InterLock勒索攻擊組織情況分析

時(shí)間： 2024年11月21日

1.概述

InterLock勒索攻擊組織被發(fā)現(xiàn)于2024年9月，該組織通過(guò)網(wǎng)絡(luò)釣魚、漏洞利用、搭載于其他惡意軟件和非法獲取憑證等多種手段滲透受害者網(wǎng)絡(luò)，竊取敏感信息并加密數(shù)據(jù)，實(shí)施雙重勒索，以此對(duì)受害者施加壓力。暫未發(fā)現(xiàn)該組織通過(guò)勒索軟件即服務(wù)（RaaS）模式招募附屬成員以擴(kuò)大非法收益的情況。目前，已監(jiān)測(cè)到該組織開發(fā)了針對(duì)Windows、Linux和FreeBSD系統(tǒng)的加密載荷。在Windows系統(tǒng)中，InterLock勒索軟件采用“AES+RSA”算法對(duì)文件進(jìn)行加密。感染的跡象包括文件名后添加“.interlock”擴(kuò)展名，以及出現(xiàn)名為“!README!.txt”的勒索信。截至目前，尚未發(fā)現(xiàn)任何工具能夠有效解密由InterLock勒索軟件加密的數(shù)據(jù)。

InterLock組織在暗網(wǎng)中運(yùn)營(yíng)一個(gè)名為“InterLock Worldwide Secrets Blog”的網(wǎng)站，公開受害者信息。該網(wǎng)站包含組織介紹、聯(lián)系方式、受害者資料以及從受害者系統(tǒng)中竊取的數(shù)據(jù)等。對(duì)于每位受害者，攻擊者創(chuàng)建獨(dú)立的信息板塊，列出受害者名稱、官網(wǎng)鏈接、信息概覽、被盜文件類型和數(shù)量。攻擊者利用公開受害者信息和部分被盜文件作為要挾，迫使受害者為防數(shù)據(jù)被出售或公開而支付贖金或滿足其他非法要求。截至2024年11月18日，該網(wǎng)站已公布7名受害者的信息，但實(shí)際受害數(shù)量可能更多。攻擊者可能基于多種原因選擇不公開或刪除某些信息，例如在與受害者達(dá)成協(xié)議，或受害者支付贖金換取了信息的移除。

InterLock組織所使用的勒索加密載荷和攻擊技戰(zhàn)術(shù)等特征揭示了其與Rhysida組織^[2]之間可能的聯(lián)系。自2023年5月被發(fā)現(xiàn)以來(lái)，Rhysida組織一直以RaaS和雙重勒索模式進(jìn)行運(yùn)營(yíng)，但自2024年10月以來(lái)，其攻擊活躍度有所下降。在當(dāng)前復(fù)雜的網(wǎng)絡(luò)犯罪生態(tài)和全球執(zhí)法機(jī)構(gòu)對(duì)勒索攻擊組織的持續(xù)打擊下，InterLock與Rhysida之間的關(guān)系引發(fā)了多種推測(cè)：InterLock可能是Rhysida的一個(gè)分支或附屬機(jī)構(gòu)，繼承了其技術(shù)和戰(zhàn)術(shù)；或者Rhysida組織的部分成員因內(nèi)部分歧或其他原因而另立門戶，成立了InterLock；還有一種可能是Rhysida組織為了規(guī)避執(zhí)法機(jī)構(gòu)的打擊，以InterLock的新名義繼續(xù)其非法活動(dòng)。這些推測(cè)基于兩個(gè)組織在勒索軟件操作和戰(zhàn)術(shù)上的相似性，以及網(wǎng)絡(luò)犯罪組織內(nèi)部常見(jiàn)的動(dòng)態(tài)和逃避策略。相關(guān)勒索軟件及其組織信息可見(jiàn)計(jì)算機(jī)病毒百科（https://www.virusview.net/RansomwareAttack）。

經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡(jiǎn)稱IEP）可實(shí)現(xiàn)對(duì)InterLock勒索軟件的有效查殺。

2.組織情況

表2-1組織概覽

組織名稱	InterLock
出現(xiàn)時(shí)間	2024年9月
入侵方式	網(wǎng)絡(luò)釣魚、漏洞利用、搭載于其他惡意軟件和非法獲取憑證
典型加密后綴	.interlock
解密工具	暫未發(fā)現(xiàn)公開的解密工具
加密系統(tǒng)	Windows、Linux、FreeBSD
攻擊模式	非定向與定向攻擊模式
常見(jiàn)行業(yè)	醫(yī)療、金融、教育、制造、公共管理
是否雙重勒索	是
勒索信

InterLock勒索軟件于2024年9月被MOXFIVE^[1]發(fā)現(xiàn)，根據(jù)勒索信中預(yù)留的信息判定該勒索軟件是由InterLock勒索攻擊組織使用。

圖2-1 組織暗網(wǎng)頁(yè)面

在暗網(wǎng)中網(wǎng)站頁(yè)面設(shè)置了“自我介紹”信息欄，表明自己的身份和發(fā)起勒索攻擊的原因等內(nèi)容。

圖2-2 組織“自我介紹”內(nèi)容

InterLock組織自2024年10月13日發(fā)布第一名受害者信息以來(lái)，截至11月18日已陸續(xù)發(fā)布7名受害者信息，實(shí)際受害數(shù)量可能更多。

