【新闻转载】“假冒 LockBit”来袭：勒索软件借助 AWS S3 偷窃数据，威胁升级

关键要点

Trend团队发现了一些利用 Amazon S3（简单存储服务）传输加速功能的 Golang 勒索软件样本，用于窃取受害者的文件并上传至攻击者控制的 S3 存储桶。
这些样本中硬编码的 Amazon Web Services (AWS) 凭证被用于追踪与恶意活动关联的 AWS 账户 ID，从而提供了有价值的威胁指示（IOCs）。
攻击者试图将 Golang 勒索软件伪装成臭名昭著的 LockBit 勒索软件，显然是想借助其恶名来进一步施压受害者。
Trend团队已将相关发现共享给 AWS 安全团队。需要注意的是，他们的发现并不涉及 AWS 服务的漏洞。经与 AWS 核实，确认该行为违反了 AWS 可接受使用政策。报告的 AWS 访问密钥和账户现已被暂停。

引言

从信息窃取工具的开发到数据窃取，云服务提供商正越来越多地被威胁行为者利用于恶意活动。在本次案例中，Trend团队分析的勒索软件样本包含硬编码的 AWS 凭证，但这是特定于此单一威胁行为者的情况。通常，勒索软件开发者会利用其他在线服务来实现其战术。为此，他们研究了一些使用 Go 语言（Golang）编写的勒索软件样本，目标为 Windows 和 MacOS 环境。大部分样本包含硬编码的 AWS 凭证，被窃数据上传至攻击者控制的 Amazon S3 存储桶。

在攻击的尾声，受害设备的桌面壁纸会被更换为提到 LockBit 的图片。这可能会让受害者误以为此次事件是由 LockBit 引起的，尤其是因为该勒索软件家族近年来活跃，且在今年上半年文件检测率最高。然而，实际情况并非如此，攻击者只是利用 LockBit 的恶名来进一步施压受害者。

他们推测该勒索软件的作者使用了自己的 AWS 账户或是一个被攻陷的账户。在分析中，Trend团队发现了可能出自同一作者的三十多个样本，表明该勒索软件在 AWS 暂停访问密钥和账户之前已在积极开发和测试。此外，通过样本中的硬编码 AWS 访问密钥 ID，他们可以定位到相关联的 AWS 账户 ID。这一发现提供了一个新的视角，即在跨账户活动中将恶意或被攻陷的 AWS 账户 ID 视作潜在的 IOC（威胁指示）。

本文将描述这些样本的功能特性以及它们如何在攻击中利用 Amazon S3 的功能。

技术分析

Golang 为开发人员提供了一个可以编译为多平台二进制文件的单一代码库，无需额外依赖项，从而实现跨平台兼容且无依赖的特性。威胁行为者利用这些优势，通过 Golang 创建恶意文件，例如 Agenda 勒索软件以及 Earth Lusca 使用的最新发现的 KTLVdoor 后门。

在Trend团队分析的勒索软件样本中，大多数样本都包含硬编码的 AWS 访问密钥 ID 和密钥。在深入研究这些样本的工作机制时，他们发现其利用了 AWS S3 的一个功能，即 S3 Transfer Acceleration (S3TA)。

他们的分析主要基于以下几个样本：

14fe0071e76b23673569115042a961136ef057848ad44cf35d9f2ca86bd90d31
0c54e79e8317e73714f6e88df01bda2c569ec84893a7a33bb6e8e4cf96980430

当勒索软件在受感染的机器上执行时，首先会通过以下步骤进行初始化：

获取主机的通用唯一识别码（UUID）
导入硬编码的公钥

公钥使用隐私增强邮件（PEM）格式进行编码。

解码公钥的值后，揭示出其使用的是RSA加密算法，并且模数大小为2048位。

3. 生成一个随机主密钥，并使用先前导入的RSA公钥对其进行加密。（这意味着只有拥有私钥的攻击者才能解密该主密钥。）

4. 将加密后的主密钥写入到说明文件（README.txt）中。

5. 使用AWS SDK for Go v2库的StaticCredentialsProvider来加载静态凭证。这些静态凭证包括硬编码的AccessKeyID、SecretAccessKey和AWS_REGION。

