Sodinokibi (REvil) 勒索软件详细分析报告

一、基本信息

Sodinokibi（又称REvil或Sodin）是一种首次发现于2019年4月的勒索软件，属于Ransomware-as-a-Service(RaaS)模式运营的恶意软件家族。该勒索软件通过加密用户文件并删除赎金提示信息来实施攻击，受害者会收到支付赎金的要求。

二、技术分析

1. 传播方式

Sodinokibi主要通过以下途径传播：

漏洞利用（特别是Oracle WebLogic漏洞CVE-2019-2725）
垃圾邮件钓鱼攻击
RDP暴力破解
恶意广告
供应链攻击（如通过软件更新机制）

2. 执行流程

初始感染：通过漏洞利用或社会工程学手段获得系统访问权限
权限提升：利用系统漏洞提升至管理员权限
横向移动：在内部网络中进行传播
数据窃取：在加密前先窃取敏感数据
文件加密：使用强加密算法加密文件
赎金通知：留下勒索信息并要求支付赎金

3. 加密机制

Sodinokibi采用混合加密方案：

使用RSA-2048加密随机生成的AES-256密钥
使用AES-256加密实际文件内容
采用间歇性加密技术（部分文件内容加密）提高速度
针对特定文件扩展名进行加密（约180种文件类型）

4. 持久化技术

创建注册表自启动项
创建计划任务
安装恶意服务
修改组策略
使用无文件技术驻留内存

5. 反分析技术

虚拟机检测（检查常见虚拟机特征）
沙箱检测
调试器检测
代码混淆
反内存转储技术
延迟执行

三、赎金模式

双重勒索：先窃取数据再加密，威胁不支付就公开数据
赎金金额：根据目标规模从数万到数百万美元不等
支付方式：主要要求以比特币或门罗币支付
谈判机制：通过Tor网站与受害者沟通
数据拍卖：对拒绝支付的高价值目标数据进行拍卖

四、防御措施

1. 预防措施

及时修补系统漏洞，特别是Oracle WebLogic、RDP等服务
禁用不必要的远程访问服务
实施网络分段，限制横向移动
使用强密码策略和双因素认证
定期备份关键数据，并离线存储
部署端点检测与响应(EDR)解决方案

2. 检测方法

监控异常的网络连接（特别是到已知C2服务器的连接）
检测大量文件修改操作
识别可疑的进程创建行为
监控注册表和计划任务的异常修改
使用YARA规则检测Sodinokibi样本

3. 应急响应

隔离感染系统：立即断开网络连接
确定感染范围：检查其他系统是否受影响
收集证据：保留内存转储、日志文件等
评估备份可用性：检查备份是否未被加密
联系执法机构：报告攻击事件
专业协助：考虑联系网络安全公司

五、技术指标(IOCs)

1. 文件哈希(MD5示例)

示例样本1: a1b2c3d4e5f67890...
示例样本2: 0987654321fedcba...

2. C2服务器域名/IP

example-malicious-domain[.]com
192.0.2.1
203.0.113.5

3. 注册表键值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\异常项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\可疑项

4. 文件路径

%AppData%\Local\Temp\随机名称.exe
%SystemRoot%\System32\Tasks\可疑任务

六、关联分析

Sodinokibi与以下恶意软件家族存在关联：

GandCrab（被认为是其前身）
DarkSide（类似操作模式）
LockBit（竞争关系）

七、历史演变

2019年4月：首次出现，针对Oracle WebLogic漏洞
2020年：开始采用双重勒索策略
2021年：攻击规模扩大，涉及大型企业
2021年7月：攻击Kaseya供应链事件
2021年10月：据称核心成员被捕，活动减少

八、解密可能性

目前情况：

没有公开的通用解密工具
部分旧版本可能有解密漏洞
执法机构有时能获取解密密钥
强烈建议不要支付赎金（不能保证恢复数据且助长犯罪）

九、法律与合规影响

可能违反数据保护法规（如GDPR）导致罚款
需要报告监管机构和受影响个人
可能面临业务中断导致的合同违约
潜在的声誉损失和客户信任危机

十、进阶研究资源

MITRE ATT&CK映射：T1486 - 数据加密勒索
YARA规则：可用于检测Sodinokibi变种
沙箱分析报告：VirusTotal, Hybrid-Analysis等平台样本
网络威胁情报报告：来自Kaspersky, CrowdStrike等厂商

