UNNAMED1989”微信支付”勒索病毒讓不少用戶過了一個不平靜的週末,文件無法正常打開,重要數據被加密。在用戶一籌莫展之際,360安全衛士迅速推出瞭解密工具,幫用戶解決了數據被加密的難題。但病毒從何而來,以後又該如何預防呢?本文將對這個事件做一次全面分析,幫助用戶一起應對此類勒索病毒威脅。
感染原理
分析感染原理之前,我們先從此次勒索病毒的傳播源說起,在之前的報告中,我們已經提到,受感染機器多是由於使用了“輔助外掛”,由這些外掛攜帶的木馬下載器造成的感染。那為什麼會有這麼多的外掛軟件同時攜帶這款病毒呢?是這些外掛作者開發了這個木馬下載器和勒索病毒麼?帶著這個疑問,我們深入分析發現,受影響的軟件集中在易語言編寫的程序上,更進一步分析顯示,他們使用了同樣的被感染的易語言庫文件,造成編譯發佈的外掛輔助軟件均被感染了本次的下載器木馬。那這些被感染的庫文件從何而來的呢,我們在網上找到了線索。
該帶毒模塊最初是經由一名用戶發佈到“精易論壇”的,以模塊源碼分享的名義傳播惡意模塊:
而精易論壇的管理人員也發現了有人利用論壇傳播木馬,對相關事件進行了處理和說明
經分析,該代碼模塊中確實夾雜了“私貨”。使用這個模塊編譯出來的程序,會向特定目錄下釋放惡意程序:
其次,惡意模塊還會訪問兩個指定的URL網址:
而這兩個URL網址,和我們之前分析的下載者木馬所訪問的網絡配置文件地址相同,其內容是被黑客加密過的配置信息(內容現已被編輯):
在木馬讀取到上述配置信息後,會到本地解密成明文的配置內容。這其中,就含有一個名為JingYiMoKuai.ec的易語言庫文件和一個名為“krnln_static_5.7.lib”的靜態鏈接庫文件。下載器木馬會查找系統中的“精易模塊*.ec”、“JingYiMoKuai.ec”以及“krnln_static.lib”文件,並使用網上下載的這兩個模塊,替換本地對應的模塊,汙染這臺計算機的開發環境:
也就是說,惡意代碼的擴散並不僅僅侷限於木馬自身的傳播,還會通過汙染開發環境,利用其他開發者進行二次傳播,即:
1. 原始攻擊者A發佈了隱藏有惡意功能的代碼模塊
2. 其他開發者B從論壇獲取了上述模塊,並加入到其開發環境中,這樣B所開發的程序就同樣帶有了惡意功能。
3. 如果B開發的一個工具被其它開發者使用,比如C,則開發者C可能會因為使用了這個開發工具也導致自己開發的軟件被感染。
4. 用戶D使用C開發的軟件時,也會遭到惡意代碼的入侵。
如上所述,即便最終的用戶D不知道原始攻擊者A,也從沒用過他的軟件。但依然難逃被其間接攻擊的命運。更形象的傳播擴散流程圖如下:
這類直接感染源代碼或代碼編譯程序手法並非首次出現,2015年9月,就曾出現過震驚世界的iOS應用感染XCodeGhost病毒的事件。由於大量蘋果開發者使用了被感染的XCode開發工具,導致眾多iOS應用攜帶了惡意代碼,盜取用戶信息。這其中甚至包括了很多幾乎所有人都會使用的一些“必備應用”,也均未能倖免。
同樣,就在上個月也發生過類似的案件——一款熱門JavaScript庫被黑客植入了惡意代碼。而使用Copay的用戶一旦訪問含有該JS庫文件的網頁就有可能被竊取錢包中的比特幣:
在追溯過程中我們發現,“微信支付”勒索病毒作者早在2017年就開始製作並傳播惡意軟件,在2018年4月已經開始嘗試,在開發者論壇散佈攜帶病毒的項目,下面是其今年攻擊過程的一個時間軸,可以看出攻擊者是做了大量準備的,經過長時間測試後才對外正式傳播病毒。
受影響用戶
我們統計了這次被感染的軟件,目前共計整理出918款軟件,這個數量還在進一步增加。其中絕大部分是輔助類軟件,可以看出有大量輔助工具的開發環境中招,這也造成更多使用這些輔助工具的用戶受到威脅。
下面是部分受影響的輔助工具的文件名截圖:
我們抽取了其中的一些關鍵詞,可以據此看到被攻擊群體的一些特點:
