自 2022 年末 CatB 勒索软件出现以来,网络安全领域见证了一个手段高超的威胁行为者的崛起。
这种恶意软件也被称为 CatB99 或 Baxtoy,因其先进的规避检测能力和独特的攻击方法而备受关注。
安全研究人员注意到,CatB 勒索软件与 Pandora 勒索软件有着惊人的相似之处,有迹象表明 CatB 可能是 Pandora 的一次策略性更名,两者几乎相同的勒索赎金通知和操作模式就是证明。
CatB 因其复杂的执行策略著称,尤其是它利用 Microsoft 分布式事务协调器(MSDTC)进行动态链接库(DLL)劫持,以此来部署恶意负载。
除了常规的文件加密,这款勒索软件还具备窃取浏览器数据和凭据的能力,极大地增加了其潜在威胁。
它先进的检测机制使其能够识别并绕过虚拟机环境,这给安全专业人员的分析和遏制工作带来了相当大的挑战。
AttackIQ 的研究人员已经确定 CatB 与疑似网络间谍组织 ChamelGang(也称为CamoFei)存在关联。
根据全面分析,这种策略性的关联标志着威胁行为者的战术发生了令人担忧的演变 —— 将传统的犯罪勒索软件活动与复杂的间谍活动目标相结合。
这种混合攻击方式实际上制造了一个烟幕弹,表面上明显的勒索软件攻击转移了人们对潜在情报收集活动的注意力。
CatB 造成的影响巨大,其攻击目标是全球范围内的知名组织。它采用多阶段攻击方法,在执行加密程序之前,首先进行初步侦察以收集系统信息。
SentinelOne 在 2023 年 3 月发布的报告,以及 Fortinet 在 2023 年 2 月进行的技术分析都证实了,这种恶意软件如何系统地破坏安全防御,并在被入侵的网络中实现持续存在。
为应对这一不断演变的威胁,AttackIQ 发布了一个攻击图,模拟 CatB 的战术、技术和操作流程(TTPs),使各组织能够根据这一特定威胁行为者的攻击方法来验证自身的安全控制措施。
这种主动防御的方法使安全团队能够在潜在漏洞被真实利用之前发现它们。
DLL 搜索顺序劫持机制
CatB 执行策略的核心在于它利用 Windows 的 DLL 搜索顺序机制来攻击 Microsoft 分布式事务协调器(MSDTC)。
在 MITRE ATT&CK 框架中,这种技术被归类为 T1574.001,它允许恶意软件将恶意 DLL 加载到受信任的系统二进制文件中,实际上是借助合法进程来执行恶意代码。
攻击始于 CatB 释放器进行初步侦察,通过诸如 GetSystemInfo 和 DeviceIoControl 等应用程序编程接口(API)调用来收集硬件规格和系统驱动器信息。
它特别使用 GlobalMemoryStatusEx API 来收集有关物理内存和虚拟内存的详细信息 —— 这是其虚拟机检测能力中的关键一步。
DLL 劫持过程利用了 Windows 可预测的 DLL 加载顺序,即操作系统会先在应用程序目录中搜索,然后再检查系统目录。
通过将与合法 DLL 同名的恶意 DLL 放置在搜索顺序靠前的位置,CatB 确保其代码能够以与受信任应用程序相同的权限执行。
以下简化的代码模式展示了防御者如何检测这种活动:
$suspiciousDllLocations = Get-ChildItem -Path “C:\Windows\System32\msdtc” -Filter “*.dll” -Recurse $knownGoodHashes = @(“hash1”, “hash2”, “hash3”)
foreach ($dll in $suspiciousDllLocations) { $fileHash = Get-FileHash -Path \(dll.FullName -Algorithm SHA256 if (\)fileHash.Hash -notin $knownGoodHashes) { Write-Output “Potential malicious DLL detected: \((\)dll.FullName)” } }
一旦恶意 DLL 被加载,CatB 就会使用 PowerShell 命令终止与安全相关的进程,从而禁用防御措施。
这为其加密操作和窃取浏览器数据的活动创造了有利环境。
CatB 的 DLL 劫持机制十分复杂,再加上其侦察能力和规避防御的技术,使其成为一个强大的威胁,需要更先进的检测方法和主动的安全验证措施来应对。
发表评论
您还未登录,请先登录。
登录