新型Charon勒索软件分析:APT级攻击手法与破坏性加密技术结合
💡
原文中文,约1300字,阅读约需4分钟。
📝
内容提要
Charon是一种新型勒索软件,专门针对中东公共部门和航空业,采用APT攻击手法。其定制化的勒索信直接提及受害者,展示了DLL旁加载和反检测能力,造成严重商业风险。Charon加密文件并要求支付解密费用,具备网络传播能力,未来可能激活反EDR技术。
🎯
关键要点
- Charon是一种新型勒索软件,主要针对中东公共部门和航空业。
- 该软件采用APT攻击手法,展示了DLL旁加载和反检测能力。
- Charon加密文件并要求支付解密费用,造成严重商业风险。
- 攻击链始于执行合法文件Edge.exe,攻击者滥用该文件旁加载恶意DLL。
- Charon具备网络传播能力,通过Windows API扫描并加密可访问的网络共享。
- 该勒索软件的定制化勒索信明确提及受害者组织名称,显示出针对性。
- Charon采用混合加密方案,使用Curve25519和ChaCha20进行加密。
- 分析发现内置反EDR驱动程序,未来可能激活以禁用终端检测。
❓
延伸问答
Charon勒索软件主要针对哪些行业?
Charon勒索软件主要针对中东地区的公共部门和航空业。
Charon勒索软件使用了哪些攻击手法?
Charon使用了APT攻击手法,包括DLL旁加载、进程注入和反终端检测能力。
Charon勒索软件是如何加密文件的?
Charon采用混合加密方案,使用Curve25519进行密钥交换,ChaCha20进行数据加密。
Charon勒索软件的定制化勒索信有什么特点?
Charon的勒索信是针对受害者定制的,明确提及组织名称并要求支付解密费用。
Charon勒索软件的网络传播能力如何?
Charon通过Windows API主动扫描并加密可访问的网络共享,具备网络传播能力。
Charon勒索软件的反检测技术是什么?
Charon内置了一个反EDR驱动程序,旨在禁用终端检测,未来可能会激活。
➡️
