这篇博文由@hasherezade、Jérôme Segura和Vasilios Hioureas撰写。
1月底,韩国应急响应小组(KrCERT)发表在有针对性的攻击中使用的闪光运动员零天的新闻。分布在Flash Player 28.0.0.137及以下的缺陷通过恶意Office文档含有嵌入式闪存利用。只有公开宣布后几个星期,垃圾邮件活动我们已经开始输出包含新可用漏洞的恶意Word文档。
虽然垃圾邮件已经有一段时间了积极的分销渠道,一个Flash的消息漏洞会肯定利息开发工具包的作者也是如此。事实上,在我们以前的博客文章有关此漏洞(CVE-2018-4878),我们发现它是如此的简单使用已经可用验证的概念和打包为一个偷渡式下载相反
3月9日,MDNC发现了这是一个不太常见但更复杂的攻击工具,叫做绿闪日落已经开始使用这个最近的闪光零点来分发Hermes Ransomware。此有效载荷以前作为对台湾银行攻击的一部分,并被怀疑成为一个工作朝鲜黑客组织。据报道,这可能是一个诱饵攻击,“伪勒索“。
通过检查MDNC发布的指标,我们能够在遥测系统中识别这一活动,并注意到所有攻击企图都是针对韩国用户的。根据我们的记录第一次袭击发生在2月27日,2018年,(01:54 UTC),通过一个妥协的韩国网站。
我们在实验室重播了这次攻击,并花了很少的时间在Self Hosted OpenX服务器的JavaScript库中寻找重定向代码。相反,我们发现它隐藏在主页的源代码中。
我们已经确定了通过检查Live页面上的DOM发生重定向的位置,但我们也通过解码通过Base64和RC4编码的大型恶意模块来确认(我们要感谢大卫Ledbetter为了那个原因)。
爱马仕赎金
此攻击的有效载荷是Hermes Ransomware版本2.1。
行为分析
这个勒索制造器将自身复制到%温度%名下svchosta.exe然后从那个位置重新部署自己。然后删除初始样本。
该勒索软件是不是特别隐秘,一些窗口在其运行过程中弹出。例如,我们被要求运行具有管理员权限的批处理脚本:
作者没有费心部署任何UAC旁路技术,仅依靠社会工程实现这一点。弹出窗口部署在一个循环中,通过这种方式,它试图迫使用户接受它。但是,即使我们不允许部署批处理脚本,主可执行文件也会进行加密。
批处理脚本是负责清除卷影副本和其他可能的备份:
它与其他一些文件一起放置在C:\Users\Public中:
文件“public”包含一个带有RSA公钥的Blob。值得注意的是,此密钥在每个运行时都是唯一的,因此,每个受害者生成RSA密钥对。例子:
另一个文件是名为unique_id_do_not_remove的加密数据块。它是一个包含加密专用RSA密钥的Blob,受害者唯一:
分析Blob Header,我们找到以下信息:
- 0x07-PRIVATEKEYBLOB
- 0×02 -cur_blob_version.:2
- 0xA400 - ALG_ID:calg_rsa_keyx.
