记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

新的恶意软件——Rakhni,可以用勒索软件或加密货币矿工来感染系统

2018-07-10 12:20

早在2013年,我们的恶意软件分析人员就发现了与Trojan-Ransom.Win32.Rakhni家族相关的第一批恶意样本。这是这个长期存在的,并且至今仍在运作的特洛伊木马家族的起点。在此期间,恶意软件作者作出了一些改变:

· 特洛伊木马获取密钥的方式(从本地生成到从C&C收到)

· 使用的算法(仅使用对称算法,到常用的对称+非对称方案,到同时使用18种对称算法)

· 加密库(LockBox,AESLib,DCPcrypt)

· 分发方法(从垃圾邮件到远程执行)

现在,犯罪分子已经决定为他们的作品添加一个新功能——挖矿功能。在本文中,我们描述了一个downloader,它决定如何感染受害者:使用加密器cryptor或使用矿工miner。

一、分发

1.攻击的地理分布

Trojan-Downloader.Win32.Rakhni分布图

被Trojan-Downloader.Win32.Rakhni攻击的前五个国家(按攻击用户的百分比排名):

1.png 

2.感染向量

据我们所知,垃圾邮件仍然是分发此恶意软件的主要方式。

携带恶意附件的Email

打开邮件附件后,系统会提示受害者保存文档并启用编辑。

Word文档附件

受害者预计将双击嵌入的PDF文件。但是,受害者打开的不是PDF而是启动了恶意可执行文件。

特洛伊木马程序启动前显示的UAC窗口

二、Downloader

1.一般信息

Downloader是用Delphi编写的可执行文件。为了使分析复杂化,恶意软件内的所有字符串都使用简单的代替密码进行加密。

执行后,Downloader会显示一个带有错误文本的消息框。此消息的目的是向受害者解释为什么没有打开PDF文件。

假错误信息

为了隐藏系统中恶意软件的存在,恶意软件开发人员让他们的作品看起来像Adobe Systems的产品。这反映在图标、可执行文件的名称以及使用Adobe Systems Incorporated的虚假数字签名中。此外,在安装有效载荷之前,Downloader会向地址www.adobe.com发送HTTP请求。

2.环境检测

消息框关闭后,恶意软件会对受感染的计算机执行多项检查:

(1)自我检查

· 名称应包含子字符串AdobeReader

· 路径应包含以下子字符串之一:

\TEMP

\TMP

\STARTUP

\CONTENT.IE

· 注册表检查

检查注册表中有没有HKCU\Software\Adobe\DAVersion,如果没有,则恶意软件创建HKCU\Software\Adobe\DAVersion = True并继续其工作。

(2)运行进程检查

· 检查正在运行的进程数是否大于26

· 检查下表中列出的所有进程是否都不存在

11_副本.png

(3)计算机名检查

· 计算机名不应包含以下任何子字符串:

-MALTEST

AHNLAB

WILBERT-

FIREEYES-

CUCKOO

RSWT-

FORTINET-

GITSTEST

· 以小写形式计算计算机名的MD5,并将其与一百个列入黑名单的值进行比较

(4)IP地址检查

获取计算机的外部IP地址,并将其与硬编码值进行比较。

(5)虚拟机检查

· 检查以下注册表项是否不存在:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions

HKLM\SOFTWARE\Oracle\VirtualBox Guest Additions

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Sandboxie

HKLM\SYSTEM\ControlSet002\Enum\VMBUS

HKLM\HARDWARE\ACPI\DSDT\VBOX

HKLM\HARDWARE\ACPI\DSDT\VirtualBox

HKLM\HARDWARE\ACPI\DSDT\Parallels Workstation

HKLM\HARDWARE\ACPI\DSDT\PRLS

HKLM\HARDWARE\ACPI\DSDT\Virtual PC

HKLM\HARDWARE\ACPI\SDT\AMIBI

HKLM\HARDWARE\ACPI\DSDT\VMware Workstation

HKLM\HARDWARE\ACPI\DSDT\PTLTD

HKLM\SOFTWARE\SandboxieAutoExec

HKLM\SOFTWARE\Classes\Folder\shell\sandbox

· 检查以下注册表值是否不存在:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\OpenGLDrivers\VBoxOGL\Dll=VBoxOGL.dll

HKLM\\SYSTEM\CurrentControlSet\services\Disk\Enum\0=Virtual

HKLM\\SYSTEM\ControlSet001\Control\SystemInformation\SystemProductName=VirtualBox

· 检查下表中列出的所有进程是否都不存在

2.png

如果至少一个检查失败,则downloader结束该过程。

3.证书安装

Downloader会安装存储在其资源中的根证书。所有下载的恶意可执行文件都使用此证书签名。我们发现了声称由微软公司和Adobe Systems Incorporated发行的假证书。

假Microsoft Corporation证书

假Adobe Systems Incorporated证书

使用标准实用程序CertMgr.exe安装存储在资源中的证书。

包含在downloader中的资源

在安装证书之前,Downloader会将必要的文件从资源中释放到%TEMP%目录。

假证书和CertMgr.exe

然后执行以下命令:

