概述
抗疫大战,我们不仅要抗现实中的病毒,还得同时应对随之而来的网络空间病毒。
在此前奇安信威胁情报中心曝光了一次黑产控制药物研究机构邮箱搞钓鱼的攻击行动后(https://mp.weixin.qq.com/s/T2FuoPMtpnVghX4BXG3yjQ),奇安信病毒响应中心也在日常样本监控中又发现部分勒索软件、国外黑产以及新型监控软件开始利用新冠疫情的热点进行投放攻击。
新发现的主要为以下几例:
• 名为Dharma的勒索病毒开始使用以.nocv为后缀加密文件
• CXK勒索软件在投放过程中使用武汉疫情作为诱饵
• 巴西某黑产在提供相关疫情视频的同时暗地里安装银行木马
• Parallax Rat新型监控软件使用了“CoronaVirus”作为样本名
通过奇安信大数据平台监测,我们发现国内有少部分用户中招,为防止威胁进一步扩散,病毒响应中心负责任地对相关样本进行披露和分析。
样本分析
恶意代码1
| MD5 | 055d1462f66a350d9886542d4d79bc2b |
|---|---|
| 功能简介 | Dharma勒索软件 |
Dharma在执行过程中会经过一次内存加载,shellcode如下:
该shellcode的特征与我们之前分析Ryuk的info_steal模块的shellcode一致。应该为同一分发商进行传播投放。
内存加载后PDB如下:C:\crysis\Release\PDB\payload.pdb,其整体行为与之前版本差别不大,将自身复制到System32目录下实现持久化。
删除卷影:
遍历进程和服务,关闭的进程和服务如下:
加密的文件后缀如下:
排除以下文件和目录:
加密过程中会以.id-XXXXXXX.[[email protected]].ncov的形式添加文件后缀,最后弹出勒索框:
勒索信内容如下,联系邮箱同样与新管病毒有关:[email protected]
恶意代码2
| MD5 | f94d84da27bd095fdeaf08ed4f7d8c9a |
|---|---|
| 功能简介 | 恶意Zip程序 |
文件名为2020.1.10-2020.1.23Information onTravelers from Wuhan China to India.zip(2020.1.10-2020.1.23从中国武汉到印度的旅行者的信息.zip),该文件被存放到蓝奏云上。
ZIP中为可执行文件:
经分析为CXK勒索软件,其本质为恶搞程序,加密文件后缀.cxk_nmsl:
文件内容被Base64加密,可以使用Base64解密工具恢复即可,加密完成后跳转到指定页面:
内容如下:
生成勒索信,索要B币:
恶意代码3
| MD5 | 9e06fe19f47402f7706fc33****8d669 |
|---|---|
| 功能简介 | 恶意MSI程序 |
该样本为巴西某黑产组织投放的payload,文件名为“video-china02712.msi”。
播放的视频如下:
之后从hxxp://13.72.105.98:443/APfunkdrawer.iso下载银行木马,目前服务器已经无法访问。
恶意代码4
| MD5 | 342d7aec0e3c67d437066000b53f0d61 |
|---|---|
| 功能简介 | Parallax Rat |
样本名为:“new infected CORONAVIRUS sky03.02.2020.pif”,带有数字签名:
Parallax最早出现于2019年12月份,开发者在地下论坛进行出售收费65-175美元不等,界面如下:
其主要通过垃圾邮件进行传播:
执行过程中会对指定进程进行代码注入,之后从i.imgur.com下载图片并作为loader加载图片中的代码。
总结
可以预见随着病毒在全世界范围的扩散,会有越来越多的国际黑客团伙和黑产组织开始以疫情为诱饵投放payload,通过奇安信多维度大数据关联分析发现,目前Dharma勒索软件和Parallax Rat国内中招数量较多。
因此,鉴于国内有用户中招,奇安信病毒响应中心提醒用户,疫情在家远程办公,不要点击打开来源不明的文件,不管是邮件还是即时通信工具来源,同时提高个人的安全意识,减少用户隐私信息被盗取的风险。奇安信病毒响应中心会持续对上述家族进行持续跟踪,目前奇安信勒索病毒搜索引擎(lesuobingdu.qianxin.com)已支持上述勒索样本查询。
基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对该家族的精确检测。
来源:freebuf.com 2020-02-18 16:28:47 by: 奇安信威胁情报中心
请登录后发表评论
注册