其余数据此时已加密,我们可以猜测它是由攻击者的RSA公钥加密的。
同一个文件夹还包含一张赎金便条。加密完成后,会弹出赎金通知单。该注释采用HTML格式,名为DECRYPT_INFORMATION.HTML。
有趣的是,根据活动的不同,在作者使用的一些样本中比特信与受害人沟通:
这种方法过去曾被其他一些作者使用,例如奇美拉勒索在他的附属节目中,由原始Petya的作者。
加密文件没有更改名称。每个文件都以新的键加密,相同的明文产生各种密文。加密文件的熵很高,没有可见模式。这表明使用一些流密码或具有链式块的密码。(这种情况下最常用的是CBC模式中的AES,但我们可以在分析代码后确定。下面,您可以在Hermes加密之前和之后看到BMP文件的可视化:
每个文件内,加密内容之后,有一个“HERMES”标志物,接着另一个斑点:
这一次blob包含导出的会话密钥(0x01:SIMPLEBLOB)和算法标识符是AES(0x6611:CALG_AES). 我们可以有根据地猜测它是文件的AES密钥,由受害者的RSA密钥(来自生成的密钥对)加密。
在勒索达到在启动文件夹中删除一个批处理脚本的持久性:
剧本简单;它的作用只是部署丢弃的勒索软件:svchosta.exe。
因此,每个系统在启动时会做出新的,未加密的文件进行检查,并尝试对他们进行加密。这就是为什么,只要一发现,他们已经袭击了这个勒索,他们应该删除,以便持续进入不让攻击重演。
在勒索制造器内
执行流程
在执行开始时,勒索软件会创建一个名为“tech”的互斥锁:
将样品温和地混淆,例如,它的进口在运行时加载。PE文件的.data段是在执行过程中也解密,所以,起初我们将不会看到典型的字符串。
首先,执行开始动态地加载其所有通过函数在进口4023e0:
然后检查注册表项是否有语言代码。如果系统语言为俄语、白俄罗斯语或乌克兰语,则退出该过程(0x419为俄语,422为乌克兰语,423为白俄罗斯语)。
然后创建两个子流程–cmd.exe。一个将自身复制到目录appdata/local/temp/svchost.exe,另一个执行复制的文件。
它还使用标准CryoptAquireCOntext库生成加密密钥,并保存公钥和某种身份证到以下文件:
C:\用户\公用\ UNIQUE_ID_DO_NOT_REMOVE
C:\用户\公用\ PUBLIC
如前所述,它写出一个脚本,在启动时自动运行,内容如下:启动“”%temp%\ svchosta.exe进入“开始”菜单启动文件夹。这非常简单而且显眼。由于它始终运行并保持持久性,因此它使它将公钥保存到文件中是有意义的,以便稍后可以找到键并在所有执行情况下使用一致密钥继续加密。
下面是调用所有这些功能依次标记功能:
它继续循环所有可用驱动器。如果是CDRom,它将跳过它。在该函数中,它遍历驱动器上的所有文件和文件夹,但跳过一些关键目录,不仅限于Windows、Mozilla和回收站。
函数的内部标记为ReCursiveSearch_encrypt是关键文件夹和驱动器类型的检查:
然后,它继续枚举netResources并对这些文件进行加密。加密后,它会创建另一个名为window.bat要删除阴影卷和备份文件。下面是它的内容:
VSSADMIN删除阴影/所有/安静VSSADMIN调整大小shadowstorage /对= C:/ ON = C:/ MAXSIZE = 401MB VSSADMIN调整大小shadowstorage /对= C:/ ON = C:/ MAXSIZE =无界VSSADMIN调整大小shadowstorage /对= d:/上= d:/ MAXSIZE = 401MB VSSADMIN调整大小shadowstorage /对= d:/ ON = d:/ MAXSIZE =无界VSSADMIN调整大小shadowstorage /对= E:/上= E:/ MAXSIZE = 401MB VSSADMIN调整大小shadowstorage /对= E:/ ON = E:/ MAXSIZE =无界VSSADMIN调整大小shadowstorage /对= F:上= F /:/ MAXSIZE = 401MB VSSADMIN调整大小shadowstorage /对= F:/ ON = F:/ MAXSIZE =无界VSSADMIN调整大小shadowstorage /对=克:/ ON = G:/ MAXSIZE = 401MB VSSADMIN调整大小shadowstorage /对= G:/ ON = G:/ MAXSIZE =无界VSSADMIN调整大小/对= H shadowstorage:/上= H:/ MAXSIZE = 401MB VSSADMIN调整大小shadowstorage /对=h: /on=h: /maxsize=unbounded vssadmin Delete Shadows /all /quiet del /s /f /q c:\*.VHD c:\*.bac c:\*.bak c:\*.wbcat c:\*.bkf c:\Backup*.