LeakNet勒索軟體
LeakNet勒索軟體行動顯著改進了入侵策略,它利用ClickFix社交工程技術作為主要入侵途徑。這種方法誘騙使用者在解決偽造的系統錯誤時執行惡意命令。與傳統的入侵方式(例如從初始存取代理購買被盜憑證)不同,這種策略直接利用了使用者的信任和日常行為。
一些原本合法的網站遭到入侵,被惡意利用來投放虛假的驗證碼提示。這些提示會誘導使用者複製並執行惡意的 msiexec.exe 命令,該命令會透過 Windows 的「執行」對話方塊執行。由於這種互動方式模仿了日常系統活動,攻擊看起來十分普通,不易引起懷疑。這種廣泛而伺機而動的策略使得攻擊者能夠跨越多個行業,不受任何限制地進行攻擊。
目錄
策略轉變:擺脫對初始接取代理的依賴
LeakNet 向 ClickFix 的過渡是一項經過深思熟慮的營運轉型。透過擺脫對第三方憑證提供者的依賴,該組織降低了獲取存取權限的成本和延遲。這種獨立性消除了一個關鍵瓶頸,使活動能夠更快、更有效率地擴展。
此外,使用被入侵的合法基礎設施而非攻擊者控制的系統,會顯著降低可偵測的網路指標。這使得傳統的基於邊界的防禦措施效果降低,因為惡意活動可以與可信任流量無縫整合。
無檔案執行:基於 Deno 的載入器實戰
這些攻擊的一個顯著技術特徵是部署了一個基於 Deno JavaScript 運行時的分階段命令與控制載入器。此載入器直接在記憶體中執行 Base64 編碼的 JavaScript 程式碼,避免了磁碟寫入,從而最大限度地減少了取證痕跡。
載入器一旦激活,就會執行以下幾個關鍵功能:
- 分析受損系統以收集環境情報
- 建立與外部伺服器的通信,以檢索輔助有效載荷
- 透過輪詢機制保持持久性,該機制持續獲取並執行額外的程式碼。
這種無檔案執行模型增強了隱藏性,並使傳統安全工具的偵測工作變得更加複雜。
一致的後剝削策略手冊
儘管初始存取方式有所不同,但LeakNet的行動最終都會形成一套可預測的入侵後工作流程。這種一致性為防禦者提供了寶貴的機會,使其能夠在勒索軟體部署之前進行檢測和阻止。
典型的攻擊序列包括:
- 利用 DLL 側載入來執行載入器提供的惡意程式庫。
- 利用 PsExec 等工具進行橫向移動以擴展網路訪問
- 透過 cmd.exe /c klist 進行憑證偵察,以識別活動的身份驗證會話
- 透過 S3 儲存桶進行資料暫存和洩露,將活動偽裝成合法的雲端流量。
- 勒索軟體部署的最後加密階段
利用 Windows 原生工具和常見的雲端服務,惡意行為可以融入正常的系統和網路行為。
威脅概況:來源和目標範圍
LeakNet於2024年11月成立,最初定位為“數位監督機構”,倡導透明度和網路自由。然而,觀察發現其活動範圍更廣、更具侵略性,甚至包括對工業組織的攻擊。
該運動採取不加區分的針對性策略,並採用可擴展的感染方法,凸顯了其旨在最大限度地擴大覆蓋面,而不是專注於特定領域的意圖。
防守啟示:可預測性是一種優勢
儘管LeakNet的入侵技術不斷演進,但它對可重複利用鏈的依賴卻帶來了一個關鍵的弱點。從執行到橫向移動和資料竊取,攻擊的每個階段都遵循著可識別的行為模式。
這種一致性使防守者能夠:
- 檢測對合法系統工具的異常使用
- 監控異常的記憶體執行模式
- 識別可疑的雲端儲存交互
- 在加密發生之前中斷攻擊程序
關鍵要點很明確:雖然初始訪問方法可能有所不同,但基本操作藍圖保持穩定,為早期發現和應對提供了多種機會。
