研究人员发现勒索软件Snatch可使Windows重新启动到安全模式来绕过安全保护。

在10月中旬，研究人员发现一个名为Snatch的勒索软件在安全模式引导期间将自身设置为一个服务并运行。它可以快速地将计算机重新启动到安全模式，并在大多数软件（包括安全软件）不运行的安全模式环境中加密受害者的硬盘驱动器。

点击图片查看原图

自2018年夏季开始，Snatch勒索软件一直非常活跃，并新增了一项安全模式启动功能。恶意软件包括一个勒索软件组件和一个单独的数据窃取器，这两个工具显然都是由网络罪犯开发的，此外还有几个公开的工具，这些工具本身并不是恶意的，通常被渗透测试人员、系统管理员或技术人员使用。Snatch勒索软件不支持多平台，该软件可以运行在最常见的Windows版本上，从7到10，32位和64位版本。发现的样本是使用开源打包程序UPX打包，进行了内容混淆。

Snatch工作方式

恶意软件采用主动自动攻击模式，他们通过对易存在漏洞的服务进行自动暴力攻击来渗透企业网络，并在目标组织的网络内部进行传播。恶意软件在勒索的同时能够一直从目标组织窃取大量信息。

Snatch小组成员曾经在线进行技术讨论与寻找合作伙伴，并免费培训其他人使用恶意软件，允许潜在伙伴使用其基础设施，提供运行Metasploit的服务器。

Snatch行为分析

MTR在一次针对大型国际公司的攻击事件中成功获取了无法加密的勒索软件详细日志。攻击者最初通过强行将密码强制输入到Microsoft Azure服务器上的管理员帐户来访问公司的内部网络，并能够使用远程桌面（RDP）登录到服务器。

攻击者使用Azure服务器作为渗透立足点，利用该管理员帐户登录到同一网络上的域控DC，然后在数周内对目标网络执行监视任务。查询有权登录的用户列表，并将结果写入文件。此外还将WMIC系统用户数据、进程列表，Windows LSASS服务的内存内容存储到文件中，然后上传到c2服务器。

User information stolen by Snatch

Snatch dumps lsass from memory then uploads the dump

攻击者设置了一次性Windows服务来部署特定任务。这些服务有很长的随机文件名，可从tasklist程序查询正在运行的进程的列表，将其输出到temp目录中的一个文件，然后运行一个批处理文件（也位于temp目录中），将tasklist文件上传到C2服务器。

它使用同样的方法将大量信息上传到C2服务器。例如，它使用此命令把提取的用户帐户和其他配置文件信息（.txt文件）发送回C2，然后执行它在Windows临时目录中创建的批处理。

大约5%的组织内部计算机上被安装了监视软件，总计约200台。攻击者安装了几个恶意文件；其中一组文件是为了让攻击者能够远程访问这些计算机，而不必依赖Azure服务器。攻击者还安装了一个名为“高级端口扫描程序”的Windows程序，使用该工具在网络上发现他们其他潜在目标计算机。

研究人员还发现一个名为Update_Collector.exe的恶意软件，该工具利用WMI收集的数据寻找网络上其他计算机和用户帐户的更多信息，随后将该信息转储到文件中，上传到攻击者的服务器。还发现了一系列其他合法的工具，包括 Process Hacker, IObit Uninstaller, PowerTool, 和 PsExec。在其他几起攻击中使用了完全相同的工具集，攻击者针对世界各地组织的进行攻击，包括美国、加拿大和几个欧洲国家。至少有一台或多台带有远程桌面协议的计算机，在互联网上暴露，成为受害组织的目标。

攻击者在初始网络攻击数天到数周后的某个时间点将勒索软件组件下载至目标计算机。每个受害者都有一个独特的五个字符代码并将其与“_pack.exe”组合成组件的名称。

下载勒索软件并通过PSEXEC启动

当恶意软件调用PSEXEC服务来执行勒索软件时，它已将自己解压缩到Windows文件夹中，并使用相同的五个字符和“unpack.exe”。

The “unpack” version ends up in the Windows directory

一个名为SuperBackupMan的Windows服务被勒索软件所安装。服务描述文本“This service make backup copy every day,”有助于其在服务列表中隐藏。此注册表项在计算机开始重新启动之前立即设置。

SuperBackupMan服务可组织用户停止或暂停。

恶意软件将此key添加到Windows注册表中，以便在安全模式引导期间启动。

使用Windows上的BCDEDIT工具发出命令，将Windows操作系统设置为以安全模式启动，然后立即强制重新启动受感染的计算机。

当计算机在重新启动后进入安全模式，恶意软件使用Windows组件net.exe停止SuperBackupMan服务，然后使用Windows组件vssadmin.exe删除系统上的所有Volume Shadow副本，可阻止技术人员对勒索软件加密的文件进行取证恢复。

勒索软件然后开始加密受感染机器的本地硬盘上的文件。

Snatch影响分析

一种勒索软件会在文件加密时添加一个由五个字母数字组成的伪随机字符串。对于每个受害组织来说，这个字符串都是唯一的，在勒索软件的可执行文件名和勒索通知中都有出现。例如，如果勒索软件名为abcdex64.exe，则加密的文件将文件扩展名.abcde附加到原始文件名后，勒索信息使用诸如README_abcde_files.txt或DECRYPT_abcde_DATA.txt之类的命名规范。

从7月到10月，一家专门以代表客户与罪犯进行勒索谈判的公司，已经进行了12次代表客户与罪犯的谈判。赎金从2000美元到35000美元不等，四个月内呈上升趋势。

与许多其他的勒索软件一样，Snatch并不会对某些文件和文件夹位置列表进行加密。勒索软件通常会将目光集中在工作文档或个人文件上，旨在维护系统的稳定性。它跳过的位置包括：

在其中一个样本中发现攻击者在监控运行其代理的系统。当分析员意外注销时，分析员怀疑攻击者将机器识别为安全研究平台，于是他给攻击者写了一条消息，并将其留在了测试机器的桌面上。经过一小段时间后，攻击者再次使分析员电脑注销，以阻止使用该电脑的IP地址重新连接到C2服务器。

还发现勒索软件正在使用OpenPGP，二进制文件将PGP公钥块硬编码到文件中。

预防与监测

预防

建议任何组织都不要将远程桌面界面暴露在不受保护的互联网上，应将它们置于VPN后，没有VPN凭据的人都无法访问。

攻击者还表示希望寻找其他的合作伙伴，能够使用其他类型远程访问工具（如VNC和TeamViewer）以及Web外壳或SQL注入技术。

组织应立即为具有管理权限的用户实现多因素身份验证，使攻击者更难强行利用这些帐户凭据。

检测

大多数初始访问和立足点都在未受保护和未受监视的设备上。组织应定期检测设备确保网络上没有被疏忽的设备机器。

勒索软件的勒索行为发生在攻击者进入网络后的几天。要在勒索软件启动之前识别攻击者的软件，需要一个成熟的威胁搜索程序。

检测详细信息

通过以下签名检测Snatch的各种组件和此攻击中使用的文件：

以上就是勒索软件Snatch如何利用安全模式绕过杀毒软件的详细内容，更多请关注Work网其它相关文章！