* c:\backup*.* c:\*.set c:\*.win c:\*.dsk del /s /f /q d:\*.VHD d:\*.bac d:\*.bak d:\*.wbcat d:\*.bkf d:\Backup*.* d:\backup*.* d:\*.set d:\*.win d:\*.dsk del /s /f /q e:\*.VHD e:\*.bac e:\*.bak e:\*.wbcat e:\*.bkf e:\Backup*.* e:\backup*.* e:\*.set e:\*.win e:\*.dsk del /s /f /q f:\*.VHD f:\*.bac f:\*.bak f:\*.wbcat f:\*.bkf f:\Backup*.* f:\backup*.* f:\*.set f:\*.win f:\*.dsk del /s /f /q g:\*.VHD g:\*.bac g:\*.bak g:\*.wbcat g:\*.bkf g:\Backup*.* g:\backup*.* g:\*.set g:\*.win g:\*.dsk del /s /f /q h:\*.VHD h:\*.bac h:\*.bak h:\*.wbcat h:\*.bkf h:\Backup*.* h:\backup*.* h:\*.set h:\*.win h:\*.dsk del %0
然后,它创建并执行另一个名为bat文件svchostaexe.bat它再次遍历整个文件系统以搜索和删除所有备份文件。这很有趣,因为我们很少看到勒索软件如此详细地查找备份文件。
没有将解密密钥传送到C2服务器的功能。这意味着文件唯一\u ID\u不\u删除,这包含您必须发送到电子邮件地址的唯一ID,必须由公钥对加密,即攻击者已预先生成并保留在其身边。
我们已经发现,从与这一个老版本的爱马仕沉重的代码重用。该代码的流程看起来是有点不同,但整体功能是相同的。在比较反汇编的两个版本时,这是很清楚的。
下面是两个截图:从我们分析当前版本的第一,并从旧版本的第二位。你可以清楚地看到,即使流量和安排都有点不同,功能保持大致相同。
新版本:
和旧版本237eee069c1df7b69cee2cc63dee24e6:
攻击的目标
该勒索软件攻击以下扩展名:
tif php 1 7 z cd光盘dbf ai arw txt文档docm多克斯压缩rar xlsx xls xlsb xlsm jpg jpe jpeg bmp db eql sql adp mdf纳mdb odb odm odp ods dbc投资人db2 dbs pds pdt pdf dt cf cfu mxl epf kdbx小块土地vrp grs geo圣建议讨论使用efd 3 dm 3 ds肋马马克斯靠lws m3d mb obj x x3d c4d fbx dgn dwg 4 db 4 dl 4议员abs与a3d船尾和阿尔夫问awdb azz bnd博克btr bdb围嘴贝克国开行ckp clkw cma crd爸爸daf db4它们印度生物技术部伏特分贝dbx dcb dct克莱斯勒ddl df1 dmo dnc dp1译文dsk dsn dta dtsx dxl eco连成一片教育局emd fcd fic fid费尔fm5符合fp3 fp4 fp5 fp7把之下fzb fzv gdb描述hdb他ib idc ihx itdb itw jtx kdb lgc maq mdn联合化疗著泥mwb s3m myd ndf ns2 ns3 ns4 nsf nv2 nyf奥西oqy ora orx油水界面owg oyx p96 p97锅pdb pdm榜单pnz甲状旁腺素pwaqpx系统qry qvd rctd rdb rpd rsd sbf深发展自卫队spq sqb stp的str tcx tdt te tmd trm udb usr v12一家vpd wdb wmdb xdb xld xlgc zdb zdc cdr cdr3上ppt pptx abw行为目的ans apt asc ase aty用awt啊坏bbs bdp bdr bean bna中行btd