RansomEXX木马出现Linux变种

  • A+
所属分类:安全新闻

RansomEXX木马出现Linux变种

Kaspersky研究人员近期发现有个新的文件加密木马,可以加密基于Linux 的操作系统的设备上的数据。经过初步分析,研究人员发现该木马是知名勒索软件RansomEXX 的Linux 版本。该恶意软件以攻击大型组织而知名,在今年早期最为活跃。

RansomEXX 恶意软件的每个样本中都含有硬编码的受害者组织名。此外,加密的文件扩展名和联系人邮箱地址也都使用了受害者的名字。

近几个月来,许多知名公司都成为了该恶意软件的受害者,包括德克萨斯州交通部(TxDOT)和柯尼卡-米诺尔塔(Konica Minolta)。

RansomEXX木马出现Linux变种
技术细节

研究人员分析的样本是有个64位的ELF 可执行文件。该木马用来自mbedtls开源库的函数实现了其加密方案。

启动后,木马会生成一个256 位的密钥,并用该密钥使用ECB模式的AES加密来加密所有的受害者文件。AES 密钥会被一个嵌入了木马主体和每个加密文件中的4096 位的RSA 公钥加密。

此外,恶意软件还会启动一个线程每0.18秒就重新生成和重新加密AES 密钥。但是从实现的情况来看,密钥每秒钟才会发生变化。

除了加密文件和留下勒索信息外,恶意软件样本中没有其他木马中使用的功能,比如没有C2 通信、没有运行进程终止、没有反分析技术等。

RansomEXX木马出现Linux变种

文件加密过程伪代码片段,变量和函数名都保存在调试信息中,必须与源代码相一致

但是ELF 二进制文件中包含一些调试信息,包括函数名、全局变量和恶意软件开发者使用的一些源代码文件。

RansomEXX木马出现Linux变种

嵌入在木马中的源文件名

RansomEXX木马出现Linux变种

木马在Kaspersky Linux沙箱中的执行日志

RansomEXX木马出现Linux变种
和RansomEXX Windows版本的相似之处

虽然之前发现的RansomEXX 木马 PE版本使用WinAPI,但是木马代码的组织以及使用mbedtls 库中的特定函数表明ELF文件和PE 文件都来自相同的源代码。

下图是加密AES 密钥的过程的比较。左侧是ELF样本aa1ddf0c8312349be614ff43e80a262f,右侧是TxDOT 攻击中使用的PE 样本fcd21c6fca3b9378961aa1865bee7ecb。

RansomEXX木马出现Linux变种

虽然使用了不同的优化选择和平台以及不同的编译器,但是相似性还是非常明显的。加密文件内容的过程,以及代码的整个布局都非常相似。

此外,勒索信息也是相同的,在标题和类似字段中都有受害者的名字。

RansomEXX木马出现Linux变种
巴西的攻击实例

据媒体报道,巴西一家政府机构最近受到了定向勒索木马的攻击。从勒索信息来看,几乎与上面的样本完全相同。

RansomEXX木马出现Linux变种

样本aa1ddf0c8312349be614ff43e80a262f 的勒索信息

RansomEXX木马出现Linux变种

最近巴西攻击活动中的勒索信息

参考及来源:https://securelist.com/ransomexx-trojan-attacks-linux-systems/99279/

RansomEXX木马出现Linux变种

RansomEXX木马出现Linux变种

本文始发于微信公众号(嘶吼专业版):RansomEXX木马出现Linux变种

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: