概述去年年末,奇安信病毒响应中心发布了《不给钱就撕票!论现代勒索软件的野蛮进化史》https://mp.weixin.qq.com/s/xnt6iVLNKRyVvqfCO_-Lmg一文,文中提到了勒索软件开始不单纯进行勒索文件从而获取赎金,而且还开始对敏感文件进行窃取,从而加大勒索的范围:即不交赎金,我让你电脑文件无法打开使用不成,还让你的文件宣布泄露出去。 而Ryuk勒索软件,相信不少前线应急选手都有所耳闻,近日,奇安信病毒响应中心在日常样本监控过程中捕获了Ryuk勒索软件释放的窃密模块,发现其进行了大幅度更新。 除此之外,我们偶然发现,该窃密模块居然是第三方开发,从而分发给Ryuk勒索软件团伙进行”分红”,这让我们对勒索黑产产业链有了新的认识。 样本分析样本主要功能: 样本经过内存加载后,遍历磁盘文件,排除指定目录和后缀,搜索特定的文件,并与内置的字符串列表进行比对,窃取文档、源代码、比特别钱包、图片等文件,将匹配成功的文件上传至FTP服务器上,还会获取ARP表中的IP地址列表,搜索共享文件。 下列为具体分析过程。 样本外层经过复杂的混淆,给内置的ShellCode分配内存并调用: 内存加载: 获取磁盘信息之后开始遍历磁盘文件,排除的目录和指定文件如下: 其中出现了Ryuk的勒索信“RyukReadMe.txt”,排除的后缀名如下: 除此之外还会跳过经过Ryuk加密后的文件,.RYK为经过Ryuk勒索加密后的后缀名: 寻找以下指定后缀,主要目的是窃取源代码、文档、比特币钱包和图片等文件: 判断文件名是否存在如下字符串: 判断文件内容是否存在如下字符串: 将符合上述条件的文件上传到FTP服务器上,密码和账号均为anonymous: 在老版的代码中还会读取ARP表中的IP地址,搜索共享文件: 将内置的字符串列表进行分类,发现不少敏感词汇。
关联分析在对老版的窃密模块进行分析时,我们发现老版并没有shellcode内存加载的行为,通过对新捕获窃密模块的shellcode进行分析关联,发现这套Shellcode不止应用于Ryuk的窃密模块,其背后应该存在一个分发商。 Shellcode对比图如下,左为关联的样本: 发现只有立即数不同其余完全相同,内存加载后发现是Phobos勒索软件: 在另一个关联样本中,shellcode对比图,左为关联样本: 内存加载后为Hermes勒索软件: 除了投放勒索软件,该分发商还会投放Spy类的软件,限于篇幅就不一一分析了。 目前,越来越多的勒索软件开始加入信息窃取的行列中,DoppelPaymer最近在其勒索信中宣布如果不支付赎金将会发布或出售窃取的信息。 在地下论坛中,勒索交易已然成为常态,出售勒索的代理商或者开发者比比皆是: 而有些开发者正在寻求分发商: 可见,窃密模块开发者,与勒索软件分发商的完美融合,或将给业界造成更大的打击。 总结基于奇安信的多维度大数据关联分析,我们发现早在2019年九月份时Ryuk就已经使用“窃密”模块搜集被害者信息。已经监控到老版“窃密”模块已有国内用户中招,由于C2服务器早已失效,故损失面积较小:最新捕获的“窃密”模块暂无用户中招。 因此,鉴于国内有用户中招,奇安信病毒响应中心提醒用户,疫情在家远程办公,不要点击来源不明的邮件和可执行文件,同时提高个人的安全意识,从而可以防止用户隐私信息被盗取的风险,奇安信病毒响应中心会持续对勒索软件窃密趋势进行跟踪。 同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对该家族的精确检测。 IOCMD5: fab16b4acf2515cd6b86f70531a05664 d1271a784906a817308eced597873667 73bbbc8ae0c442025a926402c114bd1e FTP: 66.42.108.141 66.42.76.46 |
|