恶意软件套餐：Cryptor攻击和信息窃取木马

 

我们已经见识过一些功能不同的恶意程序组合起来的cryptor攻击。例如，一版Shade Cryptor检查受害者电脑中计算活动的迹象。一经发现，它不加密这些文件，而是在被感染的系统中安装远程控制工具。而后，机器人可以被网络罪犯用来偷钱，这种方法比只接收解密赎有利可图得多。

然而RAA Cryptor的持有者却采取了不同的策略。该木马主要针对企业用户，通过邮件发送。成功实施一发小小的感染后，RAA执行其主要任务——加密用户文件。然而，这并未停止：一些RAA版本还包括一个Pony木马文件，此文件可从被感染计算机中窃取机密信息。利用偷来的数据，网络罪犯可以获得受害者的邮件客户端的权限和其他资源。我们可以假定，RAA持有者利用这些资源来执行有针对性的攻击——发送附带Cryptor恶意软件的电邮到受害者的联系人列表中的地址。这大大提高了后续感染的概率。

在这篇文章中，我们将提供一对恶意程序——RAA Cryptor版和Pony恶意软件如何和谐共存并发起攻击。

 

RAA Cryptor

RAA Cryptor（卡巴斯基判定：Ransom.JS.RaaCrypt）在今年六月首次被发现。这引起了研究者和分析人员的关注，因为它是完全用JavaScript写的，这在Cryptor勒索木马中极为罕见。

最近我们发现了此木马的新版本，与早期修改版有一些不同。来仔细感受下面的例子，知悉木马勒索软件.JS.RaaCrypt.ag的真面目。

木马传输——

此新版本的RAA身在JScript脚本（含.js文件扩展名）。恶意脚本被放置在垃圾邮件中，它通过一个密码为“111”的压缩文件，被发送给潜在受害者。

该攻击主要针对企业的用户：消息模仿金融业务信息，而脚本的名称皆如以下所示：

Счета на оплату _ август 2016 согласовано и отправлено контрагенту для проведения оплаты _aytOkOTH.doc.js

(发票—2016年8月 批准给承包商支付—aytOkOTH .doc.js)

Счета на оплату _ август 2016 согласовано и отправлено контрагенту для проведения оплаты _EKWT.doc.js (发票—2016年8月 批准给承包商支付—EKWT.doc.js)

”假定，我们做出了让步，允许你延期付款。

我们明白你可能有难言之隐，但我们难道必须再等两个月吗？说实话，我们真不想去法庭，请在接下来的几天内付清所有的款项。”

该信息包括一个小提示说：“XXX公司通知您遵守内部安全条例，所有发送的邮件都受到非对称加密。尊敬的客户，此文件的密码是111。”

收到邮件的人想不到“非对称加密”是笑里藏刀。

值得注意的是，在加密保护的文件里发送病毒是一个网络罪犯的常用伎俩，以阻止邮件服务器内的反恶意软件系统的存档和检测。反恶意软件系统很少自动检索加密文件的密码。

要使感染发生，用户必须亲自打开档案并开启.js文件。

脚本混淆

该恶意脚本代码被故意混乱排列，以混淆恶意软件分析者。脚本内容的源代码如下：

 

源代码中的混淆片段

 

如果我们恢复换行和缩进，很明显混淆包括重命名变量、函数、以及隐藏在全局数组的字符串。经过代码模糊化处理和重命名函数后，相同部分的代码变得易读许多。

 

模糊化处理的代码片段

该脚本近3000行长，其中大部分由合法的DLL加密以及 RSA加密程序实现。这也是从网络犯罪从公共资源中获得的。

 

木马如何运作

为使受害者产生一种虚假的安全感，RAA Cryptor在打开后立即演示了一个假冒的Word文档。Word文档实际上是网络罪犯特制的RTF文件，该文件包含于木马体内，为base64编码格式。

 

演示给受害者的假冒文档

当用户正在阅读一个一则声讨文档显示不当的消息时，该死的木马则正在做它肮脏的工作：

• Windows自动记录器

• 删除与VSS服务相关的注册表键（防止恢复文件的卷影副本）；

• 发送一个请求到C＆C服务器（不同于此木马的所有旧版本，此版本木马不会等待从服务器交付钥匙。请求只发送，从而网络罪犯可以收集统计数据；

• 继续搜索文件并为其加密。

密钥生成

不像早期的RAA修改版，此版本的Cryptor不要求C&C的加密密钥。反之，木马在客户端生成会话密钥。这样做，它调用WinAPI函数rtlgenrandom，此函数被认为是一个安全的加密伪随机数发生器。

为了确保它能从JS代码调用WinAPI函数，该木马利用合法的第三方控件合成——DynamicWrapperX。木马以base64编码格式储存在它体内，并将此控件安装在被感染系统内。RAA有32位和64位版的 DynamicWrapperX ，因而它可以攻击Windows下运行的系统架构。

木马加密生成会话密钥的RSA算法（脚本中包含公共RSA-2048秘钥），并将储存在一个名为“KEY-…”的文件中。保存到文件的，这通常代表一个独特的36字符的感染ID。

文件加密

RAA搜索加密的文件扩展名包括：

.doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar, .csv

它们的名字不包含子字符串：“.locked”, “~”, “$”.

