ZUSAMMENFASSUNG
Labyrinth-Ransomware, die zuvor in der Community als "ChaCha-Ransomware" bekannt war, wurde am 29. Mai 2019 von Jerome Segura entdeckt. [1] .
Der Hauptzweck von Ransomware besteht darin, alle Dateien zu verschlüsseln, die sich möglicherweise auf einem infizierten System befinden, und dann ein Lösegeld zu verlangen, um die Dateien wiederherzustellen. Das wichtigste Merkmal von Maze ist jedoch die Bedrohung, die Malware-Autoren den Opfern drohen, wenn sie Informationen über das Internet veröffentlichen , wenn sie nicht [2] zahlen. .
Diese Bedrohung wurde nicht inaktiv, da die Dateien eines Unternehmens im Internet veröffentlicht wurden. Obwohl das Unternehmen eine Klage eingereicht hatte, war der Schaden bereits angerichtet worden. Dies ist ein zunehmend verbreitetes Verhalten [3] bei neuer Ransomware wie Sodinokibi, Nemty, Clop und anderen.
Letztes Jahr wurde hervorgehoben, wie [4] Ransomware in diese Richtung geht, um Geld von Opfern zu erhalten, die möglicherweise nicht bereit sind, für die Entschlüsselung zu zahlen.
ABBILDUNG 1. KARTE DER MAZE-INFEKTIONEN
Am 29. Oktober wurde eine Kampagne entdeckt, mit der die Maze-Malware an italienische Benutzer verteilt wurde. In der Vergangenheit wurde Malware verwendet, um sich anzumelden, hauptsächlich über Exploit-Kits, schwach verschlüsselte Remotedesktopverbindungen oder E-Mail-Identitätswechsel oder durch verschiedene Agenturen oder Unternehmen, wie im Fall von Italien. [5] , dh über die italienische Finanzbehörde wurden verschiedene Techniken angewendet. Diese E-Mails wurden mit einem Word-Anhang geliefert, in dem mithilfe von Makros Malware auf dem System ausgeführt wurde.
Die häufigsten Exploit-Kits waren Fallout und Spelevo [6] .
Malware ist mit einigen Tricks hart programmiert, um ihre Umkehrung zu verhindern und die statische Analyse zu erschweren. Dieser Bericht behandelt diesen Schutz und das Verhalten von Malware in einem infizierten System.
Die Entwickler fügten Nachrichten hinzu, um Malware-Forscher zu provozieren, einschließlich der E-Mail-Adresse von Lawrence Abrams, dem Besitzer des "BleepingComputer", mit dem sie sich direkt in Verbindung setzten. Sie sind auf Social-Media-Websites wie Twitter sehr aktiv.
Malware ist eine 32-Bit-Binärdatei, die normalerweise als EXE- oder DLL-Datei gepackt wird. Dieser Bericht konzentriert sich auf die EXE-Datei.
ABBILDUNG 2. INFORMATIONEN ÜBER MALWARE
Weitere Informationen zu dem in diesem Bericht verwendeten Beispiel finden Sie in der folgenden Tabelle:
Labyrinth ist eine hochentwickelte Malware, die einige Tricks verwendet, um die Analyse zu beenden.
Die Malware bereitet einige Funktionen vor, die anscheinend Speicheradressen in globalen Variablen speichern, um sie später in dynamischen Aufrufen zu verwenden, obwohl sie diese Funktionen später nicht mehr verwendet. Es steht zur Debatte, ob es sich bei der Malware zum Zeitpunkt des Eintritts um übrig gebliebenen Code handelt oder um einen Trick, um Forscher irrezuführen.
ABBILDUNG 3. SPEICHERN SIE DIE FUNKTIONSADRESSE FÜR DEN ZUKÜNFTIGEN GEBRAUCH AUF DYNAMISCHE WEISE
Die Malware gibt dann einen großen Block Müllcode ein, der einige Elemente enthält, um die Zeichenfolgen und wichtigen Informationen für die spätere Verwendung zu entschlüsseln. Die Malware verwendet an dieser Stelle einige Tricks, um Debugger zu erkennen.
Das wichtigste davon:
ABBILDUNG 4.HOHE VERWENDUNG DES PEB-FELDES "ISDEBUGGERPRESENT" ZUR BESTIMMUNG, WENN DIE ANWENDUNG IN EINEM DEBUGGER LÄUFT
Wenn die Malware einen Debugger erkennt, bleibt sie in einer Endlosschleife und unternimmt nichts, während sie Systemressourcen verschwendet.
ABBILDUNG 5. MAZE CAPTURES DEBUGGER UND ARBEITEN WEITER, ENTLEEREN SIE RESSOURCEN
Arm
TELEMETRIEKARTE
Einführung
MAZE ÜBERSICHT
TECHNISCHE DETAILS
< / p>
Eine großartige Verwendung des
< / p>
