昨晚,360互聯網安全中心緊急發佈了關於最新勒索病毒UNNAMED1989的傳播情況和初步分析結論。在今天早晨,我們還公佈瞭解密工具幫助中招用戶解密。經過一天時間,360又對該勒索病毒的傳播和代碼進行了進一步的深入分析。
1、 傳播渠道
該勒索病毒主要捆綁在刷量軟件、外掛、打碼軟件、私服等第三方開發的應用程序傳播,通過QQ、QQ群共享、網盤分享、論壇貼吧等形式將這些應用程序發送給受害者。受害者運行後機器上就會感染下載器木馬,之後再由下載器木馬安裝其它惡意程序,這之中就包括本次傳播的UNNAMED1989勒索病毒。部分參與傳播本次勒索病毒的應用程序如下表所示。
表1 部分參與傳播本次勒索病毒的應用程序信息
經分析發現,這些下載器在代碼風格上與此次勒索病毒高度一致,可能出自同一黑客(團伙)之手。下圖展示了這些應用程序與勒索病毒的一段代碼對照:
圖1 傳播程序與勒索病毒部分代碼對照
2、 傳播過程
從感染下載器木馬,到被下發勒索病毒週期較長,部分受害者在中招多天之後才遭到勒索,很難關聯到是由於之前使用的一些外掛程序造成的。當受害者運行帶毒的外掛軟件時,軟件主程序會在多個目錄下釋放惡意文件,其中部分釋放路徑如下表所示。
表2 惡意文件釋放路徑
釋放的惡意文件是一組帶有導入表DLL劫持的"白利用"組合(該技術在國內病毒製作圈中非常流行),攻擊者通過DLL劫持的方式劫持合法程序執行流程,使"正常"程序執行惡意代碼,試圖躲避殺毒軟件查殺。攻擊者使用的三組"白利用"如表3所示。
表3 攻擊者使用的三組"白利用"
這三組"白利用"被用做木馬下載器使用,長期駐留用戶系統。攻擊者在其豆瓣主頁以及github中保存一組加密的控制指令,下載器讀取到指令後解密獲得下階段木馬程序下載URL。圖4展示了保存在攻擊者豆瓣主頁的加密字符串。圖5則展示了字符串解密後的配置文件內容。
圖4 保存在豆瓣的加密字符串
圖5 解密後的配置文件內容
程序獲取到的下階段木馬下載URL指向一張由正常圖片和壓縮包拼接而成的圖片,通過截取圖片並解壓文件能夠獲取下一階段程序。圖5展示了圖片的十六進制內容,可以明顯看見zip壓縮包的文件頭部。
圖6 程序下載的由正常圖片和壓縮包拼接而成的圖片
之後的木馬程序會從網絡上下載更多拼接了惡意文件的圖片並提取惡意文件。根據我們分析發現,攻擊者不僅通過該方式往受害者機器上植入勒索病毒,還植入過盜號木馬。這些惡意程序會注入到合法進程中工作,並帶有更新功能,通過獲取攻擊者豆瓣主頁上的字符串獲取更新地址,以根據情況更改植入受害者計算機的惡意程序。
圖7 木馬程序中硬編碼的下載地址
在11月19日開始,攻擊者開始通過上述方式向用戶計算機中植入名為realtekarm.dll.aux的惡意程序並在機器中持續駐留。之後realtekarm.dll.aux作為下載器以相同方式下載勒索病毒相關文件。並將勒索病毒寫入了用戶計算機的啟動項,在用戶下次啟動計算機時,文件就會被加密。該勒索病毒同樣是通過DLL劫持方式,劫持正常程序執行其病毒功能。
圖8 攻擊者釋放的勒索病毒相關文件
圖9 被加入啟動項的勒索病毒及命令行
根據360互聯網安全中心根據傳播此次勒索病毒的下載器所請求的域名進行了統計,下圖展示的就是下載器自11月16日起,對其相關域名進行請求的PV和UV波動趨勢,在一定程度上也可反映出該勒索病毒的傳播趨勢。
圖10 傳播本次勒索病毒的下載器對相關域名請求的波動趨勢
3、
勒索病毒分析勒索病毒運行後,會加密桌面上以及除了C盤外的其他磁盤中的文件。在加密文件類型選擇上,除了應用程序運行時所需要的文件類型——例如exe、dll、ini等——被放過之外,其他文件均被加密。這也造成用戶文檔、圖片等重要文件被加密。
圖11 勒索病毒放過的文件類型
在加密算法上,該勒索病毒選擇了極為簡單的異或加密。首先將特定標識符、版本信息以及隨機字符串進行簡單處理後存放在C:\Users\\unname_1989\dataFile路徑下,文件名為appCfg.cfg。
圖12 生成密鑰存放到appCfg.cfg中
加密文件時,從第120位讀取appCfg.cfg中的密鑰,與硬編碼在程序中的字符串按位異或之後,作為加密密鑰與待加密文件內容按位異或。
圖13 勒索病毒加密過程
因為加密文件通過簡單的異或算法實現,因此該勒索病毒是可解的。同時,由於appCfg.cfg中存放的密鑰包含隨機生成的部分,因此受害用戶需要保留該文件以進行解密。
4、 一些建議
1. 不要相信刷量、外掛、打碼、私服等一些較為灰色的軟件所聲稱的"殺毒軟件誤報論"。360不會針對任何特定類型的程序進行"誤報"。
2. 對來自即時通訊軟件或郵件附件中的陌生軟件要提高警惕。儘可能不下載、不運行,如確實需要,一定要提前用安全軟件進行查殺以保障安全。
3. 養成良好的安全習慣,即使更新系統和軟件,修補漏洞。不給黑客和惡意程序可乘之機。
4. 360安全衛士可正常攔截該病毒攻擊,並可解密已被該勒索病毒加密的文件,請即使安裝和確保其正常運行
圖14 360安全衛士可正常攔截本次勒索病毒
圖15 360解密大師可成功解密被該勒索病毒加密的文件
5、 IOCs
566bb1d3c05d4eb94e634e16e3afcc33
8f9463f9a9e56e8f97f30cd06dd2b7be
baff9b641d7baff59a33dfac1057c4a8
d5f9cfa306bcdd50c3b271bfe01d81ff
42651293d5e0b970521a465d2c4928a6
028c48146f08691ae8df95b237d39272
43079041ef46324f86ac9afc96169104
847bcf6655db46673ad135997de77cf2
6455b968e811041998c384d6826814df
閱讀更多 360安全衛士 的文章