 当搜索文件时，该木马跳过文件夹命名为 “WINDOWS”, “RECYCLER”, “Program Files”, “Program Files (x86)”, “Windows”, “Recycle.Bin”, “RECYCLE.BIN”, “Recycler”, “TEMP”, “APPDATA”, “AppData”, “Temp”, “ProgramData”, and “Microsoft”.

在处理每个文件时，RAA使用会话密钥来生成一个文件密钥和初始化向量（IV）。文件内容依据文件的大小以不同的方式加密：

• 0到6122字节：全加密

• 6123到4999999字节：选择了三个片段进行加密。第一个在2000 - 2040字节，其他两个片段的位置和大小取决于第一个片段的大小和文件的整体大小

• 5000001到500000000个字节：90000-125000字节的两个片段被选择加密

• 500000001字节和更大：不加密

加密文件的最后添加一个字符串，包含“idnum”（感染ID），“key_logic”（ 从会话密钥建立文件密钥），“iv_logic”（ 从会话密钥建立IV），和“logic_id”（可能的值是“1”“2”“3”。加密选择取决于文件大小）。加密文件被给予额外的扩展名。

 

添加到加密文件末尾的字符串

 

赎金要求

当文件被加密了，RAA显示一个网络罪犯的要求并通过WordPad连接。该木马用一个36字符的ID填充文本模板，且不同情况分别对待。

 

包含网络罪犯的要求的文件

 

网络罪犯建议受害者从他们手上购买解密密钥和软件。两种通信方法可行：电子邮件和Bitmessage服务。正如预期，受害者乖乖缴纳比特币赎金。

加上窃取木马

该木马造成的损害不只加密文件，我们考察到，这一版RAA的增加了一些功能。该木马包含一个base64的可执行文件编码，写入硬盘中：“C:\Users\<username>\Documents\ii.exe’”，在它完成加密文件后可展开。分析表明此“.exe”无非是Pony木马，一个已知的窃取密码的木马（ Trojan-PSW.Win32.Tepfer.gen）。

Pony木马已被证明是一个不寻常的长寿木马。通常认为2011年出现其早期版本，而在2013十二月，据大众媒体报道，它窃取了超过200万的用户凭据。

当然，所有攻击中矮马的源代码出现在网络上的某一点。分析表明，我们这里讲述的可执行文件是使用Pony木马源代码构建的。

Pony木马：窃取机密数据

总的来说，Pony木马的主要任务是从被感染的计算机收集机密信息，然后将其发送给网络罪犯。

步骤1：窃取信息

下面是一个简短的Pony木马锁定的信息列表 

• 存储在Web浏览器中的密码

  
  

• 最流行的FTP客户端凭据

• 最广为传播的邮件客户端的账户
  

•  各种各样的比特币钱包文件

该木马还具有以下功能：

Pony木马窃取用户的数字证书

Pony木马收集用户密码的最常见组合的列表。依据此列表，它试图访问受感染电脑帐户的访问权限。

步骤2：数据加密和发送

在发送网络罪犯收集好的信息之前，Pony木马使用RC4算法加密。这样，该木马保持对数据的校验记录（使用稍加修改的CRC32算法结果。序列如下

1.     计算非加密数据的校验。

2.     将所获得的值写入输入数据旁边。

3.     使用网络罪犯编写木马时指定的秘钥，输入RC4算法加密的数据。

4.     校验和计算加密数据。

5.     将获得值写在输入数据的旁边。

6.     生成一个随机的4字节秘钥。

7.     使用生成的密钥，用RC4算法加密的输入数据。

8.     生成一个数据包发送就绪，者可被描述为ToSend structure，如下：

生成报告的非加密片段

准备发送的报告的片段，加密密钥标亮成红色

当数据成为了要求的形状，Pony木马将其发送给网络罪犯。

MD5

Trojan-Ransom.JS.RaaCrypt.ag: 

68288a9f7a6bc41c9550a417d1721321

Trojan-PSW.Win32.Tepfer.gen (Pony): 

1de05ee1437d412cd328a6b3bd45fffc

本文由漏洞银行（BUGBANK.cn)小编 柠檬 编译，源文译自securelist.com

作者：柠檬
链接：http://www.bugbank.cn/news/detail/57d6778676ee92bb0d6835fa.html
来源：漏洞银行
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。