Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家

一、概述

Medusalocker勒索团伙于2019年10月开始活跃,国内外均有大量受害者。早期该团伙通过对入侵机器内的数据文件进行加密勒索1比特币(BTC)。随着文件加密+数据窃取的勒索模式流行,该团伙会在勒索信中威胁:“已收集了高度机密的资料,不付赎金就公之于众”。

腾讯安全威胁情报中心在进行例行高危风险样本排查过程中,发现该勒索团伙使用的样本托管资产(IP:45.141.84.182),对该资产其进行分析后发现,Medusalocker团伙除使用加密模块对文件进行加密外,其武器库中还包括一系列渗透过程中使用的相关工具和窃密木马。

有趣的是,分析后发现区别于传统的窃密木马,Medusalocker勒索团伙除使用CobaltStrike窃密木马外。还对商业远程控制软件RemoteUtilities(类Teamviwer软件)进行了破解重打包(系对官方版本的窗口、托盘、模块完整校验位置进行Patch)。由于RemoteUtilities属于正规商业远程控制软件,如果被用于窃密监听,会更加隐蔽,安全软件通常并不将此类商业远控软件报告为病毒。同时,由于修改版本木马与官方版本程序代码仅存在少量差异,也将比一般窃密木马具备更好的免杀效果。

近年来,勒索病毒从广撒网模式到针对性特定企业的精准打击,从单纯的数据加密演变为数据窃取加勒索。攻击者入侵企业内一台资产后,通常并不立刻进行加密操作。而是通过长时间的扫描探测,窃取机密信息后,再大面积对企业实施加密勒索。若企业使用备份数据进行还原,勒索团伙则威胁公开受害企业的机密数据继续敲诈。这对企业带来经济和社会声誉的双重损失。因此,我们提醒各政企机构高度警惕勒索病毒的攻击。

图片[1]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

Medusalocker勒索病毒攻击者留下的勒索信

图片[2]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

受害者在安全论坛发布的求助帖

腾讯电脑管家、腾讯安全T-Sec终端安全管理系统(御点)均可查杀拦截Medusalocker勒索病毒。

二、详细分析

魔改RemoteUtilities远程控制软件

RemoteUtilities是一款可免费,可商用,能够自建中继服务器的远程控制软件(类似于Teamviewer、向日葵等工具),该软件支持Windows、Mac、Linux、IOS、Android等多个平台版本。该软件服务端(Agent)运行后会弹出明显的服务端窗口信息,托盘展示信息等,一般用于管理员对多台设备进行统一的操作和管理。Medusalocker勒索病毒团伙通过对RemoteUtilities进行破解重打包后,将其作为窃密木马使用,达到植入目标系统持久化控制的目的,其修改流程主要有下文中分析中的多个步骤。

图片[3]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

RemoteUtilities远控软件官网介绍

正常RemoteUtilities被控端(Agent)运行后的界面

图片[4]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

RemoteUtilities精简破解重打包

RemoteUtilities正常被控端安装后后会存在大量模块文件,修改版本安装后后仅使用3个模块(移除非远程控制必须组件以外的其他模块),精简破解后重打包的版本安装完成后,会添加计划任务启动,进而实现持久化的远程控制。

下图上为完整版RemoteUtilities被控端安装文件,下为病毒修改版安装文件:

图片[5]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

计划任务将自动启动病毒远控。

图片[6]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

RemoteUtilities-Patch-1:

通过对官方版本被控端的ShowWindow函数调用进行nop处理,导致官方版本被控端启动时的所有窗口界面消失,从而实现无交互界面被远程控制,系统托盘、消息界面全部被隐藏:

官方版本完整代码:

图片[7]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

修改后病毒版本代码:

图片[8]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

RemoteUtilities-Patch-2:

通过对官方版本被控端的Terminateprocess函数调用进行nop处理,导致官方被控端相关快捷退出方式失效,从而让攻击者稳定持久的远程控制,持续进行窃密活动。

官方版本完整代码:

图片[9]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

修改后病毒版本代码:

图片[10]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

RemoteUtilities-Patch-3:

官方版本远程控制软件在运行后首先会对其安装目录下的所有模块完整性校验,当发现安装模块缺失后则直接会退出。病毒对其代码进行patch,使官方远控软件被控端校验流程被强行跳过。

官网软件模块完整性校验流程

图片[11]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

官方版本完整代码:

图片[12]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

修改破解后病毒版本代码:

图片[13]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

RemoteUtilities-Patch-4:

官方程序每次接受命令或启动时会监测程序安装路径下rfuslient.exe模块,并将其执行起来,如果该文件不存在,则弹出一个系统错误对话框,随后服务端直接退出。病毒对其相关路径参数进行patch(破解),导致该处校验流程失效。

图片[14]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

被绕过的模块完整性校验提示窗口,正常流程下服务端执行到此处代码将提示错误直接退出。

图片[15]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

官方版本完整代码:

图片[16]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

破解修改后病毒版本代码:

图片[17]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

图为控制端界面,攻击者向攻击目标植入RemoteUtilities破解修改版本后可完全控制受控机器,可执行远程Shell、屏幕监控操作、语音监控操作、远程文件操作、RDP登录等等。

图片[18]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

加壳的CobaltStrike

Medusalocker勒索病毒团伙同时还使用了加壳的CobaltStrike窃密木马,该版本窃密木马运行后首先以挂起方式启动系统白进程mstsc.exe,随后将Beacon恶意payload注入到mstsc.exe进程内,进而实现系统进程内执行远程控制恶意功能。其C2信息使用0x2E异或方式简单加密,解密后得到C2地址如下:

oow8Phokeing6kai5haH.glowtrow.online

ooLiey0phuoghei2cei7.cleans.online

eiphaem9aifuR1udaizu.badedsho.space

图片[19]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

解密后的CobaltStrike配置信息

图片[20]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

勒索辅助工具包

在该地址内,也发现了Medusalocker勒索团伙以往常用的工具包。包括本地系统口令窃取工具、浏览器密码窃取工具、局域网端口扫描工具、网络共享资源扫描工具、PsExec命令执行工具、Ark内核对抗工具、两个bat脚本文件等,这些工具在后期渗透局域网其他主机过程中使用。

图片[21]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

图片[22]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

Bat脚本主要功能有以下部分:

EnableLUA,避免系统提示以管理员权限执行等问题;

对系统内粘滞键、放大镜、系统帮助、Windows辅助工具管理器等程序进行映像劫持,侧面印证该团伙可能对系统内该系列工具位置进行后门劫持利用;

开启3389端口并允许远程控制,关闭RDP相关的远程登录安全策略项;

删除系统卷影,删除系统备份等。

图片[23]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

Medusalocker勒索病毒

Medusalocker勒索病毒出现于2019年10月,2019年11月腾讯安全检测到该病毒开始在国内活跃,该病毒主要通过弱口令爆破方式进行传播,由于该勒索病毒加密使用RSA+AES的方式对文件进行加密,目前尚无有效的解密工具,被加密后的文件末尾组成部分如下。

1.使用硬编码RSA公钥加密后的AES文件密钥数据;

2.使用硬编码RSA公钥加密后的后缀信息数据;

3.被加密文件原始明文长度0x0000000000000018;

4.文件后缀明文长度0x00000014;

5.AES密钥原始长度0x0000002C;

6.1、2部分密文长度0x00000200;

7.0×0000001标记;

具体分析可参考:《警惕Medusalocker勒索变种攻击企业,中毒被勒索1比特币》https://mp.weixin.qq.com/s/MBdLoyR1JaZxswJeY-H26g

本次发现的变种版本Medusalocker加密完成后添加.ReadInstructions扩展名后缀,留下名为Recovery_Instructions.html的勒索文件,攻击者使用的勒索邮箱为[email protected][email protected]

图片[24]-Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索 – 作者:腾讯电脑管家-安全小百科

三、安全建议

1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

3、采用高强度的密码,避免使用弱口令。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据(数据库等数据)进行定期非本地备份。

6、建议终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。

7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

个人用户:

1、勿随意打开陌生邮件,关闭Office执行宏代码;

2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。

IOCs

MD5:

81f327ba23b03e261a0bcb3b4be3ffb4

860cdd118f68793a680ad4d22c43619a

dbffcc741c54ae7632fb2807c888bdfe

40e85653abe687ddfd95b67a5f5dd452

bb62cb286e2386da92837a37d0ec3445

39c2a273de3f1eee2dd6e567a00f1137

URL:

hxxp://45.141.84.182/Build.exe(魔改RemoteUtilities)

hxxp://45.141.84.182/Build1.exe/

hxxp://45.141.84.182/beacon.exe(加壳的CobaltStrike)

hxxp://45.141.84.182/64x.exe

hxxp://45.141.84.182/run.exe

hxxp://45.141.84.182/cb.exe

hxxp://45.141.84.182/1.zip(勒索工具包)

hxxp://45.141.84.182/AN_UPD.exe(Medusalocker勒索病毒)

C2:

oow8Phokeing6kai5haH.glowtrow.online

ooLiey0phuoghei2cei7.cleans.online

eiphaem9aifuR1udaizu.badedsho.space

IP:

45.141.84.182

勒索邮箱:

[email protected]

[email protected]

勒索平台暗网地址:

hxxp://gvlay6u4g53rxdi5.onion/18-oWREq832SIH6V6yoKU1Z3fMRYR5wmpR0-cvxencen8tpja5kxwsd12had3lurjur7

来源:freebuf.com 2020-12-01 09:16:46 by: 腾讯电脑管家

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论