网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

每个加密文件还带有一个初始的1024字节标头，其中包含魔法值FIDEL.CA（可能是指Fidel Castro，然后是包含文件特定ChaCha密钥的RSA-4096加密块和随机数。成功加密文件后，扩展名.cuba会附加到文件名中。

FIDEL.CA魔术值后跟加密的RSA blob

目前，Tropical Scorpius的开发人员已经建立了将在运行时终止的目标进程和服务列表，并增加了目录和扩展名的数量以避免加密。

目标流程和服务：

避免加密的目录：

避免加密的扩展：

另一个重大更新可以在勒索软件释放的勒索信中找到，他们不仅依赖于Tor网站，还通过TOX提供通信，由于其安全的消息传播功能，它在勒索软件领域中慢慢变得越来越流行。

Tropical Scorpius组织释放的勒索信

逃避检测

Tropical Scorpius使用一些有趣的工具和技术来逃避检测，它利用一个释放程序将内核驱动程序写入名为ApcHelper.sys的文件系统。这可以终止了安全产品，但内核驱动程序是使用在LAPSUSNVIDIA泄漏中找到的证书进行签名的。

内核驱动程序数字签名

在执行内核驱动程序释放程序/加载程序时，内核释放程序使用多个WindowsAPI来查找资源部分并加载称为驱动程序的资源类型名称。这是一个嵌入式PE文件，是在后续API调用中最终写入文件系统的驱动程序。

内核释放程序部分

在内核驱动程序加载到文件系统之后，加载程序将首先通过cmd.exe为文件路径运行一个释放命令参数。

之后，它将使用cmd.exe创建一个新服务，并运行以下参数为内核驱动程序设置一个服务。

然后加载程序将负责终止安全产品的内核驱动程序复制到文件系统上。

释放和加载的内核驱动程序的核心功能是解析额外的内核API以执行功能并针对要终止的安全产品列表。

附加API使用所需API名称的字符串常量解析，下面的每个WindowsAPI都用于对MmGetSystemRoutineAddress的函数调用，以返回指向该函数的指针。下面是在示例中找到的已解析的其他内核API的列表。

内核驱动程序运行时API

目标安全产品列表与之前在名为"BURNTCIGAR"的工具中观察到的目标列表重叠。这个特定的内核驱动程序是Mandiant观察到的变体。

解析附加API后，就开始了以安全产品为目标的解析过程。设置了一个do-while循环，目的是检查系统上运行的进程，以查看它们是否与目标安全产品中的项目匹配。这种命名检查是通过查找每个ThreadID并调用函数PsLookupThreadByThreadId来执行的，该函数将用于查找指向线程的ETHREAD结构的指针。ETHREAD结构是一个内核对象，维护对重要进程/线程结构和对象的各种引用，这些引用是操作系统为CPU分配任务和执行所需的。返回的指向ETHREAD的指针用于函数PsIsThreadTerminating，目的是确保线程没有终止。

然后如果存在线程对象，为了找到该线程所属的进程，使用函数PsGetThreadProcess，返回值为PEPROCESS。PEPROCESS是一个进程对象的内核对象表示，它维护着指向存储进程相关信息的指针。如果相关线程中存在PEPROCESS，则ImageFileName偏移量将分配给反编译输出实例中的变量，这是下图中名为"v3"的变量。变量"v3"将具有循环中当前线程/进程的进程映像文件名，它可以是计算机系统上的任何活动进程。