對UNNAMED1989勒索病毒的傳播及程式碼的相關分析
12月2日凌晨,360網際網路安全中心緊急釋出了關於最新勒索病毒UNNAMED1989的傳播情況和初步分析結論。2日早晨,我們還公佈瞭解密工具幫助中招使用者解密。經過一天時間,360又對該勒索病毒的傳播和程式碼進行了進一步的深入分析。
傳播渠道
該勒索病毒主要捆綁在刷量軟體、外掛、打碼軟體、私服等第三方開發的應用程式傳播,通過QQ、QQ群共享、網盤分享、論壇貼吧等形式將這些應用程式傳送給受害者。受害者執行後機器上就會感染下載器木馬,之後再由下載器木馬安裝其它惡意程式,這之中就包括本次傳播的UNNAMED1989勒索病毒。部分參與傳播本次勒索病毒的應用程式如下表所示。
| 應用程式檔名 |
MD5 |
| 大刷子.exe |
8f9463f9a9e56e8f97f30cd06dd2b7be |
| 更新器.exe |
9368b4b542a275b8d0a2b19601b5823e |
| 【蘇州vip】益農社全自動邀請_se.exe |
baff9b641d7baff59a33dfac1057c4a8 |
| 【白淺vip】掌上生活-20v1.0.exe |
d5f9cfa306bcdd50c3b271bfe01d81ff |
| [無驗證]【夜夜】海草公社邀請註冊1.1.exe |
42651293d5e0b970521a465d2c4928a6 |
| 【奪寶頭條】邀請閱讀v1.0.exe |
028c48146f08691ae8df95b237d39272 |
表1 部分參與傳播本次勒索病毒的應用程式資訊
經分析發現,這些下載器在程式碼風格上與此次勒索病毒高度一致,可能出自同一黑客(團伙)之手。下圖展示了這些應用程式與勒索病毒的一段程式碼對照:
圖1 傳播程式與勒索病毒部分程式碼對照
傳播過程
從感染下載器木馬,到被下發勒索病毒週期較長,部分受害者在中招多天之後才遭到勒索,很難關聯到是由於之前使用的一些外掛程式造成的。當受害者執行帶毒的外掛軟體時,軟體主程式會在多個目錄下釋放惡意檔案,其中部分釋放路徑如下表所示。
| %userprofile%\appdata\local\temp\9377.game\ |
| %userprofile%\appdata\local\temp\gamedown\009\ |
| %userprofile%\appdata\roaming\tencent\rtl\uistyle\x64\ |
| %userprofile%\appdata\roaming\tencent\rtl\uistyle\ |
表2 惡意檔案釋放路徑
釋放的惡意檔案是一組帶有匯入表DLL劫持的“白利用”組合(該技術在國內病毒製作圈中非常流行),攻擊者通過DLL劫持的方式劫持合法程式執行流程,使“正常”程式執行惡意程式碼,試圖躲避防毒軟體查殺。攻擊者使用的三組“白利用”如表3所示。
| 合法程式MD5 |
“白利用”惡意程式MD5 |
| 495ae240d5cd6c9269815f3b90f0522a |
43079041ef46324f86ac9afc96169104 |
| 74828b11ba45d85ccd069559a4cf56fa |
847bcf6655db46673ad135997de77cf2 |
| e59e119b3b2d3fe2a8ac8857c7dcecfc |
6455b968e811041998c384d6826814df |
表3 攻擊者使用的三組“白利用”
這三組“白利用”被用做木馬下載器使用,長期駐留使用者系統。攻擊者在其豆瓣主頁以及github中儲存一組加密的控制指令,下載器讀取到指令後解密獲得下階段木馬程式下載URL。圖4展示了儲存在攻擊者豆瓣主頁的加密字串。圖5則展示了字串解密後的配置檔案內容。
圖4 儲存在豆瓣的加密字串