CertMgr.exe -add -c 179mqn7h0c.cer -s -r localMachine root

4.主决定

下载cryptor或miner的决定取决于文件夹%AppData%/Bitcoin的存在。如果文件夹存在,则Downloader决定下载cryptor。如果文件夹不存在且机器有两个以上的逻辑处理器,则下载miner。如果没有文件夹而只有一个逻辑处理器,则Downloader将跳转到其蠕虫组件,这将在本文的相应部分中进行描述。

Cryptor决定

特洛伊木马程序会下载包含cryptor模块的受密码保护的存档。存档将下载到启动目录(C:\Documents and Settings\username\Start Menu\Programs\Startup),然后Downloader使用命令行WinRAR工具将其解压。cryptor可执行文件命名为taskhost.exe。

执行后,cryptor如同安装程序一样执行环境检查。此外,它将在Downloader决定后检查它是否正在运行(通过检查注册表值HKCU\Software\Adobe\DAVersion是否存在)。

有趣的是,系统闲置至少两分钟,cryptor才会开始工作。在加密文件之前,cryptor会终止以下进程:

111111111111111111.png

此外,如果没有运行avp.exe进程,则cryptor将删除卷影副本。

cryptor使用以下扩展名加密文件:

“.ebd”, “.jbc”, “.pst”, “.ost”, “.tib”, “.tbk”, “.bak”, “.bac”, “.abk”, “.as4”, “.asd”, “.ashbak”, “.backup”, “.bck”, “.bdb”, “.bk1”, “.bkc”, “.bkf”, “.bkp”, “.boe”, “.bpa”, “.bpd”, “.bup”, “.cmb”, “.fbf”, “.fbw”, “.fh”, “.ful”, “.gho”, “.ipd”, “.nb7”, “.nba”, “.nbd”, “.nbf”, “.nbi”, “.nbu”, “.nco”, “.oeb”, “.old”, “.qic”, “.sn1”, “.sn2”, “.sna”, “.spi”, “.stg”, “.uci”, “.win”, “.xbk”, “.iso”, “.htm”, “.html”, “.mht”, “.p7”, “.p7c”, “.pem”, “.sgn”, “.sec”, “.cer”, “.csr”, “.djvu”, “.der”, “.stl”, “.crt”, “.p7b”, “.pfx”, “.fb”, “.fb2”, “.tif”, “.tiff”, “.pdf”, “.doc”, “.docx”, “.docm”, “.rtf”, “.xls”, “.xlsx”, “.xlsm”, “.ppt”, “.pptx”, “.ppsx”, “.txt”, “.cdr”, “.jpe”, “.jpg”, “.jpeg”, “.png”, “.bmp”, “.jiff”, “.jpf”, “.ply”, “.pov”, “.raw”, “.cf”, “.cfn”, “.tbn”, “.xcf”, “.xof”, “.key”, “.eml”, “.tbb”, “.dwf”, “.egg”, “.fc2”, “.fcz”, “.fg”, “.fp3”, “.pab”, “.oab”, “.psd”, “.psb”, “.pcx”, “.dwg”, “.dws”, “.dxe”, “.zip”, “.zipx”, “.7z”, “.rar”, “.rev”, “.afp”, “.bfa”, “.bpk”, “.bsk”, “.enc”, “.rzk”, “.rzx”, “.sef”, “.shy”, “.snk”, “.accdb”, “.ldf”, “.accdc”, “.adp”, “.dbc”, “.dbx”, “.dbf”, “.dbt”, “.dxl”, “.edb”, “.eql”, “.mdb”, “.mxl”, “.mdf”, “.sql”, “.sqlite”, “.sqlite3”, “.sqlitedb”, “.kdb”, “.kdbx”, “.1cd”, “.dt”, “.erf”, “.lgp”, “.md”, “.epf”, “.efb”, “.eis”, “.efn”, “.emd”, “.emr”, “.end”, “.eog”, “.erb”, “.ebn”, “.ebb”, “.prefab”, “.jif”, “.wor”, “.csv”, “.msg”, “.msf”, “.kwm”, “.pwm”, “.ai”, “.eps”, “.abd”, “.repx”, “.oxps”, “.dot”.

