大家好,我是零日情報局。
Paradise勒索病毒,至少從2017年流行到現在,近日研究人員再次捕捉到了它的新蹤跡。
據Lastline研究人員表示,Paradise勒索病毒最近以亞洲某組織為目標,疑為測試最新變種,該變種利用合法的Internet查詢文件(IQY)繞過企業防禦系統。也就是時隔半年未見,Paradise勒索病毒又找到了新宿主藏身。
而新版Paradise勒索病毒的特別之處遠不止這一點,這就相當有趣了。下面,零日給大家介紹一下這個尚在“測試版”的Paradise勒索病毒變種。
特點1:合法的IQY文件
以合法IQY文件為保護殼,說實話零日看了這招,一方面覺得有點“鬼才”,另一方面也想看看,Paradise究竟是如何利用IQY文件的?
這就要從IQY文件本身說起了,IQY文件是Microsoft Excel讀取的簡單文本文件,可以從Internet下載數據,是可武器化的Microsoft Office文件格式中不常見的那個。
為什麼說是“可武器化的文件”?因為該公式可能會濫用系統進程,例如PowerShell、cmd、mshta或任何其他LoLBins(非現場二進制文件)。大家都知道,這是合法的Excel文件類型,因此許多網絡管理設備不會阻止或過濾該文件,於是,Paradise病毒的機會就來了。
簡單來說,IQY文件為攻擊者提供了一種滲透網絡的快捷方式,其利用過程如下:
先通過Necurs殭屍網絡分發IQY附件,來傳播與Paradise勒索病毒綁定的程序,FlawedAmmyy 遠控木馬。
然後,接下來要做的是誘使用戶打開惡意IQY附件,該附件會從攻擊者的C2服務器中檢索惡意腳本。
包含遠程惡意腳本位置的惡意IQY附件
此惡意腳本包含一個用於運行PowerShell命令的命令,該命令將下載並調用可執行文件。
惡意腳本
成功利用IQY文件躲過防禦系統後,Paradise勒索病毒還利用了自動注入技術,直接將原始進程的內存替換為勒索病毒的執行代碼。
特點2:特定的語言白名單
如下圖所示,在勒索病毒開始後、執行語言檢查之前,還包含一次動態代碼解析過程,通過手動PEB遍歷動態地獲取了WinAPI。
PEB遍歷/ API解析
然後,我們就會發現Paradise勒索病毒的語言檢查功能。這個新變種會檢查機器的語言ID是俄語、哈薩克語、白俄羅斯語、烏克蘭語,還是塔塔爾語。
檢查特定語言
正如我們看到的那樣,如果目標語言是上述選項之一,則勒索病毒會停止攻擊。
殺死進程
很好,在這裡我們不妨大膽推測,新版Paradise勒索病毒的真實攻擊者,就在藏那份語言白名單之中。
特點3:更難檢測的加密算法
接下來,就是Paradise勒索病毒的攻擊加密過程。和大多數勒索病毒一樣,新變種加密函數在遍歷文件系統的同時,也會注意避開可能破壞系統運行的文件。
在這裡要強調的是,該病毒的隱匿特性不止藏在IQY文件中一點,還有它所利用的Salsa20加密算法。使用此算法的好處很明顯,攻擊者可以將其實現到源代碼中,而不是調用系統函數。
文件加密步驟
也就是說,使用Salsa20加密算法可讓檢測加密例程更加困難。
可執行文件加密之前/之後
加密後,我們看到,每個加密文件的擴展名變為:“ _decryptor_ {unique_id} .tor”。
更改加密文件的擴展名
然後,病毒會釋放標題為“ — ==%$$$ OPEN_ME_UP $$$ == —。txt ”的勒索信息,並在加密例程完成後自動打開。該贖金記錄要求受害者訪問一個在線聊天頁面,以接收有關如何解密文件的說明。
勒索信息
看到這裡,我們基本上弄清楚了Paradise勒索病毒新變種是怎麼回事了。
特點4:特殊的時間格式
按照勒索信息指示,研究人員嘗試和勒索者溝通,聊天登錄頁面如下。
勒索病毒聊天登錄頁面
然後我們看到的是,一條自動消息以及聊天室的相關規則。
勒索病毒聊天頁面
儘管攻擊者尚未在聊天中有所回覆,但是有一個細節值得大家注意,那就是聊天頁面的時間日期格式與許多歐洲國家/地區中使用的格式匹配。
我們重新審視該惡意病毒的靜態特徵,其編譯時間戳為“2019-12-08 18:42:38(UTC)”,在歐洲大約在晚上7:42左右落入。再結合上文的語言白名單來看,新變種的“出生地”不是俄羅斯,就是烏克蘭。
狡猾的“創新者”
新版病毒“強”在哪裡?看完上面串起整個攻擊過程的四個特性就知道了,那肯定是隱匿性和針對性更強。奇怪的是,研究人員只發現了該變種針對亞洲某一組織的攻擊活動,不過,如果把這次攻擊當做是一次新版本測試那就很好解釋了。
受攻擊組織提供IQY的SMTP流量
Paradise勒索病毒絕對稱得上是“老熟人”了,偏偏它還十分狡猾,總是在“攻擊-解密-新變種-再解密”的循環中不斷自我創新。
2018年7月,Paradise勒索病毒開始大規模入侵我國,加密除系統以及部分瀏覽器文件夾內部文件以外的所有文件,加密後生成“超長後綴+勒索聲明+定製用戶ID”三連套餐。
2019年3月,Paradise勒索病毒再度襲來,改頭換面以UPX加殼、借用了CrySiS家族的勒索信息,代碼結構也區別於早期版本。
2019年8月,最新Paradise變種病毒再次被截獲,將自身主體代碼在內存中解密後執行,靠Flash漏洞傳播,專攻FlashPlayer版本較低的用戶。
2019年10月,Paradise勒索家族KimChinIm、Support兩大病毒變種接連湧現,與以往已知的Paradise病毒仍有較大差異,這裡就不一一細說了。
看看,這就是Paradise勒索病毒的狡猾之處:每一次變種都搭載不同的技術或算法,與此前存在巨大差異。
千言萬語還是一句話,零日認為應警惕新一輪的Paradise勒索攻擊,並建議企業:
1. 趕緊對重要數據文件進行非本地備份,時刻注意;
2. 千萬要及時修復漏洞、打補丁,升級登錄口令並避免使用同一口令;
3. 警惕不明來源的郵件及網站,不要亂下載不明來源的附件文件;
4. 一定要減少/關閉不必要的文件共享權限。
零日反思
勒索病毒的逃避技術遠超我們想象,它們想盡辦法利用新方式或技術超越基本防禦措施,而大家對它們的瞭解卻並不廣泛。今天,我們瞭解了一種Paradise勒索病毒新變種,但這只是其龐大家族的冰山一角,勒索病毒更新迭代千變萬化,卻仍是網絡安全的重要殺手。
閱讀更多 360安全衛士 的文章