圖5 解密後的配置檔案內容
程式獲取到的下階段木馬下載URL指向一張由正常圖片和壓縮包拼接而成的圖片,通過擷取圖片並解壓檔案能夠獲取下一階段程式。圖5展示了圖片的十六進位制內容,可以明顯看見zip壓縮包的檔案頭部。
圖6 程式下載的由正常圖片和壓縮包拼接而成的圖片
之後的木馬程式會從網路上下載更多拼接了惡意檔案的圖片並提取惡意檔案。根據我們分析發現,攻擊者不僅通過該方式往受害者機器上植入勒索病毒,還植入過盜號木馬。這些惡意程式會注入到合法程序中工作,並帶有更新功能,通過獲取攻擊者豆瓣主頁上的字串獲取更新地址,以根據情況更改植入受害者計算機的惡意程式。
圖7 木馬程式中硬編碼的下載地址
在11月19日開始,攻擊者開始通過上述方式向用戶計算機中植入名為realtekarm.dll.aux的惡意程式並在機器中持續駐留。之後realtekarm.dll.aux作為下載器以相同方式下載勒索病毒相關檔案。並將勒索病毒寫入了使用者計算機的啟動項,在使用者下次啟動計算機時,檔案就會被加密。該勒索病毒同樣是通過DLL劫持方式,劫持正常程式執行其病毒功能。
圖8 攻擊者釋放的勒索病毒相關檔案
圖9 被加入啟動項的勒索病毒及命令列
根據360網際網路安全中心根據傳播此次勒索病毒的下載器所請求的域名進行了統計,下圖展示的就是下載器自11月16日起,對其相關域名進行請求的PV和UV波動趨勢,在一定程度上也可反映出該勒索病毒的傳播趨勢。
圖10 傳播本次勒索病毒的下載器對相關域名請求的波動趨勢
勒索病毒分析
勒索病毒執行後,會加密桌面上以及除了C盤外的其他磁碟中的檔案。在加密檔案型別選擇上,除了應用程式執行時所需要的檔案型別——例如exe、dll、ini等——被放過之外,其他檔案均被加密。這也造成使用者文件、圖片等重要檔案被加密。
圖11 勒索病毒放過的檔案型別
在加密演算法上,該勒索病毒選擇了極為簡單的異或加密。首先將特定識別符號、版本資訊以及隨機字串進行簡單處理後存放在C:\Users\unname_1989\dataFile路徑下,檔名為appCfg.cfg。
圖12 生成金鑰存放到appCfg.cfg中
加密檔案時,從第120位讀取appCfg.cfg中的金鑰,與硬編碼在程式中的字串按位異或之後,作為加密金鑰與待加密檔案內容按位異或。
圖13 勒索病毒加密過程
因為加密檔案通過簡單的異或演算法實現,因此該勒索病毒是可解的。同時,由於appCfg.cfg中存放的金鑰包含隨機生成的部分,因此受害使用者需要保留該檔案以進行解密。
一些建議
- 不要相信刷量、外掛、打碼、私服等一些較為灰色的軟體所聲稱的“防毒軟體誤報論”。
- 對來自即時通訊軟體或郵件附件中的陌生軟體要提高警惕。儘可能不下載、不執行,如確實需要,一定要提前用安全軟體進行查殺以保障安全。
- 養成良好的安全習慣,即使更新系統和軟體,修補漏洞。不給黑客和惡意程式可乘之機。
- 360安全衛士可正常攔截該病毒攻擊,並可解密已被該勒索病毒加密的檔案,請即使安裝和確保其正常執行
圖14 360安全衛士可正常攔截本次勒索病毒
圖15 360解密大師可成功解密被該勒索病毒加密的檔案
IOC/">IOCs
566bb1d3c05d4eb94e634e16e3afcc33
8f9463f9a9e56e8f97f30cd06dd2b7be
baff9b641d7baff59a33dfac1057c4a8
d5f9cfa306bcdd50c3b271bfe01d81ff
42651293d5e0b970521a465d2c4928a6
028c48146f08691ae8df95b237d39272
43079041ef46324f86ac9afc96169104
847bcf6655db46673ad135997de77cf2
6455b968e811041998c384d6826814df