扫描文末二维码,并关注【微步在线研究响应中心】公众号。
公众号内回复关键词“HT”,可查看完整报告。
一、概述
近日,微步情报局在对一恶意样本进行分析时,对样本的C2地址进行关联分析发现该地址还接受到勒索软件的回传,通过对回传信息的格式进行关联,发现使用了一款名为”Hidden Tear”的勒索软件。
· 微步情报局发现某恶意样本会从域名dllhost.xyz下载后续脚本文件执行,
· 对域名dllhost.xyz进行关联分析,发现该域名有着一表示格式的回传请求,通过对回传信息的分析发现,是首款针对Windows的开源勒索软件,名为“Hidden Tear”
· 在近一年中,发生了多起使用该款勒索软件利用COVID-19的话题对受害者进行攻击。
· 勒索软件“Hidden Tear”使用AES加密,在本地生成AES密钥,并使用固定格式将密钥和主机信息回传到C2地址。
二、详情
近期,微步情报局捕获到一枚.LNK格式的恶意软件,在分析过程中发现该木马后续会调用Powershell继续从域名dllhost.xyz下载后续.js文件,而.js文件会尝试向另一域名dlldns.xyz发起请求进行下一步操作。
图1. lnk执行的代码
图2. js中的后续地址
通过对样本相关域名(dllhost.xyz、dlldns.xyz)的关联分析发现,域名中还含有另一使用.pdf图标的恶意文件,且在回传信息时会使用固定格式:
图3. 回传信息的请求
“write.php?Computername=XXXUsername=XXXPassword=XXXallow=ransom”
通过对格式的分析,确定了一款名为” Hidden Tear” 的开源勒索软件。
图4. X社区中关于域名情报
Hidden Tears是第一个针对Microsoft Windows的开源勒索软件,由土耳其安全研究员Utku Sen于2015年首次上传到GitHub,目前原始仓库的代码已被删除,但在删除前已被fork了490次,在其他用户的仓库中依然可以找到原始的代码。
图5. Hidden Tear页面
关联发现,近一年来,发生了多起使用基于该勒索软件的修改版本利用COVID-19的话题对受害者发起攻击的事件,例如:3月,有攻击者向参与COVID-19研究的卫生组织与大学发送钓鱼邮件,邮件中包含勒索软件。5月,有攻击者注册仿冒官方域名,向意大利发送COVID-19疫情图的诱饵文件,加密受害者主机勒索比特币。
“Hidden Tear”勒索软件使用AES加密,获取用户的主机信息并由此生成密钥,并将用户的信息按照固定格式,和密钥一同发送到C2地址。不过值得注意的是,生成密钥的步骤在本地生成,并且在发往C2地址时并没有进行加密操作,这意味着在流量数据中可以直接找到密钥对文件进行解密。
图6. 回传信息的固定格式
三、相关事件
· 2020年3月,攻击者利用伪造的邮箱发件地址noreply@who.int(176.223.133.91)向参与COVID-19研究的加拿大卫生组织与大学发送电子邮件,电子邮件内包含了文件名为“20200323-sitrep-63-covid-19.doc”的RTF文件。
图 7. 诱饵文档,看起来并不是很想引诱用户
· 2020年5月,基于Hidden Tear的变种勒索软件FuckUnicorn利用COVID-19对意大利发起攻击,通过注册”意大利药剂师联合会”(fofi.it)的仿冒域名(fofl.it)来进行恶意软件的分发。
图8. 攻击者伪造的钓鱼页面
四、样本分析
1. 20200323-sitrep-63-covid-19.doc
基本信息:
| File Name |
File Type |
SHA256 |
|---|---|---|
| 20200323-sitrep-63-covid-19.doc |
Ransomware |
62d38f19e67013ce7b2a84cb17362c77e2f13134ee3f8743cbadde818483e617 |
一旦受害者将.rtf打开后,文档会尝试利用CVE-2012-0158漏洞,将勒索软件释放到C:\Users\User\AppData\Local\svchost.exe并执行,释放出的svchost.exe具有隐藏属性,且带有一个Adobe Acrobat的图标。
样本执行后,会尝试从地址tempinfo.96[.]lt/wras/RANSOM20.jpg请求一张显示勒索通知的图片并将图片保存到C:\Users\User\ransom20.jpg,然后将图片设置为桌面壁纸
图9. 勒索信息页面
下载图片之后,会检查与C2地址的HTTP状态码是否为100 Continue,向地址www.tempinfo.96.lt/wras/createkeys.php发送POST请求,发送主机如计算机名、用户名等相关信息。在原始的Hidden Tear中,POST请求的页面为/write.php?info=
图10. 流量数据包
发送信息完成后,会通过获取到的主机信息,在本地生成AES对称密钥,并将密钥发往C2地址,并通过POST请求将主机信息与AES密钥一同发往C2地址。
图11. 流量中的密钥
完成后开始对主机的文件进行加密,特定的后缀如下:
加密过程中,样本加密的路径仅为主机桌面的目录和文件。加密算法也相对比较简单,加密后后缀为.locked20 。
图12. 加密算法
2. IMMUNI.exe
通过钓鱼站点fofl.it进行下发。
基本信息:
| File Name |
File Type |
MD5 |
|---|---|---|
| IMMUNI.exe |
Ransomware |
b226803ac5a68cd86ecb7c0c6c4e9d00 |
样本是一个exe文件,图标带有一个新冠病毒,并且属性中的文件名为”FuckUnicorn”。
在样本运行后,会显示一个伪造的COVID-19疫情情况信息图表,来自the Center for Systems Science and Engineering at Johns Hopkins University 。
图14. 诱饵文件,COVID-19疫情图
在用户阅读图表的时候,样本会开始加密用户的文件,加密的文件夹包括主机的/Desktop, /Links, /Contacts, /Documents, /Downloads, /Pictures, /Music, /OneDrive, /Saved Games, /Favorites, /Searches, /Videos 。
图15. 要加密的目录
加密后的后缀为“.fuckunicornhtrhrtjrjy”加密的类型包括:
加密完成后提供了钱包地址(195naAM74WpLtGHsKp9azSsXWmBCaDscxJ)及邮箱地址(xxcte2664@protonmail.com),需要支付300欧元的比特币,但勒索信息留下的邮件地址无效,受害者根本无法通过此邮箱地址联系上攻击者。
图16. 勒索信息文本
五、结语
除了文中所提两类样本外,还有更多的Hidden Tears变种版本且一直有对外攻击的行为。由于代码作者将程序在网络公开开源,使得很多开发水平不足的人也能立马上手编译出勒索软件,使勒索攻击的门槛再次降低。虽然如此,但是好在样本使用AES对称加密,并且在本地生成密钥并且不加密传输,这意味着加密后的文件可以直接解密。
扫描下方二维码,关注【微步在线研究响应中心】公众号
回复关键词“HT”,可下载完整报告
添加图片