全国咨询电话

02389108633

关注官方微信

Avaddon勒索病毒泄密研究



      2020年6月2日,Avaddon团伙首现于某俄罗斯黑客论坛,所开发的Avaddon勒索软件除了供自身使用之外,也通过提供勒索即服务(RaaS,Ransomware as a Service)谋求外部合作以窃得更大的利益。Avaddon支持IOCP异步通知机制;支持内网扫描,如SMB扫描、DFS扫描;使用PowerShell的无文件攻击;反检测机制,设置注册表来绕过UAC,并提升为管理员权限;加密的文件扩展名包括:MS Office文档、PDF、文本、数据库、图像文件和音频文件等等;自2019年Megacortex勒索家族开创勒索软件窃取数据二次威胁的先河后,Avaddon勒索团伙也沿用此模式来威胁受害者缴纳赎金。

image.png


发现时间
      发现于2020年6月2日。


样本类型

      Avaddon采用C++编写,使用WinAPI,支持Win7以上版本。采用AES256 + RSA2048模式加密。


主要攻击目标和地区

美国为攻击目标,并排除前苏联地区。该团伙规定合作方(使用Avaddon RaaS服务)不得在独立联合体的成员国分发勒索软件,包括:俄罗斯联邦、白俄罗斯共和国、摩尔多瓦共和国、亚美尼亚共和国、阿塞拜疆共和国、塔吉克斯坦共和国、吉尔吉斯斯坦共和国、哈萨克斯坦共和国、乌兹别克斯坦共和国。结合该Avaddon勒索团伙只接受俄语合作方,由此可见Avaddon的攻击者均来自于俄。

微信图片_20210129094649.png


更迭过程

image.png



运行流程

首先在目标机中启动avaddon.exe程序。


Avaddon从攻击者控制的公网服务器上下载save.exe程序。


save.exe程序访问api.myip.com,查询当前IP是否在受保护的区域中。


若该IP不受任何保护,开始执行勒索程序,首先清空回收站。


清空回收站后删除系统备份。


删除系统备份后删除卷影副本。


禁用Windows自带的恢复和修复功能。


采用RSA和AES双重加密目标机文件。


将启动avaddon添加进计划任务中。


Avaddon将加密后的文件通过Phorpiex僵尸网络进行上传,造成泄密。


image.png


Avaddon勒索软件加密的文件类型如下:

微软Office文档,OpenOffice,PDF,文本文件,数据库,照片,音乐,视频,图像文件,其他文档等。

 

Avaddon勒索软件运行时的I/O读取速率如下,可以明显看出呈“U”字形。

image.png

Avaddon运行时会调用以下DLL文件

image.png


image.png


利用Sysmon可以轻易地监控到Avaddon所执行的删除系统备份和删除卷影副本的行为。

image.png


image.png


在计划任务中发现Avaddon将自身添加进计划任务之中,类似于守护程序。

微信图片_20210129094611.png


利用资源管理器可以监控到Avaddon勒索软件执行的上传文件的过程,并且上传的文件是已经加密过的结果。

微信图片_20210129094605.png


Avaddon勒索软件将所有的文件加密完成,会修改桌面壁纸,并放置勒索信。

微信图片_20210129094554.png