新型变种病毒“Rorschach”迅速加密 ransomware

关键要点

• 新发现的 ransomware 变种“Rorschach”以其加密速度成为观察到的最快的 ransomware 之一。
• 利用 Cortex XDR Dump Service Tool 的 DLL 侧载组件进行攻击，该工具是一个签名的商业安全产品。
• Rorschach 在执行过程中展现出高度自定义和部分自主的特点，使其在网络环境中的传播和检测变得更加复杂。
• 该 ransomware 在执行时合成了伪造参数，使其难以被网络防守者分析和应对。
• 由于其快速的加密特性“Rorschach”成为值得注意的 ransomware，增加了响应人员的介入时间压力。

据 报告，新发现的变种“Rorschach”是观察到的加密速度最快的
ransomware 之一。该变种在回应针对美国公司的网络攻击时被发现，攻击是通过 Cortex XDR Dump Service Tool 的 DLL侧载组件进行的，这是一款签名的商业安全产品。Check Point 已将该漏洞报告给了 Trend Micro。

这种滥用合法的 Cortex XDR Dump Service Tool 的情况特别令人担忧，因为它利用“易受攻击的软件来加载恶意
DLL，从而提供持久性和规避能力。”Halcyon 的首席执行官 Jon Miller 在给 SC Media 的邮件声明中表示，“DLL
侧载并不新鲜，但确实相对少见。”

这种策略在 2021 年的 中被 REvil威胁行为者利用，使“下游受害者”通过一个有效数字证书签名的合法软件更新受到影响。

Check Point 对该网络攻击的分析确认 Rorschach 是独特的，并且没有与其他已知 ransomware变种重叠的特征，从而使其易于归类识别。

“该威胁行为者没有隐藏其身份，似乎与任何已知的 ransomware 组织没有关联，”研究人员写道。“这两个事实在 ransomware生态系统中都很少见，引起了我们更多的关注，并促使我们深入分析这种新发现的恶意软件。”

“虽然它似乎借鉴了某些最臭名昭著的 ransomware 家族，但它也包含了一些独特功能，这些功能在 ransomware中很少见，例如使用直接系统调用，”他们补充道。

这一变种还具有高度的可定制性。除了其快速的加密速度，该变种还具备一些特别令人关注的特征。

此变种部分具有自我自动化能力，能够自动执行 ransomware 行为者通常手动执行的任务。例如，它在 Windows域控制器上创建域组策略，无需人工干预。以往的 LockBit 参与者曾利用类似的功能，但 Rorschach 在部署上有所不同。

例如，它创建了多个组策略：一个将自身复制到受害者网络所有工作站的公共文件夹，另一个尝试“终止一列预定义的”进程，第三个则注册一个立即运行的计划任务。一旦用户登录，主可执行文件将以相关参数被部署。

简言之，这种“极其灵活”的变种可以在部署在域控制器时自动传播，并清除受影响设备的事件日志。它操作内置配置，并具备“众多可选参数”让其根据操作员的需求调整战术。

根据 Check Point 的观察，Rorschach 在使用 Cortex XDR Dump Service Tool 版本 7.3.0.16740时执行，另外还使用了 winutils.dll，这是一个用于解密和注入 ransomware 的打包加载器和注入器。

该变种还使用config.ini文件，其中包含了加密 ransomware的所有逻辑和配置。研究人员指出这是主要的有效载荷，“随后加载到内存中，并解密后注入到 notepad.exe 中，ransomware 的逻辑由此开始。”

即使它的生成进程也不常见，因为它以“挂起模式”运行，并给出“伪造参数”，使网络防守者难以分析和修复。

研究人员解释说，伪造参数是“一长串数字1，基