加密后,文件扩展名将更改为.neitrino。

文件使用RSA-1024加密算法加密。解密文件所需的信息通过电子邮件发送给攻击者。

在每个加密目录中,cryptor创建一个MESSAGE.txt文件,其中包含以下内容:

勒索信息

Miner决定

除了下载文件夹之外,miner的下载过程是相同的——miner被保存到路径%AppData%\ KB <8_random_chars>,其中<8_random_chars>,顾名思义,是由字母数字字符构成的字符串[0 -9a-Z]。

下载并使用解压缩归档后,特洛伊木马会执行以下操作:

(1)首先,它会生成一个VBS脚本,该脚本将在操作系统重启后启动。该脚本的名称为Check_Updates.vbs。此脚本包含两个用于挖矿的命令:

· 第一个命令将启动一个挖掘Monero币的进程;

· 第二个命令将启动一个挖掘加密货币Monero Original的过程。可执行文件所在的子文件夹的名称(cuda)表明此可执行文件将使用GPU功能进行挖掘。

Check_Updates.vbs文件的内容

(2)然后,如果存在名为%AppData%\KB<8_random_chars>\svchost.exe的文件,则特洛伊木马会执行该文件以挖掘Dashcoin币。

挖掘Dashcoin的进程

执行此分析时,Downloader正在接收一个未使用GPU的miner的存档。攻击者使用MinerGate的控制台版本进行挖掘。

检查挖掘程序

为了将miner伪装成可信进程,攻击者使用虚假的Microsoft Corporation证书对其进行签名并调用svchost.exe。

5.禁用Windows Defender

无论是选择了cryptor还是miner,downloaded都会检查是否启动了以下AV进程之一:

2222222222222222222.png

如果系统中未找到AV进程,则特洛伊木马将运行几个cmd命令,这些命令将禁用系统中的Windows Defender:

· cmd /C powershell Set-MpPreference -DisableRealtimeMonitoring $true

· cmd /C powershell Set-MpPreference -MAPSReporting 0

· cmd /C powershell Set-MpPreference -SubmitSamplesConsent 2

· taskkill /IM MSASCuiL.exe

· cmd /C REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v HideSCAHealth /t REGDWORD /d 1 /f

· cmd /C REG ADD HKCU\Software\Policies\Microsoft\Windows\Explorer /v DisableNotificationCenter /t REGDWORD /d 1 /f

· cmd /C REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v SecurityHealth /f

· cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender /v DisableAntiSpyware /t REGDWORD /d 1 /f

· cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender /v AllowFastServiceStartup /t REGDWORD /d 0 /f

· cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender /v ServiceKeepAlive /t REGDWORD /d 0 /f

· cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection /v DisableIOAVProtection /t REGDWORD /d 1 /f

· cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection /v DisableRealtimeMonitoring /t REGDWORD /d 1 /f

· cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet /v DisableBlockAtFirstSeen /t REGDWORD /d 1 /f

· cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet /v LocalSettingOverrideSpynetReporting /t REGDWORD /d 0 /f

· cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet /v SubmitSamplesConsent /t REGDWORD /d 2 /f

· cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\UX Configuration /v NotificationSuppress /t REGDWORD /d 1 /f

6.发送统计信息

Downloader和cryptor将带有统计信息的电子邮件发送到硬编码地址。这些消息包含有关当前感染状态的信息以及其他详细信息,例如:

· 计算机名

· IP地址

· 恶意软件在系统中的路径

· 恶意软件创建时间

Downloader发送以下状态:

1.png

cryptor发送以下状态:

2.png

另一个有趣的事实是,Downloader还具有一些间谍软件功能——其消息包括正在运行的进程列表和带有屏幕截图的附件。

7.蠕虫组件

作为最后一个操作,Downloader尝试将自身复制到本地网络中的所有计算机。为此,它调用系统命令'net view / all'返回所有共享,然后特洛伊木马创建包含具有共享资源的计算机名称的list.log文件。对于文件中列出的每台计算机,特洛伊木马会检查文件夹是否共享,如果是,则恶意软件将自身复制到每个用户都可以访问的文件夹\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 。

8.自删除

在关闭恶意软件之前,会创建一个批处理文件,删除在感染过程中创建的所有“临时”文件。这是恶意软件的常见做法。我们感兴趣的是使用的Goto标签'malner'。也许这是犯罪分子使用“malware”和“miner”的写照。

svchost.bat文件的内容

三、检测判决

我们的产品使用以下判决检测此处描述的恶意软件:

· Downloader: Trojan-Downloader.Win32.Rakhni.pwc

· Miner: not-a-virus:RiskTool.Win32.BitCoinMiner.iauu

· Cryptor: Trojan-Ransom.Win32.Rakhni.wbrf

此外,系统监视器组件检测到所有恶意软件样本。

IoCs

恶意文档: 81C0DEDFA5CB858540D3DF459018172A

Downloader: F4EC1E3270D62DD4D542F286797877E3

Miner: BFF4503FF1650D8680F8E217E899C8F4

Cryptor: 96F460D5598269F45BCEAAED81F42E9B

URLs

hxxp://protnex[.]pw

hxxp://biserdio[.]pw

本文翻译自:https://securelist.com/to-crypt-or-to-mine-that-is-the-question/86307/如若转载,请注明原文地址: http://www.hackdig.com/07/hack-52378.htm
知识来源: www.4hou.com/technology/12451.html

阅读:40895 | 评论:0 | 标签:技术 恶意软件 加密

想收藏或者和大家分享这篇好文章→复制链接地址

“新的恶意软件——Rakhni,可以用勒索软件或加密货币矿工来感染系统”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云