记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

FireEye安全报告:Magnitude EK分发新型勒索软件,专注于感染韩国目标

2017-10-24 05:35

背景介绍

自2016年年底以来,漏洞开发工具包(EK)的使用率一直在下降;然而,某些活动却依然保持着一致的活跃度,Magnitude EK就是典型的例子,它持续不断地感染用户,尤其是亚太地区的。

基于FireEye的动态威胁情报平台(DTI)整理出的2017年3月份的数据,可以看到Magnitude EK在2016年最后三个月和2017年前三个月的活动中感染目标地区分布的情况。

图1: Magnitude EK的分布情况(2016.10~2017.03)

这种趋势一直持续到2017年9月下旬,Magnitude EK的感染目标主要集中在亚太地区,其中有大量是针对韩国的。经过短暂的停歇,自2017年10月15日重新活跃后,Magnitude EK开始专注于韩国。此前Magnitude EK会分发Cerber 勒索软件,但目前通过电子邮件检测的结果可以看出Cerber的分布量有所下降,现在开始分发一种被称为Magniber的勒索软件。

分析 Magnitude EK的新活动

 1)感染

Magnitude EK 于10月15日首次再现,检测到一个恶意广告重定向域名:fastprofit[.]loan。感染链如下图2所示。

图2:感染链

Magnitude EK 的着陆页面包含 CVE-2016-0189漏洞,该漏洞第一次被FireEye报道是在Neutrino EK的相关文章中。下图3显示了登陆页面和CVE漏洞的用法。

图3:Magnitude EK着陆页面

与之前的情况一致,Magnitude EK的有效载荷通过一个普通的EXE下载(见下图4)被下载,托管域名基础设施的服务器为:

“Apache/2.2.15 (CentOS) DAV/2 mod_fastcgi/2.4.6”

图4:Magnitude有效载荷的头部和MZ的响应信息

2)有效载荷

在趋势科技发布的报告中提到, Magnitude EK分发一种被称为Magniber的勒索软件,该勒索软件的有效载荷似乎只瞄准韩国的系统,如果检测到系统语言不是韩语,有效载荷就不会执行。

Magniber使用AES128算法加密用户数据,DTI系统捕获到了一个活动中的样本(dc2a2b84da359881b9df1ec31d03c715)。值得注意的是,这个样本的Hash值与趋势科技报告中公布的不同,但是两者表现出了相同的行为和感染载体,且分发时间相同。

恶意软件的资源部分包含一个使用了反向RC4加密的二进制有效载荷,它开始将它从缓冲区的末端打开到开始。反向RC4解密密钥是一个包含非ASCII字符的30个字节长的字符串,示例如下:

  • dc2a2b84da359881b9df1ec31d03c715 RC4密钥:

    • { 0x6b,0xfe、0xC4,0x23,0xac,0x50,0xd7,0x91,0xac,0x06,0xb0,0xa6,0x65,0x89,0x6a,0xcc,0x05,0xba,0xd7,0x83,0x04,0x90,0x2a,0x93,0x8d,0x2d,0x5c,0xc7,0xf7,0x3f }

恶意软件调用GetSystemDefaultUILanguage进行检测,如果感染目标的系统语言不是韩语,则会退出(指令如下图5所示)。在内存中解包后,恶意软件开始执行解包后的有效载荷。

图5:检查系统语言是否为韩语

恶意软件创建了一个名为“ihsdj”的互斥体,以便于组织多个执行。有效载荷基于CPU的时钟多次调用GetTickCount函数产生一个包含19个字符的伪随机字符串,这个字符串被用来创建一个用户%temp%目录下的文件(如“xxxxxxxxxxxxxxxxxxx.ihsdj”),其中包含AES128加密算法中的IV(初始化向量)和恶意软件本身名字“ihsdj .exe”的副本。

接下来,该恶意软件构建了4个用于回调的URLs,使用它之前生成的包含19字符的伪随机字符串,并使用域名清单创建URLs:

  • date

  • services

  • agency

  • world

为了逃避沙盒系统,恶意软件会检查是否运行在虚拟机中,并将结果福建到回调的URL里。调用RDTSC,并执行执行CPUID指令完成VMEXIT的过程如下图6所示:

 

图6:使用CPUID指令检测是否为虚拟机环境

在检测VM环境的过程中,会多次收集CPUID的平均执行时间,如果平均执行时间大于1000,则认为系统是一个虚拟机,这种情况下,恶意软件会在URL的结尾添加一个“1”(参见图7);否则,附加一个“0”。URL的格式如下所示:

  • http://[19 character pseudorandom string].[callback domain]/new[0 or 1]

示例如下:

  • http://7o12813k90oggw10277.bankme[.]date/new1

  • http://4bg8l9095z0287fm1j5.bankme[.]date/new0

图7:C&C(命令和控制)通信

如果恶意软件是在加密后被再次执行,回调URL结尾会附加“end0”或“end1”而不是“new”,示例如下:

  • hxxp://j2a3y50mi0a487230v1.bankme[.]date/end1

恶意软件之后就开始加密被感染系统上的用户文件,以“.ihsdj”为后缀将文件重命名,从样本中提取的AES128密钥和IV如下所示:

IV: EP866p5M93wDS513

AES128 密钥: S25943n9Gt099y4K

在用户的%TEMP%目录下会创建一个名为“READ_ME_FOR_DECRYPT_xxxxxxxxxxxxxxxxxxx_.txt”的文本文件,向用户显示赎金信息,如下图8所示:

图8:向被感染用户显示赎金消息

该恶意软件还添加了计划任务,以便使用兼容性助手从%TEMP%目录下运行它的副本,如下所示:

  • schtasks /create /SC MINUTE /MO 15 /tn ihsdj /TR “pcalua.exe -a %TEMP%\ihsdj.exe

  • schtasks /create /SC MINUTE /MO 15 /tn xxxxxxxxxxxxxxxxxxx /TR %TEMP%\READ_ME_FOR_DECRYPT_xxxxxxxxxxxxxxxxxxx_.txt

然后,恶意软件会发出一个命令,在退出后删除自己,命令如何:

  • cmd /c ping localhost -n 3 > nul & del C:\PATH\MALWARE.EXE)

恶意软件中解压有效载荷的Python代码使用了RC4反向加密,如下图所示:

图9:解包恶意软件有效载荷的Python脚本

结论

勒索软件对企业而言是一个重大威胁。虽然目前的威胁景观表明,很大一部分攻击来自电子邮件,但漏洞利用工具包(EK)对于用户的威胁依然存在,因此企业应尽可能的及时修复网络节点上所有的安全漏洞。

IOCs

恶意软件样本的哈希值

dc2a2b84da359881b9df1ec31d03c715(共享的解密密钥)

Malverstiser域名

fastprofit[.]loan

fastprofit[.]me

EK域名示例

3e37i982wb90j.fileice[.]services

a3co5a8iab2x24g90.helpraw[.]schule

2i1f3aadm8k.putback[.]space

C&C域名

3ee9fuop6ta4d6d60bt.bankme.date

3ee9fuop6ta4d6d60bt.jobsnot.services

3ee9fuop6ta4d6d60bt.carefit.agency

3ee9fuop6ta4d6d60bt.hotdisk.world

知识来源: www.mottoin.com/106554.html

阅读:100409 | 评论:0 | 标签:安全报告 EK工具包 FireEye 勒索软件 韩国目标

想收藏或者和大家分享这篇好文章→复制链接地址

“FireEye安全报告:Magnitude EK分发新型勒索软件,专注于感染韩国目标”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云