概述
近期,金山毒霸捕风系统监控到STOP勒索病毒、SilentFade变种、Vidar窃密木马等多个国外病毒家族活跃度均出现上涨趋势,且感染用户存在较高的重合度。通过安全数据关联分析,我们发现传播母体源头为同一批伪装为知名软件破解版本的安装程序。分析可知该类安装包并不包含任何破解程序,仅仅是通过空壳程序”鱼目混珠”并暗中捆绑投递多类病毒木马。其中涉及的病毒家族类型覆盖非常广泛,包括勒索病毒、远控木马、窃密木马、广告流氓以及升级更新后门等十余类变种,堪称新一代”毒群”。
传播流程图
通过毒霸安全团队对”毒群”家族传播链条的进一步溯源,我们发现该家族主要来源于一批伪造的破解软件下载站点,借助搜索引擎SEO排名优化和社交网站引流等方式进行广泛传播。我们通过对此批恶意下载站点的分析,发现其统一采用Wordpress程序搭建,诱导模板文案精良,伪装程度较高,并且数量多变化快,呈现出”恶意站群”模式。并且幕后团伙善于通过多层跳转隐藏下载、频繁变更服务器、压缩包加密膨胀等方式对抗安全监控。
从毒霸捕风系统监控数据来看,本次攻击行动从2021年4月下旬开始部署,目前已经进入活跃期,由于其借助谷歌等搜索引擎排名优化传播,攻击面相对广泛,国内已经出现相当量级的感染用户。通过Google网站搜索热门软件破解程序关键词,首页排名靠前的网站基本上都是该家族的伪装网站,如下图搜索”office crack”所示:
下图为伪造破解软件诱导用户下载安装的过程展示。
下载后的病毒程序包名字格式为 XXXXXX_下载名1-下载名2.zip,如60da89_GridinSoft-Anti.zip 、60ddbc_Gihosoft-Crack-.zip
病毒程序包里面包含真正的安装程序压缩包和解密帮助文档,为了躲避安全检测它还对帮助文档的名字做了伪装,利用Passw0rd去替代Password。
解压后文件如下图:
具体分析
setup_install.exe——启动器
安装包程序通过多层自解压释放启动器和病毒模块,并启动启动器。启动器会判断服务器是否存活,当服务器存活时会启动病毒模块群,并将具体启动信息发送服务器,否则直接结束不进行任何操作。启动器最多启动10个病毒模块。下面简单介绍下启动器及病毒模块信息。
安装包程序执行流程如下图所示:
启动器会通过通用模块名去启动病毒模块,并用专有字段记录具体模块启动的信息,如下图所示:
启动器在启动病毒模块群后会将记录的具体启动信息发送到服务器,相关信息见下图:
安装包程序最终解压释放文件如下所示:
释放文件的具体功能如下所示:
URL:
http://razino.xyz/myip.php
http://razino.xyz/addInstallImpression.php?key=125478824515ADNxu2ccbwe&ip=&oid=139
http://razino.xyz/addInstall.php?key=125478824515ADNxu2ccbwe&ip=&oid=139
metina_1.exe——gh0st远控
metina_1.exe为gh0st远控木马,它首先会将自身携带的文件释放到temp目录(释放的文件以明文的形式依次保存在自身文件后面),然后在该目录创建并启动快捷方式,最后通过快捷方式启动释放的install.dll去对svchost.exe进行远程线程注入,执行gh0st远控功能。下面就相关细节做下说明。gh0st远控木马释放文件如下所示:
gh0st远控木马启动的快捷方式如下所示:
快捷方式命令行参数为:C:\Windows\system32\rUNdlL32.eXe “C:\Users\user\AppData\Local\Temp\install.dll”,init
(命令行解释:利用rundll32.exe加载释放的install.dll,并调用导出函数init。)
函数init会加载、解密、执行install.dat,install.dat解密后为shellcode(这里标记为shellcode A),该shellcode代码包括两部分,
第一部分:用于加载解密gh0st模块的代码(gh0st模块以DLL的形式存在)
第二部分:被多层加密的gh0st模块数据
