2016年3月9日,Cyphort实验室里发现了一个受感染的H网站(keng94.com),它会将游客导向去下载工具包,最后安装上一个勒索赎金软件。这个网站会将用户导向rg.foldersasap.com,它的页面上挂了恶意flash文件和恶意二进制文件。
该二进制文件在网络传输中加密,然后解密储存在%temp%文件夹。这个二进制文件是一个新型恶意木马下载者,但是我们发现里面会多次引用“FA”字符串,这勾起了我们研究这个特别恶意软件的心思:
ItsMeFA “version_fa” fa 155
它在注册表里添加了一个自启动的键值,并把自己复制到开始菜单,以便在每次启动时执行。它创建了文件“C:/Users/Public/Music/Microsoft/Windows/Manifest/torrc”,这是一个Tor配置文件。该配置文件会启动一个“Tor隐藏服务”,我们可以在1060端口看到它:
在创建torrc文件以后,它会从 http://myfiles.pro/uploads/1275859359.Gaga.mp3 下载一个文件,然后将其存储为“C:/Users/Public/Music/Microsoft/Windows/Manifest/tor.exe”。
这个文件实际上是一个exe文件,但是伪装成了MP3。在开始时,它是这样的:
C:/Users/Public/Music/Microsoft/Windows/Manifest/tor.exe -f torrc
通常Tor的执行过程中,会创建下面的文件:
作为一个隐藏的服务,Tor会在机器上生成一个onion地址(比如:43zri2d6x2rruezl.onion),然后将其写入“hostname”文件。它会用这个Tor隐藏服务去下载最终的payload。Tor隐藏服务允许黑客隐藏Tor里的恶意网络活动。几分钟后,下面的窗口会覆盖整个屏幕,然后你电脑就用不了了:
因为它锁定了我们的系统,我们想过在安全模式启动它并且进行调查,不过因为某种原因并没有实行。我们决定离线对其分析,通过 Volatility 来分析其内存镜像。
我们获取了内存的dump,然后使用pstree命令。接着发现,sd_app.exe是最终进程产生的,它也会产生另一个tor的实例,这可能是下载app和锁住我们屏幕的元凶。
为了证实这一点,我们使用“wintree”命令列出了可见的窗口,甄别是哪个进程锁定了我们的屏幕,最后同样发现了sd_app.exe。
接着,我们用进程“id”和“cmdline”命令,确认文件的完整路径:
我们dump了盘里的内容,发现了添加了下面列表里的文件:
图中的.bat文件使用bcedit禁用了高级启动项,这也是我们不能安全模式启动的原因。
使用VirusTotal服务,我们查询到了四个相似的样本。这样的样本首次出现是在2016年2月1日,当时检测率很低。这些文件也有签名,但是证书其实是无效的。资料显示这些文件可能源于俄罗斯或者乌克兰:
sd_app变种也进行了签名,但是其中两个文件仍然没有检测出来:
我们还发现了上传的文件中,代码里有调试打印,文件从乌克兰上传。这些表明了始作俑者使用了VirusTotal,以此来检测是否他们的恶意软件会被启发式软件所检测。第一个在该网站中上传的变种版本为0.01a-154d:
WIN32-VS-x32-RELEASE-Feb 1 2016-15:33:48 v.0.01a-154d
我们得到的版本号为0.02a-155,这意味着该恶意软件已经得到了很大的成长。
自我们看到网络中有勒索赎金软件的新家族已经有一段时间了,可能是由于Cryptolocker、Cryptowall、Locky等软件的成功吧。同时,使用rescue discs可以清理勒索赎金软件,使它们不再产生价值。然而,这个新发现的恶意软件也是勒索赎金软件的进步,它可以通过Tor同CnC服务器进行通信。在使用Tor后,黑客在进行恶意网络活动时,能增加其隐藏性。同时,当黑客锁定了你的电脑时,他们会创建Tor隐藏服务,黑客能利用你的系统进行比特币支付或其他恶意活动。正如研究人员所发现的那样,勒索赎金软件的垃圾邮件行为会使用Tor隐藏服务。我们也相信,这款恶意软件还在早期发展阶段,这些小动作只是在试水。
木马下载者hash:
5ed449fc2385896f8616e5cd7bee3f31 3a00058ccaee78805f539f2f6a259e92 d183ed4609e6ad7b00250c50a963db5d 6af38533fc8621128e943488a6f189ed fb016a14ef1384ec78a284636631ab17
锁屏hash
29e71b864ac46bd3e2c216cce0403114 639c62bcae61054a229ed3c79a109cc4 092b9e87bd75384df188feb2c4e402a2 e8231d2b7a04a5826a78b2908a1dd393
Mutex名
ItsMeFA ItsMeSD
*参考来源: cyphort ,FB小编dawner编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)