以下是我们讨论过的每篇文章中的一些亮点:
勒索软件的好日子
- 这十几个特别的肮脏的人确实做了依赖于达摩部署的卑鄙的事情,肯定也代表了致命的组合LockerGoga和MegaCortex。深入挖掘,呆子们表现出了对Trickbot的依赖,其次是通常的怀疑对象Cobalt Strike和PowerShell Empire的横向移动。
- 达摩勒索软件(Dharma ransomware),也被称为CrySiS,是一种相当可恶的“特洛伊”病毒,针对Windows系统,威胁行为者使用它来敲诈家庭电脑用户,但也包括中小型组织。关于它的一个可爱的事实:在典型的Dharma phish中,用户被要求下载一个名为Defender.exe的密码保护附件。
- 然后是LockerGoga,该公司因是2019年挪威海德鲁袭击事件的幕后黑手而闻名。安装完成后,LockerGoga通过修改受感染系统中的用户密码来修改用户帐户。它还尝试注销登录到系统的用户。然后它将自己重新定位到一个临时文件夹,并使用命令行(cmd)重命名自己。但这可能是最可爱的事情:由于LG既没有给受害者恢复文件的机会,也没有明确要求赔偿,它的分发极有可能是有针对性的,旨在破坏业务。
- 那么MegaCortex怎么样?在这里,Windows域控制器是关键。一旦一个易受攻击的域控制器被破坏,攻击者配置它丢弃一个批处理文件,PsExec和winit .exe,这是核心恶意软件文件组件到其他机器。PsExec就像一个先进的团队,它消除了环境,这样坏人就可以为所欲为了——在这种情况下,它将终止Windows进程和任何其他可以阻止或阻止勒索软件执行流的服务。然后它启动- winit .exe,它搜索可以加密的文件,然后提取一个带有随机生成文件名的DLL,并与rundll32.exe一起运行,执行加密。非常常规的事情,记住,这些逮捕是相当漫长的努力的结果,所以当我们查看涉及的恶意软件时,我们有点像是在回顾2019年左右。所以这些不一定是最新的盗版,而且已经有很多人发现了。
- 这些逮捕行动是10月26日在乌克兰和瑞士这片遥远的土地上进行的。这是相当大的警察合作,总共有10个不同的国家或组织参与,如果你更深入地了解这些国家和组织,你会发现总共有15个实体和50名调查人员一起合作逮捕这些人。但这一切是怎么开始的呢?嗯,和法国人。在Eurojust的资金支持下,挪威、法国、英国和乌克兰于2019年9月成立了一个联合调查小组,但奇怪的是,该小组与大麻无关。在荷兰和乐动首页美国当局进行独立调查的同时,JIT的合作伙伴一直在密切合作,以揭示这些网络行为者犯罪活动的实际规模和复杂性,以建立一个联合战略。(看,这与史努比和威利·纳尔逊最大的共同兴趣无关。)
- 至于他们的去向,任何时候一旦有人被捕,你就有了一个潜在的线人金矿有可能进一步逮捕他们。当然,他们还会对他们缴获的任何资产进行大量取证(我指的不仅仅是试驾兰博基尼,当然这也有可能)。
- 我们知道他们遭受了网络犯罪的致命弱点:汽车虚荣。我们来谈谈他们除了用1000美元的欧元点燃雪茄之外还干了些什么。目标嫌疑人在这些组织中扮演不同的角色。其中一些是纯技术方面的,例如在渗透阶段,使用不同的机制来破坏受害者环境,包括暴力暴力攻击、SQL注入、窃取凭证和带有恶意附件的钓鱼电子邮件。还有一些人更负责赎金的洗钱:他们会通过混合服务将比特币赎金转移出去,然后再兑现。
- 对于那些被关在监狱里的卑鄙小人,我可以告诉你,他们将不得不彻底重新调整他们的时尚和饮食习惯。至于我们其他人,我认为可以从两个方面来看待这个问题。从某种角度来看,这只是九牛一毛……尽管被逮捕的组织所代表的活动范围很广,因此这些都是大鱼,但我们知道,从大局来看,勒索软件的速度不太可能显著放缓,至少不会太长时间。但另一个角度,也是我认为更有趣的一个角度,涉及的问题是,我们将从这次行动中学到什么,以寻找打破商业模式的方法,以获得更好、更广泛的国际合作,以及在政策层面上潜在的有益变化等等。或者简单地说:我们在这里学到的东西能帮助我们做更多的这些事情,并以越来越高的效率水平吗?