cnm crwl cyi dca dgs diz dne docz点dotm dotx深潜器dvi dx eio eit emlx epp犯错etf etx euc faq fb2 fbl自由现金流量fdf罗斯福fds fdt都不会fdxt菲斯fft flr fodt三磷酸鸟苷frt fwdn fxc gdoc gio gpn德牧gthr问hbk遗传性出血性毛细血管扩张症hs htc hwp赫兹idx iil ipf jis乔jp1 jrtf凯斯klg knt今敏kwd lbt lis点燃lnt领头lp2 lst ltr第卢luf lwp lyt lyx男人干预最小mnt映射mbox我味精mwp nfo njx现在nzb ocr辛癸酸甘油酯odt笔经常支持奥特p7 pfs可以pjt prt psw pu pvj pvm预警指示器压水式反应堆qdl rad rft提高rpt rst rt rtdrtf rtx运行rzk rzn saf山姆scc scm sct标准铜线sdm sdoc sdw sgm团体sla sls smf sms ssa stw猪圈子sxg sxw标签tdf特克斯文本thp tlb tm tmv tmx tpc tvj u3d u3i unx uof uot乌利希期刊指南utf8 utxt vct vnt大众wbk wcf wgz wn wp wp4 wp5 wp6 wp7 wpa wpd wpl wps wpt wpw wri wsc wsd wsh mtx xdl xlf xps xwp xy3 xyp xyw ybk yml zabw zw反弹道导弹afx agif agp aic albm adp apmapng aps apx型艺术反潜战湾bm2 bmx brk brn brt bss发言c4卡尔cals可以cd5 cdc cdg cimg cin cit colz共产党cpd cpg cps cpx cr2 ct dc2 dcr dds本局dib djv djvu dm3 dmi vue dpx线drz dt2 dtw dvl ecw eip exr歧视传真fpo fpx g3 gcdp gfb gfie应用ggr gif gih gim spr竹荚鱼加仑日gro grob黄芪丹参滴丸hdr hpi i3d icn图标icpr iiq信息ipx itc2艾维j j2c j2k雅对jb2 jbigjbmp jbr jfif jia jng jp2 jpg2 jps jpx jtf jwl jxr kdc kdi kdk kic kpg lbm ljp mac mbm mef mnr mos mpf mpo mrxs myl ncr nct nlm nrw oc3 oc4 oc5 oci omf oplc af2 af3 asy cdmm cdmt cdmz cdt cgm cmx cnv csy cv5 cvg cvi cvs cvx cwt cxf dcs ded dhs dpp drw dxb dxf egc emf ep eps epsf fh10 fh11 fh3 fh4 fh5 fh6 fh7 fh8 fif fig fmv ft10 ft11 ft7 ft8 ft9 ftn fxg gem glox hpg hpgl hpl idea igt igx imd ink lmk mgcb mgmf mgmt mt9 mgmx mgtx mmat mat otg ovp ovr pcs pfv pl plt vrml pobj psid rdl scv sk1 sk2 ssk stn svf svgz sxd tlc tne ufr vbr vec vml vsd vsdm vsdx vstm stm vstx wpg vsm xar yal orf ota oti ozb ozj ozt pal pano pap pbm pc1 pc2 pc3 pcd pdd pe4 pef pfi pgf pgm pi1 pi2 pi3 pic pict pix pjpg pm pmg pni pnm pntg pop pp4 pp5 ppm prw psdx pse psp ptg ptx pvr px pxr pz3 pza pzp pzs z3d qmg ras rcu rgb rgf ric riff rix rle rli rpf rri rs rsb rsr rw2 rwl s2mv sci sep sfc sfw skm sld sob spa spe sph spj spp sr2 srw ste sumo sva save ssfn t2b tb0 tbn tfc tg4 thm tjp tm2 tn tpi ufo uga vda vff vpe vst wb1 wbc wbd wbm wbmp wbz wdp webp wpb wpe wvl x3f y ysp zif cdr4 cdr6 cdrw ddoc css pptm raw cpt pcx pdn png psd tga tiff tif xpm ps sai wmf ani flc fb3 fli mng smil svg mobi swf html csv xhtm dat