初始化完成后，勒索软件通过调用 filepath.Walk 函数开始枚举在 /（macOS 版本的根目录）中的所有文件。对于每个被枚举的文件，都会检查其是否位于排除文件夹中。如果文件在排除文件夹中，则该文件不会被加密。

勒索软件包含一份文件扩展名列表（通常是文档、照片和数据文件），这些文件将会被加密。

README.txt 文件名被排除在加密范围之外。

数据泄露

基于获取的主机UUID，勒索软件样本使用硬编码的凭证对在攻击者控制的AWS账户上创建一个Amazon S3存储桶。

一旦存储桶被创建，勒索软件通过修改配置启用 S3TA（Amazon S3 Transfer Acceleration）功能。

最后的步骤是对文件从头到尾进行加密。加密算法采用 AES-CTR 模式，密码为文件名的 MD5 哈希值与主密钥拼接的结果。

例如，勒索软件生成一个随机的16字节主密钥：20 60 A3 EA 54 84 C9 27 57 76 1E CC 1F FC 12。加密后的文件名为 text.txt。

因此，拼接后的字节序列为：74 65 78 74 2E 74 78 74 63 20 60 A3 EA 54 84 C9 27 57 76 1E CC 1F FC 12。其 MD5 哈希值为 23 a3 ec c5 58 2d 97 41 07 3c 3b dc 31 7d 49 30。

文件随后从受害者的机器上传到由攻击者控制的 AWS 账户。

S3TA（Amazon S3 Transfer Acceleration）功能使用户能够在长距离内实现更快的数据传输速度。它利用了 Amazon CloudFront 全球分布的边缘位置。要使用此功能，必须在存储桶上启用。存储桶名称应符合域名系统（DNS）的规范，且不能包含句号。启用 S3TA 的 S3 存储桶可以通过以下端点访问，具体取决于 AWS 环境的类型：

bucketname[.]s3-accelerate.amazonaws.com
bucketname[.]s3-accelerate.dualstack.amazonaws.com

每个通过先前文件扩展名检查且小于 100 MiB（Mebibyte）的文件都会通过调用 Uploader.Upload 函数上传到 AWS。这是因为上传大文件会增加攻击者的存储成本，因此他们选择上传较小的文件以节省 AWS 空间和资金。

最后一步是对文件进行端到端的加密。加密算法采用 AES-CTR，密码是文件名与主密钥（master key）拼接后生成的 MD5 哈希值。

勒索软件生成一个随机的 16 字节主密钥（例如：63 20 60 A3 EA 54 84 C9 27 57 76 1E CC 1F FC 12），加密文件的名称为 text.txt。

相应地，拼接的字节序列为 74 65 78 74 2E 74 78 74 63 20 60 A3 EA 54 84 C9 27 57 76 1E CC 1F FC 12，其 MD5 哈希值为 23 a3 ec c5 58 2d 97 41 07 3c 3b dc 31 7d 49 30。这如图所示（通过 CyberChef 生成，此处仅用于可视化目的）。

生成的哈希值作为 crypto.AES.NewCipher 函数的 AES 密钥参数。初始化向量（IV）是一个随机生成的 16 字节值，并传递给 crypto.cipher.NewCTR 函数。

加密完成后，文件将被重命名为以下格式：<原文件名>.<初始化向量>.abcd。例如，文件 text.txt 被重命名为 text.txt.e5c331611dd7462f42a5e9776d2281d3.abcd。

他们在调试器中运行了勒索软件样本并转储了主密钥。随后，他们验证了在选择合适的加密算法并传入正确参数的情况下，可以正确解密之前加密的文件，如下图所示（通过 CyberChef 生成，仅用于可视化展示）。

README.txt 文件包含经过 Base64 编码的内容。解码后可以看到，文件内容包含使用硬编码的公钥作为参数，并通过 crypto.rsa.EncryptPKCS1v15 加密的主密钥，随后再次进行 Base64 编码。在此编码数据之后，是主机名、操作系统版本以及感染机器的唯一标识符。要解密该主密钥，则需要勒索软件开发者的私钥，但他们并不掌握该私钥。