網絡安全公司趨勢科技(Trend Micro)於近日爆料稱,幾家臺灣機構不幸成為了定向攻擊的最新受害者——服務器遭入侵,文件被加密!
具體來講,攻擊者在拿到目標機構的Active Directory服務器訪問權限後,下載並安裝了一種名為“ColdLock”的新型勒索病毒,進而對受影響域下的所有計算機上的特定文件進行了加密。
技術分析
ColdLock有效載荷以.NET可執行文件(.DLL文件)的形式被下載。
分析表明,該DLL文件使用了ConfuserEx包裝器進行加殼處理,而運行則涉及到使用PowerShell執行反射加載。
圖1.DLL文件的反射加載
運行後,它首先會執行兩項檢查:
一是,檢查贖金票據所使用的“%System Root%\ProgramData\readme.tmp”是否已經存在,以避免系統被重複感染。
圖2.贖金票據檢查
二是,檢查系統時間——它只會在每天的12:10之後運行。
如果時間早於12:10,則將休眠15秒,然後再次執行該項檢查,直到滿足上述運行條件為止。
圖3.系統時間檢查
在加密文件之前,ColdLock還會進行另外幾項檢查以及相應的處理。
首先,它會檢查一些特定的服務(各種數據庫以及Exchange郵件服務器使用的服務)是否處於運行狀態,具體如下:
- mariadb
- msexchangeis
- mssql
- mysql
- oracleservice
只要有任何一項處於運行狀態,它都會終止其運行。
此外,它還會終止與Outlook相關的進程。
圖4.終止服務和進程的運行
其次,它還會檢查系統上運行的Windows版本。如果運行的是Windows 10,那麼它將執行多個Windows 10特定的例程,以禁用Windows Defender以及推送通知。
圖5.禁用Windows Defender
值得一提的是,如果目錄滿足以下三個條件,那麼ColdLock在加密時則會排除包含括號裡任何擴展名的文件(.avi、.dll、.gif、.iso、.m2ts、.mkv、.mov、.mp3、.msi、.ocx、.tmp和.wmv
):
- 目標目錄下的文件數量少於100;
- 目錄的最後寫入時間晚於2018年1月1日;
- 目錄名稱不包含括號裡的任何字符串(.git、appdata、cache、image、lib、log、logs、microsoft、reference、res、resource、script、setup、skin、temp、theme、third_party和thirdparty)。
如果目錄僅滿足部分條件或完全不滿足上述三個條件,那麼ColdLock則僅會加密具有如下擴展名的文件:
- .7z
- .aspx
- .bak
- .cpp
- .csv
- .doc
- .docx
- .gz
- .hwp
- .java
- .jpg
- .jsp
- .lnk
- .odt
- .one
- .php
- .ppt
- .pptx
- .pst
- .rar
- .sh
- .sql
- .txt
- .xls
- .xlsx
- .xml
- .zip
圖6.白名單/黑名單代碼
加密進程在CBC模式下運行,使用的是AES算法。文件在被加密後,將被額外添加一個“.locked”擴展名。
圖7.AES加密代碼
圖8.密鑰生成
贖金票據將被放置在多個位置,即:
- %Desktop%\How To Unlock Files.Txt
- %System Root%\ProgramData\readme.tmp
- %User Startup%\How To Unlock Files.Txt
- {被加密的驅動器}:\How To Unlock Files.Txt
內容與其他大多數勒索病毒相似:
圖9.贖金票據
此外,ColdLock還會更改系統壁紙,以提醒受害者查看贖金票據。
圖10.修改後的系統壁紙
結語
勒索病毒仍是一種揮之不去的網絡威脅,尤其在這兩年更是頻頻出現。
想要免受勒索病毒的侵害,我仍建議你這樣做:
- 定期備份文件,並進行離線存儲;
- 定期修補和更新應用程序、軟件和操作系統,以解決所有可利用的漏洞;
- 最後也是最重要的,安裝一款信得過的安全產品,並定期執行全盤掃描。