加密
Hermes和许多其他勒索软件一样,使用AES和RSA进行加密。AES用于使用随机密钥加密文件。RSA用于保护随机AES密钥。
Ransomware使用两个RSA密钥对,一个是攻击者的RSA硬编码公钥。
然后,有一个受害者的密钥对。它是在攻击开始时生成的。此密钥对中的私钥由攻击者的公钥加密,并存储在文件UNIQUE_ID_DO_NOT_REMOVE中。
当受害者发送此文件时,攻击者可以在自己的私钥的帮助下恢复受害者的私钥。受害者的公共钥匙以明文储存在公共文本中。它后来用于加密随机AES键,每个文件生成。
密码学是在Windows Crypto API的帮助下实现的。函数调用被轻度模糊,指向函数的指针被手动加载。
如果它已经加密,则每个文件处理都开始检查。Ransomware使用我们在行为分析期间已经看到的已保存的标记“Hermes”。在保存AES密钥的块之前,记录存储在文件的末尾。它的偏移结束是274字节。因此,首先将文件指针设置为此职位以检查字符。
如果找到标记,则跳过该文件。否则,将对其进行进一步处理。正如我们在行为分析中注意到的,每个文件都使用一个新密钥加密。查看代码,我们可以找到负责的函数。不幸的是,作者使用了安全功能CryptGenKey:
该算法所使用的标识符是0x6610(CALG_AES_256)。这意味着256位使用AES加密。此键用于加密文件的内容。该文件在块中读取和加密,每个字节为1,000,000字节。
最后,标记“HERMES”写入和导出的AES密钥保存:
传递了攻击者的RSA公钥的句柄,因此函数加密导出密钥自动保护AES密钥。只有RSA私钥的所有者才能将其重新导入。
保护
必威平台APP的Malwarebytes用户可以通过这个Flash播放器漏洞的保护。此外,勒索有效载荷被挡在零小时严格依据其恶意行为。
结论
我们知道针对韩国人的另一个活动是通过恶意传染并使用幅度爆炸套件来携带,这也可以提供赎金瓶 - 即马格尼伯. 这个特定的感染链通过地理感知流量重定向和恶意代码本身的语言检查,长到只感染这个特定的人群。
爱马仕分析后,我们发现这是一个全功能的勒索。但是,我们不能确定什么经销商真正动机是。综观全背景下,我们可能会怀疑可能是出于政治目的,而不是利益驱动的攻击。
虽然感染载体似乎缩小到韩国,但与胶质不同,恶意软件本身并没有专门针对这些用户。勒索瓶不包括俄罗斯或乌克兰这样的某些国家可以将恶意软件的开发和外包与这些领域相结合,或者是虚假标志。正如我们所知,归因始终是一个复杂的主题。
妥协的指标
活动涉及的域:
- 2018年2月27日(1点五十四UTC)
- StarAdvertsment [。] Com
- hunting.bannerexposure [。]信息
- 2018-02-28
- StarAdvertsment [。] Com
- accompanied.bannerexposure [。]信息
- 2018-03-01
- switzerland.innovativebanner [。]信息
- 2018-03-07
- name.secondadvertisements [] com
- 2018-03-08
- www.secondadvisions[.]com
- marketing.roadadvertisements [。] COM
- 2018-03-09
- bannerssale。com
- AquaAdvertision[.]com
- technologies.roadadvertisements [。] COM
IP地址:
- 159.65.131 [。] 94
- 159.65.131 [。] 94
- 207.148.104 [。] 5
爱马仕2.1勒索:
- A5A0964B1308FDB0AEB8BD5B2A0F306C99997C7C076D66EB3EBCDD68405B1DA2
- pretty040782 @ Gmail的[。] COM
- pretty040782@keemail我
评论