標題：新的Golang 勒索軟件Agenda自定義攻擊

最近出現了一種用Go 語言編寫的新型勒索軟件，主要亞洲和非洲的醫療保健和教育企業。該勒索軟件稱為Agenda，對每個受害者進行自定義攻擊。當前用Go 語言（又名Golang）編寫的惡意軟件變得越來越普遍，這主要是因為Go 靜態編譯必要的庫，使安全分析變得更加困難。

根據名為“Qilin”的用戶（似乎與勒索軟件分銷商有關聯）的暗網帖子和勒索記錄，勒索軟件被稱為“Agenda”。

Agenda 可以在安全模式下重新啟動系統，並嘗試阻止許多特定於服務器的進程和服務，並且可以運行多種模式。我們收集的勒索軟件示例是為每個受害者定制的，它們包括唯一的公司ID 和洩露的帳戶詳細信息。

受害對象分析所有收集的示例都是用Go 編寫的64 位Windows PE（便攜式可執行文件）文件，它們針對的是基於Windows 的系統。傳播惡意軟件的組織針對的是印度尼西亞、沙特阿拉伯、南非和泰國的醫療保健和教育機構。每個勒索軟件示例都是為目標受害者定制的。我們的調查表明，示例洩露了帳戶、客戶密碼和用作加密文件擴展名的唯一公司ID。

我們認為，Qilin（或Agenda 勒索軟件組織）的附屬機構可以為每個受害者定制可配置的二進制有效載荷，包括公司ID、RSA密鑰等細節，以及數據加密前要阻止的進程和服務。另外，每家公司要求的贖金金額從5萬美元到80萬美元不等。

Qilin勒索贖金示例

Qilin勒索通知示例

與其他勒索軟件的相似之處我們注意到Agenda 與Black Basta、Black Matter 和REvil（又名Sodinokibi）勒索軟件之間存在一些相似之處。

在付費網站和Tor網站上用戶驗證的實施方面，Agenda與Black Basta和Black Matter非常相似。與此同時，Agenda與Black Basta和REvil共享了相同的函數，可以使用此命令更改Windows密碼並在安全模式下重啟：

C:\windows\system32\bcdedit.exe/setsafeboot{current}network

攻擊鏈在調查一起涉及該勒索軟件的示例時，我們發現其背後的攻擊者使用面向公眾的Citrix服務器作為入口點。我們認為攻擊者使用有效帳戶訪問此服務器，然後進入受害者的網絡。這是意料之中的，因為攻擊者使用有效和特權帳戶配置了勒索軟件。

攻擊者使用洩露的帳戶在Active Directory 上使用RDP，然後釋放用於掃描網絡的掃描工具Nmap.exe 和Nping.exe。接下來，計劃任務被組策略域設備推送。

組策略推送的定時任務

在計算機上創建的計劃任務

我們觀察到訪問Citrix 服務器和勒索軟件感染之間只有很短的時間：不到兩天。攻擊者似乎在第一天就掃描了網絡，然後創建了一個組策略對象(GPO)，並將勒索軟件部署在受害者的設備上。

Agenda 勒索軟件的攻擊鏈

Agenda 勒索軟件是一個用Go 編寫的64 位Windows PE 文件。 Go 程序是跨平台且完全獨立的，這意味著即使系統上沒有安裝Go 解釋器，它們也能正常執行。這是可能的，因為Go 靜態編譯必要的庫（包）。

在執行時，該勒索軟件接受定義惡意軟件流程和功能的各種命令行參數，如下表所示。

-alter {int}：定義此子進程的端口號；

-encryption {value}：允許將嵌入加密器配置重新定義為自定義選項；

-ips {IP Address} ：允許提供IP 地址；

-min-size {value}：定義要加密的最小文件大小（例如，1 KB、1 MB、1 GB、666 KB）；

-no-proc：定義不會被阻止的進程；

-no-services：定義不會被阻止的服務；

-password {string}：定義登錄密碼；

-path {directory}：定義解析目錄的路徑，如果使用此標誌並將其置空，則將掃描所有目錄；

-safe：在安全模式下啟動；

-stat：使惡意軟件打印其配置（要阻止的進程和服務、加密等）；

Agenda構建一個運行時配置來定義它的行為，包括它的公共RSA密鑰、加密條件、要終止的進程和服務列表、加密擴展、登錄憑證和贖金通知。 Agenda 的運行時配置組件表如下：

public_rsa_pem RSA：公鑰；

directory_black_list：不允許加密的目錄；

file_black_list：不允許加密的文件名；

file_pattern_black_list：不允許加密的文件擴展名；

process_black_list：要終止的進程；

win_services_black_list：終止服務；

company_id：加密擴展；

accounts：登錄憑據；

note：贖金通知。

作為其初始例程的一部分，Agenda 通過檢查此註冊表值數據中的字符串safeboot 來確定被攻擊的設備是否在安全模式下運行：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control SystemStartOptions

如果它檢測到設備正在安全模式下運行，則終止執行。

然後，勒索軟件通過執行vssadmin.exe delete shadows /all /quiet 刪除卷影副本，並終止運行時配置中指出的特定進程和服務，其中一些是與防病毒相關的進程和服務。