圖2-3 受害者信息欄

3.樣本功能與技術(shù)梳理

3.1 樣本標(biāo)簽

表3-1 InterLock勒索軟件樣本標(biāo)簽

病毒名稱	Trojan/Win32.InterLock[Ransom]
原始文件名	matrix
MD5	F7F679420671B7E18677831D4D276277
文件大小	1.89 MB (1,982,464字節(jié))
文件格式	BinExecute/Microsoft.EXE[:X86]
時(shí)間戳	2024-10-11 04:47:13 UTC
數(shù)字簽名	無(wú)
加殼類型	無(wú)
編譯語(yǔ)言	Visual C/C++
VT首次上傳時(shí)間	2024-10-13 17:10:43 UTC
VT檢測(cè)結(jié)果	57/73

3.2 樣本分析

樣本執(zhí)行支持4種執(zhí)行參數(shù)，具體功能如下表所示：

表3-2 功能參數(shù)

參數(shù)	功能
--directory	加密指定文件夾
--file	加密指定文件
--delete	自刪除
--system	創(chuàng)建系統(tǒng)計(jì)劃任務(wù)

樣本包含大量混淆代碼，并通過(guò)代碼自解密恢復(fù)正常代碼執(zhí)行，以此增加分析難度，減少代碼靜態(tài)特征。

圖3-1 樣本代碼混淆

如果指定了自刪除參數(shù)，則在加密結(jié)束后，釋放文件%Temp%\tmp<隨機(jī)數(shù)>.wasd，然后使用rundll32執(zhí)行。該文件實(shí)際是一個(gè)dll格式文件，有個(gè)導(dǎo)出函數(shù)run，功能為刪除文件。

圖3-2 自刪除功能

若指定了計(jì)劃任務(wù)參數(shù)，則會(huì)創(chuàng)建名為TaskSystem的計(jì)劃任務(wù)。

圖3-3 創(chuàng)建計(jì)劃任務(wù)

避免因加密導(dǎo)致系統(tǒng)崩潰或加密到殺毒軟件文件，不對(duì)特定文件夾進(jìn)行加密。

圖3-4 繞過(guò)加密的文件夾

具體繞過(guò)加密的文件夾信息如下表所示：

表3-3 繞過(guò)加密的文件夾

繞過(guò)加密的文件夾
$Recycle.Bin	Boot	Documents and Settings	PerfLogs	ProgramData
Recovery	Windows	System Volume Information	AppData	WindowsApps
Windows Defender	WindowsPowerShell	Windows Defender Advanced Threat Protection

避免因加密導(dǎo)致系統(tǒng)崩潰，不對(duì)特定后綴名和特定文件名的文件進(jìn)行加密。

圖3-5 繞過(guò)加密的后綴名及文件名

具體繞過(guò)加密的后綴名及文件名信息如下表所示：

表3-4 繞過(guò)加密的后綴及文件名

繞過(guò)加密的后綴及文件名
.bin	.diagcab	.hta	.scr	.dll
.cab	.diagcfg	.ico	.sys	.exe
.cmd	.diagpkg	.msi	.ini	.ps1
.com	.drv	.ocx	.url	.psm1
.cur	.hlp	Thumbs.db

樣本使用LibTomCrypt加密庫(kù)。

圖3-6 LibTomCrypt加密庫(kù)

在要加密的目標(biāo)文件末尾填充字節(jié)，直至文件大小為16字節(jié)的倍數(shù)，對(duì)齊AES加密分組大小。

圖3-7 填充目標(biāo)文件末尾

樣本采用AES-CBC和RSA加密算法，樣本會(huì)為每個(gè)文件生成獨(dú)立的48個(gè)字節(jié)長(zhǎng)度的隨機(jī)數(shù)，將其前32字節(jié)作為AES密鑰對(duì)整個(gè)文件進(jìn)行加密。同時(shí)將這48個(gè)字節(jié)的隨機(jī)數(shù)使用RSA非對(duì)稱加密后附加在加密的文件的末尾?？傮w加密邏輯如下所示。

圖3-8 加密邏輯

使用AES加密文件的代碼如下，文件所有內(nèi)容均會(huì)被加密。

圖3-9 采用AES加密算法

勒索信相關(guān)內(nèi)容。

圖3-10 創(chuàng)建勒索信相關(guān)代碼

清除入侵痕跡，在樣本執(zhí)行結(jié)束后調(diào)用API清除相關(guān)日志。

圖3-11 清除相關(guān)日志

4.防護(hù)建議

建議企業(yè)用戶部署專業(yè)的終端安全防護(hù)產(chǎn)品，對(duì)本地新增和啟動(dòng)文件進(jìn)行實(shí)時(shí)檢測(cè)，并周期性進(jìn)行網(wǎng)內(nèi)病毒掃描。安天智甲終端安全系列產(chǎn)品（以下簡(jiǎn)稱“智甲”）依托安天自研威脅檢測(cè)引擎和內(nèi)核級(jí)主動(dòng)防御能力，可以有效查殺本次發(fā)現(xiàn)病毒樣本。

智甲具備內(nèi)核級(jí)防護(hù)能力，基于內(nèi)核驅(qū)動(dòng)持續(xù)監(jiān)控進(jìn)程等內(nèi)存對(duì)象操作行為動(dòng)作，研判是否存在持久化、提權(quán)、信息竊取等攻擊動(dòng)作，并且結(jié)合勒索行為特征庫(kù)檢測(cè)，可分析進(jìn)程行為是否疑似勒索攻擊行為，對(duì)發(fā)現(xiàn)的勒索攻擊可在第一時(shí)間進(jìn)行阻斷。