频道栏目
首页 > 资讯 > 加密解密 > 正文

Cyphort实验室发现一个受感染的H网站会误导游客去下载工具包

16-03-25        来源:[db:作者]  
收藏   我要投稿

 

logo.jpg

 

2016年3月9日,Cyphort实验室里发现了一个受感染的H网站(keng94.com),它会将游客导向去下载工具包,最后安装上一个勒索赎金软件。这个网站会将用户导向rg.foldersasap.com,它的页面上挂了恶意flash文件和恶意二进制文件。

 

Clipboard Image.png

 

行为特征分析

该二进制文件在网络传输中加密,然后解密储存在%temp%文件夹。这个二进制文件是一个新型恶意木马下载者,但是我们发现里面会多次引用“FA”字符串,这勾起了我们研究这个特别恶意软件的心思:

 


ItsMeFA

“version_fa”

fa 155

 

它在注册表里添加了一个自启动的键值,并把自己复制到开始菜单,以便在每次启动时执行。它创建了文件“C:\Users\Public\Music\Microsoft\Windows\Manifest\torrc”,这是一个Tor配置文件。该配置文件会启动一个“Tor隐藏服务”,我们可以在1060端口看到它:

 

Clipboard Image.png

 

在创建torrc文件以后,它会从http://myfiles.pro/uploads/1275859359.Gaga.mp3下载一个文件,然后将其存储为“C:\Users\Public\Music\Microsoft\Windows\Manifest\tor.exe”。

这个文件实际上是一个exe文件,但是伪装成了MP3。在开始时,它是这样的:

 

C:\Users\Public\Music\Microsoft\Windows\Manifest\tor.exe -f torrc

 

通常Tor的执行过程中,会创建下面的文件:

 

Clipboard Image.png

 

作为一个隐藏的服务,Tor会在机器上生成一个onion地址(比如:43zri2d6x2rruezl.onion),然后将其写入“hostname”文件。它会用这个Tor隐藏服务去下载最终的payload。Tor隐藏服务允许黑客隐藏Tor里的恶意网络活动。几分钟后,下面的窗口会覆盖整个屏幕,然后你电脑就用不了了:

 

Clipboard Image.png

 

因为它锁定了我们的系统,我们想过在安全模式启动它并且进行调查,不过因为某种原因并没有实行。我们决定离线对其分析,通过Volatility来分析其内存镜像。

使用Volatility来发现恶意软件

我们获取了内存的dump,然后使用pstree命令。接着发现,sd_app.exe是最终进程产生的,它也会产生另一个tor的实例,这可能是下载app和锁住我们屏幕的元凶。

 

Clipboard Image.png

 

为了证实这一点,我们使用“wintree”命令列出了可见的窗口,甄别是哪个进程锁定了我们的屏幕,最后同样发现了sd_app.exe。

 

Clipboard Image.png

 

接着,我们用进程“id”和“cmdline”命令,确认文件的完整路径:

 

Clipboard Image.png

 

我们dump了盘里的内容,发现了添加了下面列表里的文件:

 

Clipboard Image.png

 

图中的.bat文件使用bcedit禁用了高级启动项,这也是我们不能安全模式启动的原因。

 

Clipboard Image.png

 

真实网络中

使用VirusTotal服务,我们查询到了四个相似的样本。这样的样本首次出现是在2016年2月1日,当时检测率很低。这些文件也有签名,但是证书其实是无效的。资料显示这些文件可能源于俄罗斯或者乌克兰:

 

Clipboard Image.png

 

sd_app变种也进行了签名,但是其中两个文件仍然没有检测出来:

 

Clipboard Image.png

 

我们还发现了上传的文件中,代码里有调试打印,文件从乌克兰上传。这些表明了始作俑者使用了VirusTotal,以此来检测是否他们的恶意软件会被启发式软件所检测。第一个在该网站中上传的变种版本为0.01a-154d:

 

WIN32-VS-x32-RELEASE-Feb  1 2016-15:33:48 v.0.01a-154d

 

我们得到的版本号为0.02a-155,这意味着该恶意软件已经得到了很大的成长。

结论

自我们看到网络中有勒索赎金软件的新家族已经有一段时间了,可能是由于Cryptolocker、Cryptowall、Locky等软件的成功吧。同时,使用rescue discs可以清理勒索赎金软件,使它们不再产生价值。然而,这个新发现的恶意软件也是勒索赎金软件的进步,它可以通过Tor同CnC服务器进行通信。在使用Tor后,黑客在进行恶意网络活动时,能增加其隐藏性。同时,当黑客锁定了你的电脑时,他们会创建Tor隐藏服务,黑客能利用你的系统进行比特币支付或其他恶意活动。正如研究人员所发现的那样,勒索赎金软件的垃圾邮件行为会使用Tor隐藏服务。我们也相信,这款恶意软件还在早期发展阶段,这些小动作只是在试水。

IOCs

木马下载者hash:

 


5ed449fc2385896f8616e5cd7bee3f31

3a00058ccaee78805f539f2f6a259e92

d183ed4609e6ad7b00250c50a963db5d

6af38533fc8621128e943488a6f189ed

fb016a14ef1384ec78a284636631ab17

 

锁屏hash

 


29e71b864ac46bd3e2c216cce0403114

639c62bcae61054a229ed3c79a109cc4

092b9e87bd75384df188feb2c4e402a2

e8231d2b7a04a5826a78b2908a1dd393

 

Mutex名

 


ItsMeFA

ItsMeSD

相关TAG标签
上一篇:使用WinDbg调试Windows内核过程分析(二)
下一篇:微软SQL Server透明数据TDE加密及破解分析(上)
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站