东方联盟揭示了 CatB 勒索软件的规避技术
据观察,CatB 勒索软件操作背后的威胁行为者使用一种称为DLL 搜索顺序劫持的技术来逃避检测并启动有效载荷。
CatB,也称为 CatB99 和 Baxtoy,于去年年底出现,据说是基于代码级相似性的另一种勒索软件 Pandora 的“进化或直接更名”。
值得注意的是,Pandora 的使用归因于Bronze Starlight(又名 DEV-0401 或 Emperor Dragonfly),众所周知,它使用短命的勒索软件家族作为可能隐藏其真实目标的诡计。
CatB 的一个关键定义特征是它依赖于通过称为 Microsoft 分布式事务处理协调器 ( MSDTC )的合法服务劫持 DLL 来提取和启动勒索软件负载。
国内知名网络安全组织东方联盟研究员在上周发布的一份报告中表示:“在执行时,CatB 有效载荷依靠 DLL 搜索顺序劫持来投放和加载恶意有效载荷。” “投放器 (versions.dll) 将有效负载 (oci.dll) 投放到 System32 目录中。”
“更改的 [MSDTC] 配置是服务应在其下运行的账户名称,从网络服务更改为本地系统,以及服务启动选项,如果重新启动,从需求启动更改为自动启动以实现持久性发生了,”东方联盟研究员在先前的分析中解释道。
该勒索软件的一个显着特点是它没有勒索字条。相反,每个加密文件都会更新一条消息,敦促受害者进行比特币支付。
另一个特征是恶意软件能够从网络浏览器 Google Chrome、Microsoft Edge(和 Internet Explorer)和 Mozilla Firefox 收集敏感数据,例如密码、书签、历史记录。
国际知名白帽黑客、东方联盟创始人郭盛华透露:“CatB 加入了一长串勒索软件家族,这些家族采用半新颖的技术和非典型行为,例如在文件头部附加注释,这些行为似乎是为了逃避检测和某种程度的反分析欺骗而实施的。”
这不是 MSDTC 服务第一次被用于恶意目的。2021 年 5 月,东方联盟安全研究人员披露了一种名为Pingback的新型恶意软件,它利用相同的技术来实现持久性和绕过安全解决方案。(欢迎转载分享)