Rclone 被识别为与勒索软件样本相关的恶意工具。
3239
Created On 10/26/22 00:43 AM - Last Modified 09/03/25 01:20 AM
Symptom
客户正在创建案例,要求检测和覆盖 IOC(示例)中列出的CISA警报AA22-294A。 这些样本是最近用于勒索软件攻击的 Rclone 工具的一部分文件。
Rclone 关联的 SHA256 哈希
9E42E07073E03BDEA4CD978D9E7B44A9574972818593306BE1F3DCFDEE722238 rclone-v1.59.2-windows-amd64\git-log.txt
19ED36F063221E161D740651E6578D50E0D3CACEE89D27A6EBED4AB4272585BD rclone-v1.59.2-windows-amd64\rclone.1
54E3B5A2521A84741DC15810E6FED9D739EB8083CB1FE097CB98B345AF24E939 rclone-v1.59.2-windows-amd64\rclone.exe
EC16E2DE3A55772F5DFAC8BF8F5A365600FAD40A244A574CBAB987515AA40CBF rclone-v1.59.2-windows-amd64\README.html
475D6E80CF4EF70926A65DF5551F59E35B71A0E92F0FE4DD28559A9DEBA60C28 rclone-v1.59.2-windows-amd64\README.txtEnvironment
- 帕洛阿尔托网络 firewall
- 杀毒
- Wildfire
- 威胁情报
Cause
- Rclone 是一种开源、多线程、命令行计算机程序,用于管理或迁移云和其他高延迟存储上的内容。
- 它的功能包括同步、传输、加密、缓存、联合、压缩和挂载。
- rclone 网站列出了支持的后端,包括 S3 和 Google Drive。
Resolution
- Rclone 不是勒索软件;它是一种合法工具,在勒索软件感染期间被滥用为渗漏工具。
- 一旦对手控制了公司网络,就会部署 Rclone 将敏感数据复制到远程服务器。
- 它具有数据备份或数据传输的合法用途。 在这一点上,我们不考虑IPS/IDS检测 Rclone 的签名。
Additional Information
- 我们引入了 RcloneApp -ID识别此应用程序的流量。 更多信息可以在我们的网站上找到应用百科页
- 我们还将保留 Rclone 作为BENIGN在Wildfire因为它被广泛使用IT客户之间。