2013年,Sophos
报告了用PowerShell编写的勒索软件病毒感染案例。 攻击针对的是俄罗斯用户。 加密文件后,将.FTCODE扩展名添加到其中,从而为勒索软件起了名字。 在垃圾邮件中,在附加到电子邮件的HTA文件中传播了恶意代码。 加密后,勒索软件用俄语留下了有关如何进行勒索和解密文件的说明。
几年后,在2019年秋天,出现了该勒索软件感染的新提及。 攻击者针对意大利和其他国家/地区使用PEC认证电子邮件服务的用户进行了网络钓鱼活动。 受害人收到了一封带有附件的电子邮件。 文档内部是一个宏,该宏下载了恶意代码。 除了加密外,勒索软件还安装了JasperLoader引导加载程序。 该木马可以用来分发各种恶意软件。 例如,存在将
Gootkit银行木马的受害者下载
到计算机上的已知案例。
10月中旬,出现了勒索软件版本,并附带了从受害者计算机上窃取用户帐户和密码的功能。 它们是从使用默认设置安装的流行浏览器和电子邮件客户端中提取的。
PowerShell通常用于开发恶意软件,因为自第七版以来,默认情况下Windows操作系统中已包含此语言的解释器。 此外,PowerShell允许执行恶意代码,而无需将其保存到受害者计算机上的文件中。 Positive Technologies
举办了有关这些威胁
的网络研讨会 。
有效负载交付
首先,
nuove_tariffe_2020_8_af11773ee02ec47fd5291895f25948e7.vbs脚本,这将启动PowerShell解释程序。
图1.下载有效负载为解释器提供了下载图像
hxxps://static[.]nexilia[.]it/nextquotidiano/2019/01/autostrade-aumenti-tariffe-2019[.]jpg的命令
hxxps://static[.]nexilia[.]it/nextquotidiano/2019/01/autostrade-aumenti-tariffe-2019[.]jpg (图2)并将其另存为riffe。临时文件目录中的jpg。
图2.riffe.jpg图片用于分散用户的注意力然后打开该映像,并同时使用Invoke Expression勒索软件从Internet下载,而不会刻录到磁盘。 与以前的感染情况不同,现在,该恶意软件的主体使用Base64算法进行了传播编码。 对于有效载荷的传递,使用域“ band [。] Positivelifeology [。] Com”(图3)以及“ mobi [。] Confessyoursins [。] Mobi”。
图3.带有勒索软件代码的流量片段盗用用户凭证
如前所述,新版本的勒索软件具有一个模块,用于从流行的浏览器和电子邮件客户端(即Internet Explorer,Mozilla Firefox,Chrome,Outlook和Mozilla Thunderbird)中窃取用户帐户和密码。
首先,使用HTTP协议POST请求,使用surv [。] Surviveandthriveparenting [。] Com域将start selectArch命令发送到攻击者服务器。
图4.有关身份盗用的模块执行开始信号在此阶段生成的流量以guid = temp_dddddddddddddd形式的一行来表示,其后是命令或被盗数据(图5)。 该行包含每个勒索软件样本唯一的guid。
图5.样式器用于网络通信的代码然后提取受害者的用户名和密码,由base64算法编码,然后发送给攻击者。
图6.发送用户帐户的代码以下是包含HTTP POST请求发送的被盗数据的流量摘要。
图7.盗窃数据发送凭据后,stiller使用HTTP协议的POST请求发出信号,说明其工作已完成。
图8.成功盗窃数据的
信号安装JasperLoader引导程序
新版本的勒索软件仍会下载并安装JasperLoader引导程序(图9),该程序可用于分发各种恶意软件。
图9.带有JasperLoader代码的交通摘要下载的引导程序保存到文件C:\ Users \ Public \ Libraries \ WindowsIndexingService.vbs,并作为WindowsApplicationService添加到计划的Windows任务中,并使用WindowsApplicationService.lnk启动。
图10.安装引导程序资料加密
FTCODE除了窃取用户凭据并安装引导加载程序外,还对受害者计算机上的文件进行加密。 这个阶段从环境准备开始。 勒索软件使用文件C:\ Users \ Public \ OracleKit \ quanto00.tmp来存储上次运行的时间。 因此,将检查该文件在系统中的存在及其创建时间。 如果文件存在于系统中,并且自创建文件以来已经过了30分钟或更短的时间,则过程结束(图11)。 这个事实可以用作疫苗。
图11.检查自上次勒索软件启动以来的时间然后从文件C:\ Users \ Public \ OracleKit \ w00log03.tmp中读取标识符-如果缺少该文件,则创建一个新的标识符。
图12.准备受害者ID
图13.受害者ID然后,勒索软件会生成密钥信息以进行进一步的文件加密。
图14.生成用于加密的密钥信息
从代码中可以看到,通过HTTP协议的POST请求将具有恢复受害者数据的必要信息发送到具有域食物[。] Kkphd [。] Com的节点。
图15.发送密钥信息以进行加密(解密)的功能因此,如果您设法拦截包含用于加密受害者文件的盐的流量,则可以自己收回所有文件,而无需将资金转移给攻击者。
图16.截取的关键信息对于加密,Rijndael算法在CBC模式下与基于BXCODE INIT行的初始化向量和从BXCODE获得的密钥一起使用,可破解您的系统密码和先前生成的盐。
图17.加密功能在文件加密开始之前,“开始”信号在HTTP协议POST请求中发送。 在加密过程中,如果源文件内容的大小超过40,960字节,则文件将被截断为该大小。 扩展名被添加到文件中,但没有像勒索软件的先前版本中那样添加.FTCODE,但扩展名是随机随机生成的,并作为ext参数的值发送到攻击者服务器。
图18.加密的文件在HTTP协议发送POST请求后,将发出“完成”信号和加密文件的数量。
图19.加密器的主要代码在受害者计算机上加密的文件扩展名的完整列表:
加密文件后,将在受害者的计算机上创建文本文件READ_ME_NOW.htm,该文件说明了恢复文件内容所需执行的操作。
图20.攻击攻击者如您所见,将为每个受害者创建一个唯一链接,其中包含来自文件C:\ Users \ Public \ OracleKit \ w00log03.tmp的标识符,如果该标识符已损坏或删除,则存在无法恢复加密数据的风险。 Tor浏览器中的此链接上提供了一个带有用于解密文件并需要赎金的表格的链接。 最初的回购价格为500美元,并会随着时间的推移而增加。
图21.兑换请求关机
受害者的文件被加密后,FTCODE删除可用于恢复加密文件的数据。
图22.删除数据结论
该恶意软件由VBS代码形式的引导程序和PowerShell代码形式的有效负载组成。 JPEG图像用于掩盖感染。 该恶意软件的功能是安装著名的JasperLoader引导加载程序并加密受害者的文件以勒索赎金,以及从流行的浏览器和电子邮件客户端窃取所有帐户和密码。
PT NAD网络流量分析系统将检测到的威胁检测为FTCODE。
此外,PT NAD存储网络流量,这将有助于解密该勒索软件受害者的文件。
国际奥委会
6bac6d1650d79c19d2326719950017a8
bf4b8926c121c228aff646b258a4541e
乐队[。]积极生命学[。] com
莫比[。] confessyoursins [。]莫比
surv [。] Survival and Thriveparenting [。] com
食物[。] kkphd [。] com
正面技术作者Dmitry Makarov
发布