技術支援
文件
登錄
聯繫我們
Icefire勒索軟體針對Linux企業系統
奧班拉·奧佩耶米
實施期間: 2023年3月24 日 - TuxCare專家團隊
SentinelLabs的網路安全研究人員發現了Icefire勒索軟體的新變種,特別關注Linux企業系統。
SentinelLabs是第一個檢測到該惡意軟體的公司,該惡意軟體對受感染系統上的檔進行加密,並要求贖金才能釋放。它在常見漏洞和披露 (CVE) 資料庫中被標識為 CVE-2022-47986。攻擊者可利用此缺陷在易受攻擊的系統上執行任意代碼。
Icefire勒索軟體非常複雜,採用多種技術來避免被防病毒軟體檢測到。該惡意軟體被認為是通過網路釣魚電子郵件和偷渡式下載傳播的。易受攻擊的軟體應用程式被廣泛使用,並且由於輸入驗證不當而容易受到攻擊。成功利用此漏洞可能導致受影響的系統完全受損。
SentinelLabs檢測到的IceFire惡意軟體使用iFire擴展,這與MalwareHunterTeam二月份的報告一致,即IceFire正在將重點轉移到Linux企業系統。
IceFire Linux版本被發現運行在運行CentOS(開源Linux發行版)的主機上,並運行易受攻擊的IBM Aspera Faspex檔伺服器軟體版本。在IceFire Linux變體中觀察到的另一種新穎策略是利用漏洞,而不是通過網路釣魚消息或通過某些利用後第三方框架(如Empire,Metaspoilt和Cobalt Strike)進行傳統交付。
根據SentinelLabs的報告,攻擊者的策略與「大型遊戲狩獵」(BGH)勒索軟體家族的策略一致,後者涉及雙重勒索,對大型企業的攻擊,使用多種持久性機制以及刪除日誌檔等規避策略。當攻擊者在竊取數據的同時對其進行加密時,他們通常會要求兩倍於標準付款的贖金。
IceFire Linux版本(SHA-1:b676c38d5c309b64ab98c2cd82044891134a9973)是一個2.18 MB,64位ELF二進位檔,使用gcc編譯為AMD64架構。該示例在基於 Intel 的 Ubuntu 和 Debian 發行版上進行了測試;IceFire在兩個測試系統上都成功運行。在觀察到的入侵中,Linux 版本是針對運行易受攻擊的 IBM Aspera Faspex 檔案伺服器軟體版本的 CentOS 主機部署的。系統使用 wget 下載了兩個有效負載並保存了它們。
在執行時,檔被加密並重命名,並在檔名後附加“.ifire”擴展名。然後,IceFire通過刪除二進位檔來刪除自己。然後將“.iFire”擴展名附加到檔名中。IceFire跳過了擴展名為“.sh”和“.cfg”的檔。
IceFire勒索軟體不會加密Linux上的所有檔:它避免加密某些路徑,因此系統的關鍵部分不會被加密並保持運行。在一個觀察到的感染中,/srv 目錄是加密的,因此可以選擇性地覆蓋這些排除項。
這篇文章的來源包括 CSOOnline的一篇文章。
