PyLocky勒索軟體分析
雖然勒索軟體在今天的威脅形勢中明顯受到限制,但它仍然是網路犯罪的主要內容。事實上,在2018年上半年,勒索活動略有增加,通過不斷變種來繞過安全解決方案,保持與時俱進,在這個案例中, PyLocky勒索軟體(由趨勢科技檢測為RANSOM_PYLOCKY.A)偽裝成 ofollow,noindex">已存在的勒索軟體 ,並且跟他們一樣聲名狼藉,甚至有過之而無不及。
在7月下旬和整個8月,我們觀察到大量垃圾郵件在傳播PyLocky勒索軟體。儘管它在勒索信中號稱是Locky,但PyLocky與Locky無關。 PyLocky是用Python編寫的, 並與PyInstaller一起打包,PyInstaller是一個用於將基於Python的程式打包為獨立可執行檔案的工具。
用Python編寫的勒索軟體並不新鮮, 2016年的 Crypy (RANSOM_CRYPY.A),和2017年的 Pyl33t (RANSOM_CRYPPYT.A)就是用Python寫的。 但PyLocky有反機器學習能力,這點使得它更加突出。通過結合使用Inno Setup Installer(一個基於開源指令碼的安裝程式)和PyInstaller,它對靜態分析方法發起了挑戰,包括基於機器學習的解決方案 。
PyLocky的分佈似乎也比較集中; 我們看到了一些針對歐洲國家的垃圾郵件,特別是法國。雖然垃圾郵件剛開始傳播時範圍很小,但其數量和範圍最終都會不斷增加,下圖是8月2號和8月24號pylocky分佈的對比圖:
Pylocky勒索信偽裝成Locky勒索軟體,如圖:
感染鏈
8月2日,我們檢測到垃圾郵件將PyLocky傳送給法國企業,並通過社工主題來誘騙他們,比如與發票有關的主題。該電子郵件誘使使用者單擊連結,該連結將使用者重定向到包含PyLocky的惡意URL,如圖:
惡意URL是一個zip檔案下載(Facture_23100.31.07.2018.zip),包含已簽名的可執行檔案(Facture_23100.31.07.2018.exe)。一旦成功執行後,Facture_23100.31.07.2018.exe將刪除惡意軟體元件(幾個C ++和Python庫以及Python 2.7 Core DLL) 以及C:\Users\{user}\AppData\Local\Temp\is- {random} .tmp目錄中的主要勒索軟體可執行檔案(通過PyInstaller生成的lockyfud.exe),如圖:
上圖是ZIP檔案的數字簽名信息(digital signature information)。
下面這張圖是與PyLocky有關的惡意元件,如圖:
PyLocky會加密影象,視訊,文件,聲音,程式,遊戲,資料庫和存檔檔案等。以下是PyLocky加密的檔案型別列表:
這個程式碼片段顯示了PyLocky查詢系統屬性並且配置為sleep一段時間來逃逸傳統sandbox解決方案。
加密程式
PyLocky配置為加密硬編碼的副檔名列表。PyLocky還濫用Windows Management Instrumentation(WMI)來檢查被感染系統的屬性。如果被感染系統的總可見記憶體大小小於4GB,那麼PyLocky的反沙箱功能將會休眠999,999秒—差不多11.5天。如果可見記憶體大小大於或等於4GB,則加密程式直接執行。
加密後,PyLocky將與其C&C伺服器建立通訊。PyLocky使用PyCrypto庫實現其加密程式 — 使用3DES(Triple DES)密碼。PyLocky會遍歷每個邏輯驅動器,在呼叫'efile'方法之前會先生成檔案列表,該方法對每個檔案進行加密,然後留下一封勒索信。
PyLocky的勒索信分為英語,法語,韓語和義大利語4個版本,這表明它也可能針對韓國和義大利使用者。它還通過POST方式將被感染系統的資訊傳送到C&C伺服器,如圖:
上面那張圖是PyLocky與C&C伺服器通訊的程式碼片段,下面那張圖是加密程式程式碼。
緩解措施和趨勢科技解決方案
PyLocky的逃逸技術和對管理員保留的合法工具的濫用進一步證明了深度防禦的重要性。例如,機器學習是檢測獨特惡意軟體非常不錯的網路安全手段,但它並不是靈丹妙藥,無法完全檢測到惡意軟體。在今天的威脅局勢下,攻擊者可以任意使用不同的攻擊向量,這使得多層次的安全方法變得尤為重要。最佳實踐的方法就是:定期備份檔案,保持系統更新,確保系統元件的安全使用,並培養網路安全意識。
趨勢科技XGen™ security 為資料中心、雲環境、網路和終端提供了針對各種威脅的防禦技術。它的特長就是高度機器學習,可保護閘道器終端資料和應用程式,並保護物理,虛擬和雲工作負載。藉助Web / URL過濾,行為分析和自定義沙盒等功能,XGen™可以防禦那些具有特定目的且能夠繞過傳統控制的威脅,這些威脅利用已知、未知或未公開的漏洞來竊取或加密個人身份識別資料。具備智慧,優化和連線的XGen™為趨勢科技的安全解決方案套件提供支援:混合雲安全,使用者保護和網路防禦。
入侵標誌
檢測到的雜湊值為RANSOM_PYLOCKY.A(SHA-256):
·c9c91b11059bd9ac3a0ad169deb513cef38b3d07213a5f916c3698bb4f407ffa
· 1569f6fd28c666241902a19b205ee8223d47cccdd08c92fc35e867c487ebc999
相關雜湊值(SHA-256):
· e172e4fa621845080893d72ecd0735f9a425a0c7775c7bc95c094ddf73d1f844(Facture_23100.31.07.2018.zip)
· 2a244721ff221172edb788715d11008f0ab50ad946592f355ba16ce97a23e055(Facture_23100.31.07.2018.exe)
· 87aadc95a8c9740f14b401bd6d7cc5ce2e2b9beec750f32d1d9c858bc101dffa(facture_31254872_18.08.23_ {numbers} .exe)
惡意URLs:
· hxxps://centredentairenantes [.]fr(C&Cserver)
· hxxps://panicpc[.]fr/client[.]php?fac=676171&u=0000EFC90103
· hxxps://savigneuxcom[.]securesitefr[.]com/client.php?fac=001838274191030