本报告基于公开威胁情报和恶意软件分析结果整理，随着威胁演变，Sodinokibi的特征和行为可能发生变化。建议持续关注最新威胁情报以获取更新信息。

Sodinokibi (REvil) 勒索软件详细分析报告一、基本信息 Sodinokibi（又称REvil或Sodin）是一种首次发现于2019年4月的勒索软件，属于Ransomware-as-a-Service(RaaS)模式运营的恶意软件家族。该勒索软件通过加密用户文件并删除赎金提示信息来实施攻击，受害者会收到支付赎金的要求。二、技术分析 1. 传播方式 Sodinokibi主要通过以下途径传播：漏洞利用（特别是Oracle WebLogic漏洞CVE-2019-2725）垃圾邮件钓鱼攻击 RDP暴力破解恶意广告供应链攻击（如通过软件更新机制） 2. 执行流程初始感染：通过漏洞利用或社会工程学手段获得系统访问权限权限提升：利用系统漏洞提升至管理员权限横向移动：在内部网络中进行传播数据窃取：在加密前先窃取敏感数据文件加密：使用强加密算法加密文件赎金通知：留下勒索信息并要求支付赎金 3. 加密机制 Sodinokibi采用混合加密方案：使用RSA-2048加密随机生成的AES-256密钥使用AES-256加密实际文件内容采用间歇性加密技术（部分文件内容加密）提高速度针对特定文件扩展名进行加密（约180种文件类型） 4. 持久化技术创建注册表自启动项创建计划任务安装恶意服务修改组策略使用无文件技术驻留内存 5. 反分析技术虚拟机检测（检查常见虚拟机特征）沙箱检测调试器检测代码混淆反内存转储技术延迟执行三、赎金模式双重勒索：先窃取数据再加密，威胁不支付就公开数据赎金金额：根据目标规模从数万到数百万美元不等支付方式：主要要求以比特币或门罗币支付谈判机制：通过Tor网站与受害者沟通数据拍卖：对拒绝支付的高价值目标数据进行拍卖四、防御措施 1. 预防措施及时修补系统漏洞，特别是Oracle WebLogic、RDP等服务禁用不必要的远程访问服务实施网络分段，限制横向移动使用强密码策略和双因素认证定期备份关键数据，并离线存储部署端点检测与响应(EDR)解决方案 2. 检测方法监控异常的网络连接（特别是到已知C2服务器的连接）检测大量文件修改操作识别可疑的进程创建行为监控注册表和计划任务的异常修改使用YARA规则检测Sodinokibi样本 3. 应急响应隔离感染系统：立即断开网络连接确定感染范围：检查其他系统是否受影响收集证据：保留内存转储、日志文件等评估备份可用性：检查备份是否未被加密联系执法机构：报告攻击事件专业协助：考虑联系网络安全公司五、技术指标(IOCs) 1. 文件哈希(MD5示例) 示例样本1: a1b2c3d4e5f67890... 示例样本2: 0987654321fedcba... 2. C2服务器域名/IP example-malicious-domain[ . ]com 192.0.2.1 203.0.113.5 3. 注册表键值 HKEY_ LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\异常项 HKEY_ CURRENT_ USER\Software\Microsoft\Windows\CurrentVersion\Run\可疑项 4. 文件路径 %AppData%\Local\Temp\随机名称.exe %SystemRoot%\System32\Tasks\可疑任务六、关联分析 Sodinokibi与以下恶意软件家族存在关联： GandCrab（被认为是其前身） DarkSide（类似操作模式） LockBit（竞争关系）七、历史演变 2019年4月：首次出现，针对Oracle WebLogic漏洞 2020年：开始采用双重勒索策略 2021年：攻击规模扩大，涉及大型企业 2021年7月：攻击Kaseya供应链事件 2021年10月：据称核心成员被捕，活动减少八、解密可能性目前情况：没有公开的通用解密工具部分旧版本可能有解密漏洞执法机构有时能获取解密密钥强烈建议不要支付赎金（不能保证恢复数据且助长犯罪）九、法律与合规影响可能违反数据保护法规（如GDPR）导致罚款需要报告监管机构和受影响个人可能面临业务中断导致的合同违约潜在的声誉损失和客户信任危机十、进阶研究资源 MITRE ATT&CK映射：T1486 - 数据加密勒索 YARA规则：可用于检测Sodinokibi变种沙箱分析报告：VirusTotal, Hybrid-Analysis等平台样本网络威胁情报报告：来自Kaspersky, CrowdStrike等厂商本报告基于公开威胁情报和恶意软件分析结果整理，随着威胁演变，Sodinokibi的特征和行为可能发生变化。建议持续关注最新威胁情报以获取更新信息。