下面就gh0st模块进行简单介绍,gh0st模块为了更好的规避检测,隐藏自身,它会检测自身进程名,当进程名不为svchost.exe时,它会通过远程线程注入的方法,将自身代码以shellcode的形式注入到svchost.exe,去执行gh0st远控功能(注入的代码与shellcode A相同)。gh0st远控功能如下所示
另外分析还发现为了防止内存监控,作者还将gh0st模块的DOS头和NT头的标志位给抹掉了。抹掉标志位和修复后的对比图如下所示:
metina_2.exe——Stop勒索
metina_2.exe为一个木马加载器,它与毒霸前期捕获的SilentFade家族下载释放的木马加载器相同,为了逃避监控,它会创建ntdll.dll副本,并利用释放的ntdll.dll副本中的函数去对explorer.exe进行远程线程注入,并通过云端下发样本执行。目前截获的包括Stop勒索木马。加载器相关代码此处就不进行详细描述,详情参见毒霸前期对SilentFade家族的报告,下面就差异点和勒索做下简单说明,
metina_2.exe会添加计划任务去执行副本程序,相比前期的随机化名称,此次它将计划任务名称伪装成火狐浏览器启动项,具体细节如下图:
云控最新URL:
http://ppcspb.com/upload/
http://mebbing.com/upload/
http://twcamel.com/upload/
http://howdycash.com/upload/
http://lahuertasonora.com/upload/
http://securebiz.org/dl/build.exe
http://37.120.239.108/200.exe
关联文章:https://www.freebuf.com/articles/network/264165.html
STOP勒索
来源
Stop勒索来源于metina_2.exe云控下发。Stop勒索以675E.exe(文件名为4位随机数)的形式下发在temp目录。
代码分析
Stop勒索采用一种加壳器混淆隐藏代码,将自身代码加密放于代码中,最后解密加载shellcode执行,shellcode分为两部分,加载pe用的shellcode和真正的勒索程序。
勒索程序pdb为:E:\Doc\My work (C++)\_Git\Encryption\Release\encrypt_win_api.pdb
Stop勒索主要包含以下4个功能:
规避地区及自删除
持久化驻留
下载文件执行
加密勒索
下面就具体功能简单介绍。
1.规避地区及自删除
Stop勒索通过访问https://api.2ip.ua/geo.json获得相应地区信息,通过比对country_code字段排除一些地区。
Stop勒索排除的地区如下图所示。
当Stop勒索检测到为上面需要规避的地区时,它会在temp目录创建批处理文件,对自身进行自删除。相关代码如下。
2.持久化驻留
Stop勒索为了长时间驻留在电脑中,创建了注册表自启动和计划任务自启动去启动副本程序,详细情况如下所示。
注册表自启动
计划任务自启动
另外,Stop勒索还设置文件权限不允许用户删除保存副本的文件夹。具体指令如下
icacls C:\Users\%username%\AppData\Local\UUID /deny *S-1-1-0:(OI)(CI)(DE,DC)
3.下载文件执行
Stop勒索会启动一个线程去下载文件执行,相关代码和URL如下:
URL:(大部分URL已经失效,只捕获到5.exe,为一个窃密者,具体功能与下文的metina_3.exe相同)
4.加密勒索
(1)密钥获得
Stop勒索会通过访问特殊链接去获得电脑对应的密钥和ID,将密钥保存在temp\\bowsakkdestx.txt,将ID保存在系统盘目录下创建的SystemID\\PersonalID.txt。
访问的链接如下:
链接返回数据如下:
(2)规避文件
Stop勒索并不会对所有文件都进行加密,它会选择性的规避一些文件夹和指定后缀名的文件。详细规避信息如下。
Stop勒索不加密的文件
ntuser.dat, ntuser.dat.LOG1,
ntuser.dat.LOG2, ntuser.pol,.sys,
.ini, .DLL, .dll, .blf,
.bat, .lnk, .regtrans-ms