一匹魔术小马
- 我一看《魔术机器人》就会听到《神秘科学剧场3000》的介绍。[可怕的歌声]所以你是受欢迎的。无论如何,TrickBot是一个可以追溯到2016年的恶意软件。它通过许多不同的方式传播,经过多年的演变,最初是作为一个银行木马,然后转移到窃取密钥,通过网络、AD证书传播,最终也感染LInux系统。最重要的是,据说它安装了Ryuk和Conti家族的勒索软件。现在它被视为最初的感染,通常会导致下一组麻烦,无论是勒索软件或其他在你的网络上。戏法机器人在突变和多产方面都很有创造力。
- 你可能还记得几个月前,美国司法部逮捕了真主安拉Witte AKA Max,一个拉脱维亚人,他被指控编写了大量的TrickBot代码。研究团体知道有多个开发人员在做这些事情,但随着案件的进展,似乎她只研究单独的组件,可能不知道她在做什么,或者这是某种程度上的孤立。我对此表示怀疑,但这是我们看到的一些抱怨和争论,当然其他犯罪团伙以前也做过这样的事,雇佣开发人员开发特定组件,而不告诉他们更大的项目。无论如何,这次新的引渡Vladimir Dunaev,另一个与TrickBot有关的人,进一步显示了FBI在他们的新闻稿中所说的:“追捕网络罪犯需要相当的耐心、专业知识和资源,但FBI有很好的记忆力,将确保这些恶意行为者无法逃避检测或逃避执法行动的全部压力。”要我说,这句话不错。不管怎样,他们在东南亚抓住了杜纳耶夫,通过韩国将他引渡到俄亥俄州北部。
- 首先,根据起诉书,TrickBot成立于2015年,所以他们一定掌握了一些我过去从未见过的情报。除此之外,还有一个更大的TrickBot集团,它使用了像真主安拉Witte这样的自由程序员来创建、部署和管理恶意软件。这份起诉书包含了所有的信息因为Dunaev显然不仅参与了恶意软件的部署,还参与了电信欺诈和银行欺诈等。如果一切按照司法部的起诉计划进行,那么杜纳耶夫将面临60年的监禁。
- Dunaev从实际的计算机欺诈到身份盗窃再到电汇和银行欺诈。文件显示,他还涉嫌洗钱。看起来有足够多的罪名,即使不是全部,也有一部分会被控方证实。就像FBI说的,他们记性很好,用电脑犯罪最可怕的一点就是他们会记录下一切,到处留下痕迹。任何攻击,就像我们常说的,都有一个要求,那通常是别人已经窃听的网络组件。
- 我想如果联邦调查局有这样的人与TrickBot有关,他们可能也知道所有其他的运营商。我猜杜纳耶夫不会透露太多他们不知道的情报。一旦他们有这么多罪名要指控某人并引渡他们,他们就只是在无所事事地等着操作者犯错误。我们知道这些组织中的很多都在俄罗斯,我们不能从那里引渡他们,所以我不认为这将阻止其他与TrickBot集团有关联的人继续活动。肯定会阻止他们去海外度假。我怀疑这会对TrickBot造成多大的阻碍,但这正是这些大型组织被拿下的方式。慢慢地,一次一个人,通过耐心,当他们的行动安全失效时,美国司法部将在引渡国的某个机场等待。
两个事实和一个谎言
介绍《绝命毒师》的最新片段。我们要玩一个你们可能都很熟悉的游戏叫做两个事实和一个谎言,有一个有趣的转折。每周,我们都会准备三篇文章的标题,其中两篇是真实的,另一篇是,你猜对了,一个谎言。
你一定要收听我们的节目才能知道!
当前的记分板
本周帽衫/好衣量表
勒索软件的好日子
(乍得):9/10好吃
(Tim):9/10好吃
一匹魔术小马
(乍得):8/10好吃
(Tim):8/10好吃
以上就是本周的全部内容,大家可以在推特上找到我们@domaintools在美国,我们的播客中提到的所有文章都会包含在我们的播客概述中。请在太平洋时间周三上午9点收看我们的节目,届时我们将发布下一期播客和博客。
*特别感谢John Roderick为我们带来的不可思议的播客音乐!
