最近,Intezer和IBM X-Force IRIS研究團隊發現了一種此前從未被公開披露過的新型勒索軟件——PureLocker,能夠同時攻擊Windows和Linux操作系統。
據稱,PureLocker與後門惡意軟件“more_eggs”存在部分代碼重疊,並且已經被Cobalt Gang和FIN6等多個黑客組織使用過。
初步分析
這裡分析的PureLocker樣本是一個適用於Windows操作系統的版本,偽裝成一個名為“Crypto++”的C++加密庫:
分析表明,該文件並不是一個C++加密庫,而是一個可能與Cobalt Gang有關存在關聯的惡意二進制文件,但代碼經過了大幅修改。
深入觀察
樣本是採用PureBasic編寫的,這是一種不太常用的編程語言,也就導致惡意軟件能夠順利繞過某些殺毒軟件的檢測。此外,PureBasic代碼還可以在Windows、Linux和OS-X之間移植,這就使得開發適用於不同平臺的惡意軟件更加容易。
PureLocker被設計為由regsrv32.exe作為COM服務器DLL執行,它將調用DllRegisterServer導出,惡意軟件的代碼駐留在導出中。
字符串被編碼並存儲為Unicode十六進制字符串,通過調用字符串解碼函數,可以根據需要對每個字符串進行解碼。
代碼首先會檢查它是否正在按照攻擊者的意圖執行,以及是否正在被分析或調試。有任何一項檢查不符,惡意軟件就會立即退出,但不會刪除自身:
一旦有效載荷執行,惡意軟件就會立即刪除自身。
PureLocker很可能只是完整攻擊鏈的一部分
有幾個跡象表明,PureLocker很有可能只是一個高針對性、多階段攻擊的一部分。惡意軟件首先會檢查其自身是否是使用“/s/i”參數執行的,這個參數的作用是指示regsrv32.exe安裝DLL組件而不引發任何對話(靜默):
稍後,惡意軟件會驗證它是否確實由“regsrv32.exe”執行,並驗證其文件擴展名是否為“.dll”或“.ocx”、計算機上的當前年份是否為“2019”,以及是否具有管理員權限。有任何一項檢查不符,惡意軟件就將在不執行任何惡意活動的情況下退出。
這種行為在勒索軟件中並不常見,勒索軟件通常傾向於感染儘可能多的受害者,以便獲取得儘可能多的收益。此外,被設計為以非常規方式執行的DLL文件的行為也表明,該勒索軟件是多階段攻擊的後期組件。
規避和反分析技術
與其他勒索軟件不同,該惡意軟件通過手動加載“ ntdll.dll”的另一個副本來使用反鉤掛技術,並從此處手動解析API地址,這麼做的目的是逃避用戶模式下ntdll函數的掛鉤。儘管這是一個已知的技巧,但很少在勒索軟件中使用。
導入本身被存儲為32位哈希值,PureLocker使用了常規的哈希解析方法來獲取函數地址。
同樣值得注意的是,PureLocker使用的是ntdll.dll中的低級別Windows API函數來實現其大部分功能(kernel32.dll和advapi32.dll除外),尤其是用於文件操作。
除了利用advapi32.dll(RtlGenRandom)的SystemFunction036進行偽隨機數生成外,它並不使用Windows Crypto API函數,而是依賴於內置的purebasic加密庫來滿足其加密需求。
加密和贖金票據
在完成了所有的反分析和完整性測試之後,PureLocker將繼續使用硬編碼的RSA密鑰,通過標準AES + RSA組合對受害者計算機上的文件進行加密並添加“.CR1”擴展名。(主要加密數據文件,並會根據特定文件的擴展名跳過對可執行文件的加密。)
然後,它會刪除原始文件,以防止恢復。
完成加密後,PureLocker會在用戶桌面上留下一個名為“YOUR_FILES.txt”的贖金票據。
代碼重疊和溯源
對代碼的分析表明,PureLocker與Cobalt Gang在其攻擊鏈中使用的特定組件存在代碼重疊——“more_eggs”JScript後門(也稱為“SpicyOmelette”)的加載器組件。
不僅如此,“more_eggs”還被其他兩個黑客組織使用過,包括黑客組織FIN6。
研究人員再將PureLocker與最近的“more_eggs”加載器組件樣本進行對比後發現,它們極有可能是同一夥人創建的,因為它們存在很多相似之處:
- COM Server DLL組件都是使用PureBasic編寫的;
- 載入有效載荷前,函數和代碼幾乎相同,且使用的是相同的逃避和反分析方法;
- 相同的字符串編碼和解碼方法。
結論
PureLocker並不是一種常規的勒索軟件,它沒有試圖感染儘可能多的受害者,而是儘可能地隱藏其意圖和功能。用於實現逃避和反分析的代碼似乎是直接從“more_eggs”加載器組件中複製過來的,這使得它能夠避開自動分析系統而不被發現。
由於PureLocker是作為一種惡意軟件即服務(MaaS)出售的,基於目前掌握的線索,還很難判定它是出自Cobalt Gang或FIN6,還是一個新的黑客組織之手。
閱讀更多 黑客視界 的文章
