Sodinokibi（REvil）勒索病毒黑客组织攻击姿势全解

前言

2021年6月 11日，国外媒体 threatpost 发布文章宣称美国能源部 (DOE) 的分包商同时也是美国国家核安全局 (NNSA) 核武器开发合作商的 Sol Oriens 公司遭受到网络攻击，并且 Sol Oriens 公司人员已证实该公司于上月发现被勒索病毒攻击，而国外安全专家宣称此次攻击为 REvil 勒索软件，并且发现攻击者将 Sol Oriens 部分数据公开到 REvil 勒索软件的暗网官网上，笔者从REvil勒索病毒的暗网数据网站上确实找到了包含Sol Oriens公司被盗数据的信息，如下所示：

Sol Oriens被盗的相关数据信息，如下所示：

大家应该对REvil勒索病毒不陌生了，它还有一个名字就是Sodinokibi勒索病毒，最早这款勒索病毒被称为Sodinokibi，后面国外有一些安全研究人员基于Sodinokibi的解密工具又称这款勒索病毒为REvil勒索病毒，于是这款勒索病毒就有两个名字分别为：Sodinokibi和REvil，在勒索病毒家族中，也有一些勒索病毒家族有两个名字，例如：CrySiS勒索病毒，也称为Dharma勒索病毒，为啥一个恶意软件家族会同时有几个名字，也是不同的分析人员，在分析样本的时候，根据样本里面包含的不同特征进行命名的，一般来说谁最先发现并分析的病毒样本，就由谁来先命名，后面发现的只能归因到已知的病毒样本家族名，不过也有一些另外，比方如果最开始由于捕获的信息不足，会存在命名不太准确，随着分析人员后面的不断追踪分析，又发现了新的更准确的样本特征信息，然后再重新命名，关于病毒家族的命名又是一个新的课题了，有很多种不同的命名方法，笔者就不过多的介绍了，有兴趣的可以去参考学习一些相关的资料，此前对全球最大肉类包装公司JBS发起持续勒索软件攻击的幕后黑手也是REvil，最后JBS交了1100万美元的巨额赎金，笔者应该是国内最早开始分析和研究Sodinokibi勒索病毒的恶意软件研究员，同时笔者此前也深入跟踪研究过多款全球主流的勒索病毒家族，对全球各种不同类型的恶意软件家族都有深入的分析与研究，这篇文章就给大家分享一些关于这款勒索病毒以及其背后的黑客组织的一些攻击姿势和信息，希望大家对这款勒索病毒以及黑客组织有一个更深入的了解。

攻击姿势

2019年4月28日，笔者拿到了这款勒索病毒最初始版本的病毒样本，通过对病毒样本进行深度的逆向分析，发现样本中有很多功能与GandCrab勒索病毒非常相似，也许是一种职业的嗅觉，当时就有一种预感，这款勒索病毒后面应该会流行起来，然后笔者对病毒样本进行了详细的溯源分析，主要从病毒代码、传播渠道两个重要的维度进行了分析溯源，确认了这款勒索病毒应该与GandCrab勒索病毒有关联，而且背后的运营团队有可能是同一伙人，或是此前GandCrab勒索病毒黑客组织的一部分人出来重新运营了Sodinokibi，于是笔者称这款勒索病毒为GandCrab的“接班人”，详细的报告，可以参考公众号2019年6月发布的文章《威胁情报：揭密全球最大勒索病毒GandCrab的接班人》，2019年5月24日，国外安全研究人员首次在意大利发现了Sodinokibi的病毒样本，笔者将这个样本与此前发现的病毒样本进行对比，发现样本的相似度极高，可以认定国外安全研究人员发现的病毒样本就是2019年4月笔者分析的那个病毒样本，关于这款勒索病毒更多的信息，可以参考笔者之前的文章，里面都有详细的介绍，本文主要讲解一下这款勒索病毒的相关攻击姿势。

通过跟踪分析，发现这款勒索病毒确实非常活跃，病毒样本不断变种升级，攻击手法也越来越多，分享这款勒索病毒黑客组织发动攻击的一些常用姿势：
(1)通过钓鱼邮件，伪装成Flash安装程序，如下所示：

(2)冒充工商银行的钓鱼邮件，伪装成银行数字证书程序，如下所示：

(3)冒充法院的钓鱼邮件，伪装成法院文档的程序，如下所示：

(4)通过人工扫描、RDP爆破攻击方式，传播Sodinokibi勒索病毒，如下所示：

(5)通过钓鱼邮件，然后利用JS/PS脚本等无文件攻击方式，传播Sodinokibi勒索病毒，如下所示：

从上面这些攻击案例可以看出Sodinokibi勒索病毒在早期的传播攻击方式都比较单一，都是通过单一的攻击手法，直接传播Sodinokibi勒索病毒，进行加密勒索，传播攻击方式和勒索病毒信息，如下所示：

随着勒索攻击的演变，“双重”勒索或“三重”勒索模式的逐渐流行，这种单一的攻击模式显然已经不能达到要求，需要使用多种攻击手法相结合的方式进行攻击，而有还需要利用其他恶意软件监控盗取企业的核心数据等，分享一个Sodinokibi勒索病毒的攻击案例，如下所示：