Stop勒索不加密目录
Stop勒索不加密文件夹,主要为一些系统目录和浏览器目录
(3)加密细则
1.检查文件是否已经感染,Stop勒索为了区分文件,在感染文件后会在文件末尾添加感染标志字符串{36A698B9-D67C-4E07-BE82-0EC5B14B4DF5}。
2.剔除小文件,加密大文件,Stop勒索对小于5b的文件,不会进行加密,只对文件进行重命名处理。对大于5b的文件进行真正的加密。
3.利用salsa20和rsa2048混合加密,分析发现Stop勒索并不会将整个文件进行加密,加密时只会读取文件的前0x25805个字节,且从文件的第6个字节开始加密。Stop勒索采用双层加密,利用salsa20算法加密文件,利用rsa算法加密salsa20密钥。salsa20的密钥来自于随机化获得的SID的前32位,rsa密钥来自于下发的public key。
4.加密文件的多层拼装,Stop勒索加密后的文件主要分为以下四部分。
利用salsa20加密的文本
利用rsa加密的SID文本(0x100字节)
用户的ID
感染识别标志{36A698B9-D67C-4E07-BE82-0EC5B14B4DF5}
文件加密前后对比如下图所示。
(4)释放勒索文本
Stop勒索会在每一个感染目录下创建勒索文件_readme.txt,勒索详情如下图所示:
metina_3.exe——Vidar窃密
metina_3.exe为Vidar家族的信息窃密木马。它首先会通过访问公共博客tumblr.com获得隐藏的的服务器IP,并从服务器下拉一些公共库DLL用于后面代码,然后会搜索电脑和用户的各种信息并以文件的形式保存在ProgramData目录,最后将搜集到的信息打包发送到服务器,并进行痕迹清理,删除文件。具体收集的包括电脑硬件信息,用户信息,进程设备信息,浏览器cookie,浏览器下载记录,浏览器历史,注册表信息,钱包信息等。相关信息如下图
下载释放DLL如下所示。
相应URL为
metina_4.exe——SilentFade窃密
metina_4.exe是来自于SilentFade家族的窃密木马。SilentFade家族为我们所知的是2019给FaceBook造成过400万美元损失的广告损失诈骗案,该家族主要是针对各种社交账号进行信息窃密。分析metina_4.exe发现,它还是一个比较老的版本,只是针对FaceBook进行窃密,此前毒霸揭露该家族的还有针对Google的广告窃取。metina_4.exe大致分为以下3部分:
第一部分:创建副本程序,并为副本程序添加注册表启动项
第二部分:释放工具去获得浏览器中账号相关的cookie
第三部分:利用获得的cookie去针对FaceBook进行信息窃密
下面就具体功能进行简单说明
metina_4.exe创建副本程序,添加启动项长时间驻留,具体代码如下。
metina_4.exe释放获得cookie的工具,并重命名为jfiag3g_gg.exe。并将获得的cookie信息以jfiag3g_gg.txt的形式保存供metina_4.exe使用。释放的工具以明文的形式保存在资源中为ChromeCookiesView.exe,EdgeCookiesView.exe,WebBrowserPassView.exe,相关视图如下。
metina_4.exe会利用获得的cookie信息,在目标电脑构建特殊的访问去获得用户的相关好友信息,支付卡信息,广告信息等,部分信息查询如下所示。
metina_4.exe最后会将窃取的信息发送到服务器,服务器地址为:
http://uehge4g6Gh.2ihsfa.com/api/fbtime
关联文章:https://www.freebuf.com/articles/network/264165.html
metina_5.exe——流氓广告
metina_5.exe为携带广告推广的恶意程序。它不仅会安装推广的软件程序,还会释放广告程序,进行广告推广,相关信息如下。
metina_5.exe推送安装的软件程序如下图所示:
metina_5.exe释放在temp目录的广告程序如下所示。
url:
cor-tips.com/After_math_Eminem/AdvertiserInstaller/UltraMediaBurner/UltraMediaBurner.exe
