Avos Locker 远程访问盒子，甚至在安全模式下运行

在过去的几周里，一个自称 Avos Locker 的新兴勒索软件家族一直在加大攻击力度，同时努力在其目标系统上禁用端点安全产品。

在最近一系列涉及该勒索软件的勒索软件事件中，Sophos Rapid Response 发现攻击者已将目标计算机启动到安全模式以执行勒索软件，正如现已解散的Snatch、REvil和BlackMatter勒索软件系列的运营商所做的那样我们在这里记录的攻击。

这样做的原因是，许多（如果不是大多数）端点安全产品不在安全模式下运行——这是一种特殊的诊断配置，Windows 会在其中禁用大多数第三方驱动程序和软件，并使其他受保护的机器变得不安全。

不是你祖父的勒索软件

葡萄牙语中的 Avos 翻译为“祖父”一词，但这不是针对老人的勒索软件。

Avos Locker 攻击者不仅在攻击的最后阶段将机器重新启动到安全模式；他们还修改了安全模式启动配置，以便他们可以在 Windows 计算机仍在安全模式下运行时安装和使用商业 IT 管理工具AnyDesk。通常，在重新启动到安全模式的计算机上会禁用第三方软件，但这些攻击者显然打算继续不受阻碍地远程访问和控制目标机器。

AVOS弹部队部署工具被存储在备份服务器指定目录下的一个。攻击者远程运行文件，因此它们永远不会写入目标机器的文件系统。

目前尚不清楚以这种方式设置的机器——AnyDesk 设置为在安全模式下运行——甚至可以由其合法所有者远程管理。机器的操作员可能需要与计算机进行物理交互才能对其进行管理。

在某些情况下，我们还看到攻击者使用一种名为Chisel的工具，它通过 HTTP 创建一个隧道，数据使用 SSH 加密，攻击者可以将其用作受感染机器的安全反向通道。

还有其他迹象表明，在某些攻击中，存在横向移动和其他恶意行为指标，这些指标保存在某些机器的事件日志中。

例如，这个批处理文件是在运行它的同一台机器上创建的，就在攻击之前。

在这种情况下，有一个事件日志条目显示正在执行的 base64 编码的 PowerShell 脚本，结果输出到名为execute.bat的文件中，然后运行该文件，最后将其删除。

在另一个事件日志条目中，有一个端口被设置为目标机器上的代理的记录，这在理论上可以帮助攻击者通过代理计算机路由所有命令来隐藏任何横向移动。

我们还在调查 Avos 使用 Linux 勒索软件组件的情况，该组件通过杀死任何虚拟机然后加密 VM 文件来针对 VMware ESXi 管理程序服务器。上述命令用于迭代和终止在管理程序上运行的任何虚拟机。目前尚不清楚攻击者如何获得启用 ESX Shell 或访问服务器本身所需的管理员凭据。

像 IT 专业人员一样部署

攻击者似乎还利用了另一种称为PDQ Deploy 的商业 IT 管理工具，将 Windows 批处理脚本推送到他们计划瞄准的机器上。Sophos Rapid Response 创建了一个图表，突出显示其中一个批处理文件运行的后果。批处理文件在计算机重新启动到安全模式之前运行。

这些批处理脚本编排了攻击的各个阶段，并为攻击者部署 Avos Locker 勒索软件的最后阶段奠定了基础。我们恢复的批处理脚本之一称为Love.bat（如上所示），它由PDQDeployRunner服务推送到网络上的机器上。我们还看到了名为update.bat或lock.bat 的批处理文件，其中有一些小的变化。

这些编排脚本修改或删除了注册表项，这些注册表项有效地破坏了属于特定端点安全工具的服务或进程，包括来自卡巴斯基、Carbon Black、趋势科技、赛门铁克、Bitdefender 和其他公司的内置 Windows Defender 和第三方软件。赛兰斯。该脚本禁用 Windows 更新并尝试禁用 Sophos 服务，但篡改保护功能阻止批处理脚本成功。

攻击者还使用批处理脚本在受感染的机器上创建了一个新的用户帐户（newadmin）并为其设置了密码（password123456），并将其添加到管理员用户组中。然后，他们将机器设置为在重新启动到安全模式时自动登录。攻击者还会禁用某些网络使用的某些注册表项，以便在登录时显示“法律通知”。禁用这些功能会降低自动登录失败的可能性，因为等待人们单击它的对话框会阻止该过程。

从目标网络中恢复的 Avos Locker 批处理脚本

感染过程中的倒数第二步是在注册表中创建一个“RunOnce”键，该键可以无文件地执行勒索软件负载，攻击者将其放置在域控制器上。这与我们所看到的 IcedID 和其他勒索软件的行为类似，它是一种执行恶意软件有效载荷的方法，而不会让文件接触受感染计算机的文件系统。

Avos Locker 重启前的最后一组命令

批处理脚本的最后一步是将机器设置为以带网络的安全模式重新启动，并在启动时禁用任何警告消息或忽略故障。然后脚本执行一个命令来重新启动盒子，感染就开始了。如果由于某种原因勒索软件没有运行，攻击者可以使用 AnyDesk 远程访问有问题的机器并手动重试。

引导和检测

在安全模式下工作使保护计算机的工作变得更加困难，因为 Microsoft 不允许端点安全工具在安全模式下运行。也就是说，Sophos 产品会在行为上检测各种 Run 和 RunOnce 注册表项的使用，以执行诸如重新启动到安全模式或在重新启动后执行文件之类的操作。我们一直在改进这些检测以减少误报，因为有许多完全合法的工具和软件使用这些注册表项进行正常操作。

勒索软件，特别是当它是手工交付时（就像这些 Avos Locker 实例中的情况一样），是一个棘手的问题，因为人们不仅需要处理勒索软件本身，还需要处理威胁参与者设置的任何机制作为进入目标网络的后门。在这些情况下，任何警报都不应被视为“低优先级”，无论它看起来多么温和。IT 安全团队面临此类攻击的关键信息是，即使勒索软件无法运行，在每台受影响的机器上都没有攻击者 AnyDesk 部署的所有痕迹之前，目标仍然容易受到反复尝试的攻击。在这些情况下，Avos Locker 攻击者使用 AnyDesk 设置对其组织网络的访问权限，只要攻击者的远程访问工具保持安装和运行，攻击者就可以随时锁定防御者或发起其他攻击。

行为检测规则Exec_6a和Exec_15a检测（并阻止）了威胁参与者的各种活动。Intercept X 遥测显示，当勒索软件攻击者试图运行其可执行文件时，会调用CryptoGuard保护机制。Sophos 产品还将检测Chisel (PUA)、PSExec (PUA)和PSKill (PUA) 的存在，但可能不会自动阻止这些文件，具体取决于 Sophos 管理员设置的本地策略。