黑客组织通过前期的钓鱼邮件，给受害者安装木马，然后通过木马安装CS工具，再利用CS进行横向的渗透感染，获取到企业的域或服务器等相关权限、RDP登录凭证信息等，再通过凭证信息登录到企业的多台主机上，安装Sodinokibi勒索病毒，整个攻击过程可能会持续很长一段时间，当获取到企业的重要数据之后，最后再安装勒索病毒加密企业数据。

上面仅仅是介绍了一个该勒索病毒最近的某次攻击活动，其实还可以通过其他各种不同的恶意软件或攻击方式组合来进行相似的勒索攻击活动，从上面的攻击活动可以很清楚的发现，这款勒索病毒的攻击方法在前期和后期的不同，前期主要通过单一的攻击方式，直接安装勒索病毒，后期主要通过组合多种不同的攻击方式以及其他各种不同的恶意软件，盗取企业数据之后，再安装勒索病毒，随着攻索攻击的发展，Sodinokibi勒索病毒黑客组织也加入到了BGH猎狩活动当中，勒索攻击已经逐步向“定制化”和“APT定向攻击”模式发展。

关于勒索病毒更多的信息，可以参考公众号《勒索病毒专题报道》，你想要了解的基本都在里面。

黑客组织

笔者最近跟踪分析的一些Sodinokibi勒索事件，勒索金额少则几百万美元，多则高达几千万美元，正是因为勒索病毒的暴利，让黑客组织更加“积极”和“努力”，他们一共接受了两次采访，第一次采访，相关内容，如下所示：

在第一次采访中，Sodinokibi勒索病毒黑客组织说不想涉及政治目的，只想搞钱，而且钱永远不会觉得够，这和此前GandCrab勒索病毒背后的黑客组织不一样，GandCrab勒索病毒黑客组织在赚到了钱之后就选择了退出，然而Sodinokibi勒索病毒黑客组织之前说赚到5亿美元就不做了，现在又说钱永远不够，说明他们后面还会一直从事相关的攻击活动，赚更多的钱，至于最后会不会像GandCrab退出就不得而知，Sodinokibi勒索病毒迟早有一天会有更新的家族来替换它，然而背后的黑客组织会一直存在，同时他们谈到了他们并不关心政治，还谈到了勒索攻击与网络战争等，有兴趣的可以去看原文链接：
https://therecord.media/i-scrounged-through-the-trash-heaps-now-im-a-millionaire-an-interview-with-revils-unknown/

随着Colonial Pipeline被勒索攻击，全球最大肉类包装公司JBS也被Sodinokibi勒索攻击等事件发生后，美国开始发表声明说要对勒索病毒黑客组织进行打击，于是Sodinokibi勒索病毒黑客组织接受了第二次采访，相关的采访内容，如下所示：

在第二次采访中，Sodinokibi勒索病毒黑客组织表示说他们不怕美国打击勒索病毒攻击的行动，而且他们哪儿也不会去，而且会更加“努力”、“努力”、“努力”。

通过两次的采访内容，我们可以预测Sodinokibi勒索病毒黑客组织未来可能会发动更多的黑客攻击行动，而且未来会更加“努力”，因为他们想赚更多的钱。

总结

做安全其实是一个长期的过程，因为做安全没有终点，安全问题会一直存在，不管是从前，还是现在，还是将来，安全问题会一直是一个大问题，只是不同的时代，黑客获利的方式不同吧了，因为只要有利益的地方，就一定会有黑客组织，做安全也不是今天做了，明天就不用做了，而是要一直做下去，这本身就是一条“不归路”，需要的是坚持不懈，不管是安全企业，还是在安全行业各种不同方向的从业人员，不管你选择哪个方向，只有在这条路上坚持不懈，才能在安全这条路上走的更远，走的更好，不然你肯定走不远，迟早会转行或者被淘汰，把时间全浪费掉，我常常说安全未来十年一定又是一个发展的黄金期，短期来看不出啥，三五年之后就能看到明显的差距，如果你觉得自己是真的热爱安全这个行业，就坚持走下去就可以了，不用去管别人，现在就是一个大浪淘金的时代，淘下去的沙子，留下来的就是金子，正所谓，千淘万漉虽辛苦，吹尽狂沙始到金，坚持做好一件事，其实就是伟大。

GandCrab宣布停止运营，Sodinokibi也有一天会被别的勒索家族替代，然而背后的黑客组织会一直存在，黑客组织攻击活动不会停止，因为就像黑客组织说的那样，钱永远都不够花。
现在大部分黑客组织发动网络攻击行动其实都是为了利益，当然也会有一些黑客组织是出于政治目的，并不是完全为了钱，而是出于对一些国家的政治不满，前不久美国组织了G7峰会，峰会上的各个国家领导人要求俄罗斯紧急打击据信在其境内活动的勒索软件团伙，其实美国自己就一直在研究各种网络攻击武器、并与一些黑客组织进行合作。

黑客组织的攻击活动从来没有停止过，未来随着国际形势的发展，国与国之间的网络攻击活动可能会增多。

未来几年勒索攻击仍然是全球最大的网络安全威胁，黑客组织会在巨额利益的驱动下，变的更加“活跃”，无时无刻不在寻找着新的攻击目标，现在安全问题太多了，新的恶意软件家族层出不穷，笔者会持续跟踪，深入分析和研究各种恶意软件家族以及背后的黑客组织。

欢迎登录安全客 -有思想的安全新媒体www.anquanke.com/加入QQ交流群1015601496 获取更多最新资讯

原文链接：https://www.anquanke.com/post/id/244705