最近,Intezer和IBM X-Force IRIS研究團(tuán)隊(duì)發(fā)現(xiàn)了一種此前從未被公開(kāi)披露過(guò)的新型勒索軟件——PureLocker,能夠同時(shí)攻擊windows和linux操作系統(tǒng)。
據(jù)稱(chēng),PureLocker與后門(mén)惡意軟件“more_eggs”存在部分代碼重疊,并且已經(jīng)被Cobalt Gang和FIN6等多個(gè)黑客組織使用過(guò)。
初步分析
這里分析的PureLocker樣本是一個(gè)適用于Windows操作系統(tǒng)的版本,偽裝成一個(gè)名為“Crypto++”的C++加密庫(kù):
分析表明,該文件并不是一個(gè)C++加密庫(kù),而是一個(gè)可能與Cobalt Gang有關(guān)存在關(guān)聯(lián)的惡意二進(jìn)制文件,但代碼經(jīng)過(guò)了大幅修改。
深入觀察
樣本是采用PureBasic編寫(xiě)的,這是一種不太常用的編程語(yǔ)言,也就導(dǎo)致惡意軟件能夠順利繞過(guò)某些殺毒軟件的檢測(cè)。此外,PureBasic代碼還可以在Windows、Linux和OS-X之間移植,這就使得開(kāi)發(fā)適用于不同平臺(tái)的惡意軟件更加容易。
PureLocker被設(shè)計(jì)為由regsrv32.exe作為COM服務(wù)器DLL執(zhí)行,它將調(diào)用DllRegisterServer導(dǎo)出,惡意軟件的代碼駐留在導(dǎo)出中。
字符串被編碼并存儲(chǔ)為Unicode十六進(jìn)制字符串,通過(guò)調(diào)用字符串解碼函數(shù),可以根據(jù)需要對(duì)每個(gè)字符串進(jìn)行解碼。
代碼首先會(huì)檢查它是否正在按照攻擊者的意圖執(zhí)行,以及是否正在被分析或調(diào)試。有任何一項(xiàng)檢查不符,惡意軟件就會(huì)立即退出,但不會(huì)刪除自身:
一旦有效載荷執(zhí)行,惡意軟件就會(huì)立即刪除自身。
PureLocker很可能只是完整攻擊鏈的一部分
有幾個(gè)跡象表明,PureLocker很有可能只是一個(gè)高針對(duì)性、多階段攻擊的一部分。惡意軟件首先會(huì)檢查其自身是否是使用“/s/i”參數(shù)執(zhí)行的,這個(gè)參數(shù)的作用是指示regsrv32.exe安裝DLL組件而不引發(fā)任何對(duì)話(靜默):
稍后,惡意軟件會(huì)驗(yàn)證它是否確實(shí)由“regsrv32.exe”執(zhí)行,并驗(yàn)證其文件擴(kuò)展名是否為“.dll”或“.ocx”、計(jì)算機(jī)上的當(dāng)前年份是否為“2019”,以及是否具有管理員權(quán)限。有任何一項(xiàng)檢查不符,惡意軟件就將在不執(zhí)行任何惡意活動(dòng)的情況下退出。
這種行為在勒索軟件中并不常見(jiàn),勒索軟件通常傾向于感染盡可能多的受害者,以便獲取得盡可能多的收益。此外,被設(shè)計(jì)為以非常規(guī)方式執(zhí)行的DLL文件的行為也表明,該勒索軟件是多階段攻擊的后期組件。
規(guī)避和反分析技術(shù)
與其他勒索軟件不同,該惡意軟件通過(guò)手動(dòng)加載“ ntdll.dll”的另一個(gè)副本來(lái)使用反鉤掛技術(shù),并從此處手動(dòng)解析API地址,這么做的目的是逃避用戶模式下ntdll函數(shù)的掛鉤。盡管這是一個(gè)已知的技巧,但很少在勒索軟件中使用。
導(dǎo)入本身被存儲(chǔ)為32位哈希值,PureLocker使用了常規(guī)的哈希解析方法來(lái)獲取函數(shù)地址。
同樣值得注意的是,PureLocker使用的是ntdll.dll中的低級(jí)別Windows API函數(shù)來(lái)實(shí)現(xiàn)其大部分功能(kernel32.dll和advapi32.dll除外),尤其是用于文件操作。
除了利用advapi32.dll(RtlGenRandom)的SystemFunction036進(jìn)行偽隨機(jī)數(shù)生成外,它并不使用Windows Crypto API函數(shù),而是依賴于內(nèi)置的purebasic加密庫(kù)來(lái)滿足其加密需求。
加密和贖金票據(jù)
在完成了所有的反分析和完整性測(cè)試之后,PureLocker將繼續(xù)使用硬編碼的RSA密鑰,通過(guò)標(biāo)準(zhǔn)AES + RSA組合對(duì)受害者計(jì)算機(jī)上的文件進(jìn)行加密并添加“.CR1”擴(kuò)展名。(主要加密數(shù)據(jù)文件,并會(huì)根據(jù)特定文件的擴(kuò)展名跳過(guò)對(duì)可執(zhí)行文件的加密。)
然后,它會(huì)刪除原始文件,以防止恢復(fù)。
完成加密后,PureLocker會(huì)在用戶桌面上留下一個(gè)名為“YOUR_FILES.txt”的贖金票據(jù)。
代碼重疊和溯源
對(duì)代碼的分析表明,PureLocker與Cobalt Gang在其攻擊鏈中使用的特定組件存在代碼重疊——“more_eggs”JScript后門(mén)(也稱(chēng)為“SpicyOmelette”)的加載器組件。
不僅如此,“more_eggs”還被其他兩個(gè)黑客組織使用過(guò),包括黑客組織FIN6。
研究人員再將PureLocker與最近的“more_eggs”加載器組件樣本進(jìn)行對(duì)比后發(fā)現(xiàn),它們極有可能是同一伙人創(chuàng)建的,因?yàn)樗鼈兇嬖诤芏嘞嗨浦帲?/p>
- COM Server DLL組件都是使用PureBasic編寫(xiě)的;
- 載入有效載荷前,函數(shù)和代碼幾乎相同,且使用的是相同的逃避和反分析方法;
- 相同的字符串編碼和解碼方法。
結(jié)論
PureLocker并不是一種常規(guī)的勒索軟件,它沒(méi)有試圖感染盡可能多的受害者,而是盡可能地隱藏其意圖和功能。用于實(shí)現(xiàn)逃避和反分析的代碼似乎是直接從“more_eggs”加載器組件中復(fù)制過(guò)來(lái)的,這使得它能夠避開(kāi)自動(dòng)分析系統(tǒng)而不被發(fā)現(xiàn)。
由于PureLocker是作為一種惡意軟件即服務(wù)(MaaS)出售的,基于目前掌握的線索,還很難判定它是出自Cobalt Gang或FIN6,還是一個(gè)新的黑客組織之手。