superstationcity.com/Widgets/ultramediaburner.exe
superstationcity.com/wrsm39aa8nk2ghz7xezsekgpwbmq56/publish/qb8zr5zmpb2n6ea.exe
superstationcity.com/wrsm39aa8nk2ghz7xezsekgpwbmq56/kenpa/a5ap52bdw952kqx.exe
superstationcity.com/wrsm39aa8nk2ghz7xezsekgpwbmq56/keyHandler/pzamcx87wcuq5kn.exe
metina_6.exe——病毒升级包
metina_6.exe为.net编写的下载启动器,它的主要功能是访问网页获得下载列表,然后依据列表进行文件下载并启动文件。值得注意的是,为了躲避追踪,它对文件名进行了随机化处理。通过行为检测分析发现,下载的这些程序与原样本行为类似,故归类为最新程序的升级包。具体功能代码如下所示。
http://195.133.40.148/ww/pastebin.txt返回的下载程序列表如下所示。
metina_7.exe——Vidar窃密
metina_7.exe为64位Microsoft Cabinet程序,会释放一个名为SVHOST.exe的程序,SVHOST.exe为混淆的.net程序,通过行为分析发现该程序行为和metina_3.exe功能相同,用于窃取电脑信息,打包发送服务器。
变种监控:
毒霸团队监控发现,该类型病毒最早可以追溯到2021年4月下旬。它发展迅速,已经从最初只是携带2-3个病毒模块,发展到携带9个病毒模块,且不断的通过修改病毒模块名,更换服务IP,文件混淆变形等逃避安全监控。下面展示下最新捕获的两个变形较大的变种:
版本:27June245PM(2021.6.27)
版本:4July118PM(2021.7.4)
此外,对该类伪造网站监控发现,该团伙对部分伪造网站投放的母体进行了修改,修改为利用AutoIt混淆脚本去加载执行恶意操作,目前捕获的只是涉及流氓软件推广,不排除后续会增加其他相应功能,毒霸团队会持续跟踪监控。
总结
纵观“毒群”整个传播链,该团伙拥有一套完整的黑色产业链,他们分工合作,高效分发。一方面伪造、传播破解网站、与安全监控做对抗,另一方面不断升级和扩充病毒模块,缩短病毒包的投放周期,达到每周都有新版本投放。使病毒包传播范围越来越广,危害程度越来越严重。为了电脑和信息安全,建议大家从正规渠道下载软件,安装杀软实时监控。
IOC(部分):
696d93ef1e98340defdbf6c4e79272b5
fc734519bc5ea29a0b52d57f3f5608bd
f34a511ddeb9baef9d4ea3aa547bdb5c
dfbd7676a01b464495556613afe01594
0466eea5417a7e04e0907febe5d2abc5
2eb68e495e4eb18c86a443b2754bbab2
9f0b45f87adc8b414cdbad3e40a03610
f09c80632924b7d1dc3bdfa96dc5779a
6bcd68abbc1c1543215c1aa88190af91
0cee5f4f1786d3829aefeb461f70c367
涉及网站(部分):
https://crackskit.com
https://promocrack.com
http://activationlinks.com
https://onlinedownloader.info
https://wazusoft.com
https://procrackpc.com
https://crackedfine.com
https://procrackerz.org
https://crackknow.com
https://getprocrack.co
https://cracktopc.com
https://licenselink.info
https://haxpc.net
来源:freebuf.com 2021-07-12 11:26:39 by: 安全豹
请登录后发表评论
注册