背景

2019年3月17日,360威脅情報中心截獲了首個利用WinRAR漏洞(CVE-2018-20250[4])傳播未知惡意勒索軟體的ACE文件[1]。該惡意壓縮文件名為vk_4221345.rar,當受害者在本地計算機上通過WinRAR解壓該文件後便會觸發漏洞,漏洞利用成功後會將內置的勒索軟體寫入到用戶計算機啟動項目錄中,當用戶重啟或登錄系統都會執行該勒索軟體從而導致重要資料被加密。

由於該勒索軟體執行後並沒有保存生成的RSA公私鑰,也沒有通過其他渠道將公私鑰信息發送給攻擊者,所以即便受害者向勒索軟體作者支付相應的贖金也不可能解密文件。360威脅情報中心提醒用戶,如遇到類似的勒索軟體攻擊,切忌支付贖金。並再次提醒廣大用戶務必對此高危漏洞做好十足的防護措施。

該勒索軟體會加密指定文件後綴的文件,並修改文件後綴為.Jnec。故360威脅情報中心將該未知勒索軟體命名為JNEC勒索軟體並進行分析。

JNEC勒索軟體在VirusTotal上的檢測情況

樣本分析

360威脅情報中心針對該利用WinRAR漏洞進行傳播的勒索軟體樣本進行了分析,相關分析如下。

利用受損圖片誘導解壓

MD59ebe2ee958ddd61c93400293d6903ab0文件名vk_4221345.rar

該惡意壓縮文件包含一張圖片,當在WinRAR中雙擊打開後會看到一張看似破損並不完整的女性圖片:

並且還會彈出疑似圖片解壓錯誤的提示框,而該解壓出錯提示框疑為攻擊者故意為之,壓縮包的CRC校驗值疑似攻擊者故意修改以致打開壓縮包中的圖片文件後會彈出錯誤框,以此來誘導用戶通過解壓後查看圖片文件:

出於好奇,用戶則可能通過解壓後查看疑似受損的圖片文件,而這樣的操作正好會觸發WinRAR漏洞,從而釋放內置的勒索軟體到用戶啟動目錄中:

當用戶重新啟動計算機或登錄系統後將執行釋放的惡意勒索軟體GoogleUpdate.exe。

勒索軟體分析(GoogleUpdate.exe)

GoogleUpdate.exe採用ConfuserEx混淆,Exeinfo工具截圖如下:

去混淆後可以看到,樣本運行後將解密並載入名為koi的模塊:

核心模塊分析(Koi.exe)

Koi.exe同樣使用ConfuserEx混淆,如下圖:

去混淆後入口截圖如下:

勒索功能分析

  1. 進程運行環境檢測

勒索功能部分首先會創建一個任務用於檢測虛擬機、沙箱及任務管理器進程。虛擬機檢測的相關代碼如下:

檢測沙盒的相關代碼如下:

檢測任務管理器進程相關代碼如下:

  1. 生成加解密密鑰

入口代碼接下來生成RSA-2048密鑰對,雖然程序會將公私鑰以十六進位的形式保存到變數pubKeyHex和priKeyHex中,但這兩個變數在之後的代碼中均沒有被使用。該樣本只是用RSA公鑰來加密隨機生成的字元串,加密後的數據將被用於生成在文件加密階段所需的AES密鑰:

生成及導出RSA密鑰函數代碼:

生成隨機字元串函數代碼:

使用RSA公鑰加密、編碼隨機字元串的函數相關代碼如下:

最後通過定時器啟動加密任務:

  1. 加密過程分析

加密任務創建後首先會調用GetLastInputInfo函數檢測是否被調試:

然後創建兩個線程分別用於搜索磁碟中的文件以及把待加密文件路徑寫入到日誌文件中:

加密的文件後綴包括txt、doc、docx、dat、xls、xlsx、ppt、pptx、odt、jpg、jpeg、png、csv、xml、psd和sef:

待文件搜索結束後,執行加密文件的任務:

函數從日誌文件中讀取待加密文件列表,並依次加密每個文件:

文件加密函數將會計算之前隨機字元串經RSA加密、編碼處理後的SHA256值,並用做AES加密文件的密鑰:

最後通過加鹽AES實現文件加密:

待文件加密完成後將彈出對話框展示勒索信息:

最後在桌面生成勒索信息文件:

勒索信息中包含隨機生成的12個字元的Gmail郵箱:

以下是勒索軟體的README信息,大致意思是讓受害者向比特幣錢包地址1JK1gnn4KEQRf8n7pHZiNvmV8WXTfq7kVa支付0.05 BTC,並註冊[email protected]郵箱,隨後將在郵箱中收到解密密鑰:

無法解密成因分析

由於勒索軟體自身設計的原因,亦或者勒索軟體作者根本未想過要替受害者解密文件,即便受害者向勒索軟體作者支付相應的贖金也無法從攻擊者那裡拿到相應的解密密鑰,相關原理如下:

  1. 勒索軟體作者並沒有保存生成的RSA公私鑰,更沒有回傳公私鑰信息。
  2. 郵箱是隨機生成的,但是並沒有通過網路發送給勒索軟體作者。因此即使受害者註冊了對應的郵箱,勒索軟體作者也不知道該郵箱的存在,更不會向它發送解密密鑰。

總結

正如我們的預測,利用WinRAR漏洞(CVE-2018-20250)傳播惡意程序的攻擊行為正處在爆發階段,360威脅情報中心除了觀察到多個利用此漏洞進行的APT攻擊活動外,還首次截獲了利用該漏洞傳播惡意勒索軟體的病毒,攻擊者企圖製造更廣泛的危害。由於從設計上看被加密的文件事實無法再被解密,所以目前無法排除這是一起勒索掩蓋下的定向破壞攻擊活動。360威脅情報中心再次提醒各用戶及時做好該漏洞防護措施。(見「緩解措施」一節)

緩解措施

  1. 軟體廠商已經發布了最新的WinRAR版本,360威脅情報中心建議用戶及時更新升級WinRAR(5.70 beta 1)到最新版本,下載地址如下:

32 位:win-rar.com/fileadmin/w

64 位:win-rar.com/fileadmin/w

  1. 如暫時無法安裝補丁,可以直接刪除漏洞的DLL(UNACEV2.DLL),這樣不影響一般的使用,但是遇到ACE的文件會報錯。

目前,基於360威脅情報中心的威脅情報數據的全線產品,包括360威脅情報平臺(TIP)、天擎、天眼高級威脅檢測系統、360 NGSOC等,都已經支持對此類攻擊的精確檢測。

IOCs

參考鏈接

  1. twitter.com/360TIC/stat
  2. mp.weixin.qq.com/s/Hz-u(首個完整利用WinRAR漏洞傳播的惡意樣本分析)
  3. mp.weixin.qq.com/s/hAoe(警惕!WinRAR漏洞利用升級:社工、加密、無文件後門)
  4. research.checkpoint.com
  5. ti.360.net/advisory/art

原文鏈接:無法解密!首個利用WinRAR漏洞傳播的未知勒索軟體(JNEC)分析 - 安全客,安全資訊平臺

推薦閱讀:

相關文章