AvosLocker是2021年發現的勒索軟體組織，專門針對Windows計算機，不過近期捕獲到了針對Linux平臺的新型變種。

歷史上，攻擊者或AvosLocker勒索軟體組的附屬公司正在使用Proxyshell來利用Microsoft Exchange Server漏洞，損害受害者的網路，例如CVE-2021-34473，CVE-2021-31206，CVE-2021-34523和CVE-2021-31207。 一旦攻擊者訪問計算機，他們就會部署mimikatz來轉儲密碼。攻擊者可以使用標識的密碼獲取對域控制器的RDP訪問許可權，從而從受感染的計算機中洩露資料。最後，攻擊者將AvosLocker勒索軟體部署在受害者系統上，以加密受害者的文件和檔案，而新的針對Linux平臺變種則有不同的行為。

技術分析

基於對新變種的靜態分析，我們發現惡意檔案是基於x64的可執行和ELF檔案，如圖1所示。

圖1-靜態ELF檔案詳細資訊

在Linux計算機上執行AvosLocker勒索軟體時，它會指示使用者執行一個命令，該命令具有指定要加密的目錄路徑的引數。此外，該命令還有另一個引數，該參數列示加密過程中要涉及的執行緒數。內建的多執行緒處理功能可幫助攻擊者更快地加密檔案，如圖2所示。

圖2-惡意軟體指示驅動器路徑

執行後，AvosLocker會檢查是否存在VMware Elastic Sky X Integrated（ESXi）、虛擬機器檔案系統（VMFS），並使用下圖中給出的命令殺死正在執行的虛擬機器（VM）。

圖3-終止ESXi虛擬機器的命令

下圖顯示惡意軟體將副檔名.avoslinux附加在加密受害者計算機上的檔名後。

圖4-加密後追加副檔名

在加密檔案之前，惡意軟體使用互斥鎖/解鎖API執行執行緒同步操作，以避免加密過程衝突，如圖5所示。

圖5-執行緒同步加密檔案

加密檔案的內容在檔案末尾具有base64編碼的內容。如下圖所示，目前有理由懷疑base64編碼的資料包含用於加密檔案的加密金鑰。

圖6-加密檔案內容

在開始加密過程之前，惡意軟體會在特定驅動器中刪除名稱為README_FOR_RESTORE.txt的贖金記錄，然後，像其他勒索軟體組一樣，攻擊者指示受害者訪問TOR網站，如下圖所示：

圖7-贖金票據

當受害者訪問AvosLocker的TOR網站時，它會要求贖金票據上給出的ID以繼續進行付款過程，如下圖所示：

圖8-AvosLocker的TOR網站

一旦受害者輸入ID，網站將重定向到付款頁面，攻擊者指示受害者支付1000000.00美元或4629.63門羅幣或28.61比特幣，如果受害者不在截止日期前支付贖金，贖金金額將翻倍。

對於透過門羅幣付款，攻擊者提供了門羅幣ID和付款ID，如圖9所示：

圖9-AvosLocker的付款頁面

其它

當受害者未能支付贖金時，攻擊者會在其洩密網站上洩露了受害者的詳細資訊。下圖顯示了Avoslocker洩漏網站與最近的受害者：

圖10-洩漏站點上提到的受害者名單

此外，洩漏網站指出，攻擊者提到了一個提供勒索軟體即服務（RaaS）的聯盟計劃，其中包括了聯盟皮膚，呼叫服務等，如下圖所示：

圖11-AvosLocker的合作伙伴計劃

勒索軟體組織正在尋求支援，以在美國、加拿大、英國和澳大利亞等國家/地區擴充套件其網路犯罪勒索軟體業務，如下圖所示：

圖12-網路罪案論壇上的帖子

結論

透過分析，Linux平臺可能有新版本的AvosLocker勒索軟體，在最新版本中，網路犯罪分子新增了一個獨特的程式碼，以使用新的策略來發展其Raas服務（勒索即服務），藉此針對ESXi和VMFS機器。因此，可以認為，AvosLocker勒索軟體即將推出的變體可能會以增強形式出現。

建議

下文列出了一些基本的網路安全最佳實踐，這些實踐可以建立針對攻擊者的第一道防線。我們建議使用者遵循以下準則：

防止勒索軟體攻擊所需的安全措施

• 執行定期備份實踐，並將這些備份保持離線或儲存在單獨的網路中。

• 在儘可能實用的情況下，在計算機、移動裝置和其它連線的裝置上開啟自動軟體更新功能。

• 在連線的裝置（包括 PC、膝上型電腦和移動裝置）上使用知名的防病毒和網際網路安全軟體包。

• 避免在未驗證其真實性的情況下開啟不受信任的連結和電子郵件附件。

使用者應在勒索軟體攻擊後採取以下步驟

• 隔離同一網路上受感染的裝置；

• 斷開外部儲存裝置（如果已連線）的連線；

• 檢查系統日誌中是否有可疑事件。

更多技術分析請關注“聚銘網路”微信公眾號