Agenda 終止的一些與防病毒相關的進程和服務

在其初始例程之後，Agenda 繼續創建runonce 自動啟動條目*aster 指向enc.exe，它是Public 文件夾下自身的一個已刪除副本：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce*aster=%Public%\enc.exe

更改用戶密碼並以安全模式重新啟動Agenda 還在加密過程中部署了一種檢測規避技術：它會更改默認用戶的密碼並使用新的登錄憑據啟用自動登錄。可以使用-safe 命令行參數啟用此功能。與REvil 類似，Agenda 以安全模式重新啟動受害者的設備，然後在重新啟動時繼續執行加密程序。

首先，Agenda 會列出在設備上找到的所有本地用戶，然後檢查哪一個被設置為默認用戶。

Agenda 用於從本地用戶中確定默認用戶的函數

找到默認用戶後，Agenda 將用戶的密碼更改為Y25VsIgRDr。

Agenda 用於更改默認用戶密碼的函數

然後它繼續配置Winlogon 註冊表項，將數據設置為以下每個值：

Agenda 配置的Winlogon 註冊表項

更改默認用戶密碼並啟用自動登錄後，Agenda 通過以下命令以安全模式重新啟動受害者的設備：

C:\windows\system32\bcdedit.exe/setsafeboot{current}network

加密後，勒索軟件還會使用以下命令以正常模式重啟計算機：

C:\Windows\System32\bcdedit.exe/setsafebootnetworkbcdedit/deletevalue{default}safeboot

冒充合法賬戶Agenda 的另一個函數是它能夠濫用本地帳戶憑據來執行勒索軟件二進製文件，在其運行時配置中使用嵌入式登錄憑據。

Agenda的嵌入式本地帳戶憑據

Agenda通過在運行時配置中解析帳戶開始用戶模擬，然後將它們劃分為用戶名、域和密碼。它將使用這些數據嘗試通過API LogonUserW將用戶登錄到本地計算機上。

Agenda 用於解析運行時配置中的accounts 字段的函數

使用已解析帳戶執行登錄的Agenda

然後，Agenda 繼續生成一個隨機端口號，它將通過API CreateProcessAsUserW 與命令行參數-alter 一起用於執行勒索軟件二進製文件。

使用-alter 參數創建新進程的Agenda

允許網絡共享Agenda還與整個網絡及其共享驅動程序的攻擊有關。它不僅僅是關於在一個工作站上加密數據。

勒索軟件會添加一個註冊表，然後重新啟動LanmanWorkstation 服務。添加新註冊表後，它使用啟用映射驅動器驅動程序中的鍵[EnableLinkedConnections=1]，然後重新啟動LanmanWorkstation 服務。這將允許Agenda 在cmd 等提升程序中列出網絡驅動器。

Agenda將EnableLinkedConnection的註冊表值更改為1

Agenda重啟LanmanWorkstation 服務

加密算法

Agenda使用AES-256加密文件，使用RSA-2048加密生成的密鑰。為此，它首先使用函數generateKye生成用於加密的密鑰和初始化向量(IV)，然後使用API rand_read()。

Agenda用於生成隨機密鑰的函數

使用這個隨機生成的密鑰，Agenda 繼續使用AES-256 來加密目標文件。最後，它通過運行時配置中的嵌入式公鑰使用RSA-2048 對密鑰進行加密。

成功加密後，Agenda通過附加運行時配置中指定的公司ID來重命名加密的文件。然後它會在每個加密的目錄中釋放贖金通知{company_id}-RECOVER-README.txt。

Agenda 的贖金通知

進程注入Agenda 將pwndll.dll（檢測為Trojan.Win64.AGENDA.SVT）釋放在Public 文件夾中。文件pwndll.dll 是用C 語言而不是Go編寫的合法DLL WICloader.dll 的打了補丁DLL。 Agenda 將此DLL 注入svchost.exe 中，以允許連續執行勒索軟件二進製文件。

將pwndll.dll 注入svchost.exe 的Agenda

使用pwndll.dll 執行勒索軟件示例的Agenda

總結勒索軟件不斷發展，開發出更複雜的方法和技術來發起攻擊。如上所述，新的有針對性的勒索軟件Agenda是如何用Go 語言編寫的，這使得檢測和分析變得更加困難。

這種勒索軟件通過利用設備的“安全模式”功能來進行加密程序而不被發現。勒索軟件還利用本地帳戶作為被欺騙的用戶登錄，並執行勒索軟件二進製文件，如果登錄嘗試成功，則進一步加密其他設備。它還終止大量進程和服務，並通過將DLL 注入svchost.exe 來確保持久性。

用戶和組織都可以通過遵循以下安全最佳實踐來降低被Agenda 等勒索軟件感染的風險：

1.啟用多因素身份驗證(MFA) ，以防止攻擊者在網絡內執行橫向移動。

2.備份重要文件時，請遵守3-2-1 規則。以兩種不同的文件格式創建三個備份副本，其中一個副本存儲在單獨的位置。

3.定期修補和更新系統。讓操作系統和應用程序保持最新非常重要，以防止惡意行為者利用任何軟件漏洞。

4.使用專業安全解決方案，它具有多層保護和行為檢測功能，有助於在勒索軟件造成任何攻擊之前阻止可疑行為和工具。