完整的列表可以到360官網搜索此文章標題,點擊文章中鏈接下載。
主要危害
木馬下載器
無論是惡意易語言代碼模塊,還是被感染的應用程序。都會進一步下載更多的惡意軟件到受害用戶機器中執行。其工作流程如下圖:
在傳播的最後階段,木馬母體會通過讀取網絡配置文件的形式獲取包括MySQL、FTP、自身更新地址以及病毒分發列表等一系列信息:
這其中的downURL22字段所對應的地址,就是後續的“病毒木馬大禮包”。
而在配置文件中所給出的FTP服務器中,我們看到了與前文中所寫的Github中相同的配置文件:
其內容如下:
同時,分析人員還在裡面發現了部分木馬源碼,使用了與此木馬相似的C&C服務器:
信息竊取/源碼竊取
此外,同樣在配置文件中給出的MySQL數據庫目前已無法連接。我們目前無法獲知其中的具體數據內容。但根據木馬母體中的代碼可以看出,該母體會與MySQL數據庫保持通信,並獲取其中的指令信息。在獲取到指令後,會根據指令進行對應的操作,功能列表如下:
其中文件回傳功能,很可能被用來竊取開發者的源代碼。
勒索病毒
回到核心的“病毒木馬大禮包”中來:這其中最主要的當然就是我們的主角“UNNAMED1989”勒索病毒了。其相關分析和具體危害本文不再重複,有興趣可以移步我們之前發佈的報告中《勒索病毒“UNNAMED1989”中招用戶有解了!》
盜號木馬
除了本次事件的主角之外,在“大禮包”中還包含了一款盜號木馬。經過我們分析,該木馬會試圖竊取支付寶、京東、163郵箱、微博、百度網盤、QQ、天貓、阿里旺旺、酷狗、迅雷、百度雲等的賬號密碼。
首先,該木馬會初始化要竊取信息所需的字符串:
完成後,木馬會遍歷進程,找到AliIM.exe,AliWorkbench.exe,360chrome.exe等進程:
一旦找到這些進程,會進一步查找其窗口,並通過GetGetWindowTextA獲取窗口標題欄的內容:
木馬此時會將獲取到的窗口標題與之前的字符串進行匹配,併發送到MySQL數據庫中。
此外,木馬還專門針對支付寶的界面設計了定製化的盜號方案。該方案與我們熟知的QQ粘蟲類似(我們就叫它“支付寶粘蟲”好了)——會在出現支付寶支付界面時,創建一個編輯框貼在原本的支付寶支付密碼輸入框上面。這樣一來,用戶輸入的支付密碼實際上是輸入到了木馬創建的虛假支付框中。用戶輸入完密碼,密碼也就被髮送到了黑客的手中:
處置方法
對於開發者
360安全衛士已經可以對該木馬帶來的“易語言模塊被感染”問題進行修復。有易語言開發環境並疑似被感染的開發者,可以使用360安全衛士進行掃描查殺。
對於用戶
如果已安裝了360安全衛士的用戶,只要確認360安全衛士實在正常運行的就不必擔心。360安全衛士可正常攔截查殺該類木馬。
如果未安裝360安全衛士或之前將惡意程序添加信任中招的用戶,可安裝360安全衛士進行掃描查殺,徹底清除病毒。同時 “360解密大師”也已支持對該勒索病毒的解密:
預防方案
分析並覆盤此次勒索病毒傳播的始末,我們提出如下一些關鍵點需要大家格外留意:
1. 軟件開發人員更要留意計算機安全問題,因為軟件源文件被感染,造成整個軟件產品被植入惡意代碼的事件時有發生,而受危害的往往是數量龐大的軟件用戶。軟件開發者應該從正規渠道下載編譯工具及開發環境相關文件,以免下載到被汙染的開發文件,影響整個工程環境。
2. 無論是開發者還是普通用戶,都應安裝安全軟件並確保其正常運行,保護計算機安全。
3. 作為普通用戶,應該從正規渠道獲取軟件,同時做到不在安全軟件退出的情況下使用來源不明的軟件。
4. 重要數據要及時備份。如果有條件,儘可能分開備份,以免備份數據與原始數據被同時加密或刪除。
5. 請相信安全軟件的判斷結果!切勿相信某些軟件聲稱自己是被誤報的論調。發現感染勒索病毒後,可以第一時間聯繫360互聯網安全中心。
閱讀更多 360安全衛士 的文章
