakNet于2024年11月成立,最初定位为“数字监督机构”,倡导透明度和互联网自由。然而,观察发现其活动范围更广、更具侵略性,甚至包括对工业组织的攻击。
该运动采取不加区分的攻击策略,并采用可扩展的感染方法,凸显了其旨在最大限度地扩大覆盖面,而不是专注于特定领域的意图。
防守启示:可预测性是一种优势
尽管LeakNet的入侵技术不断演进,但它对可重复利用链的依赖却带来了一个关键的弱点。从执行到横向移动和数据窃取,攻击的每个阶段都遵循着可识别的行为模式。
这种一致性使防守者能够:
- 检测对合法系统工具的异常使用
- 监控异常的内存执行模式
- 识别可疑的云存储交互
- 在加密发生之前中断攻击进程
关键要点很明确:虽然初始访问方法可能有所不同,但基本操作蓝图保持稳定,为早期发现和应对提供了多种机会。
