攻击者利用Exchange漏洞进行DearCry勒索软件攻击

点击上方蓝字关注我们

微软Exchange Server本地版本中的一组最新修补的漏洞，已被积极利用了两个多月。该漏洞最初被微软归因于Hafnium黑客组织，但现如今已被广泛应用于一系列网络犯罪活动中。

近期，Sophos研究人员检测到并阻止了一起利用Exchange漏洞部署DearCry勒索软件的攻击活动。研究人员对DearCry样本进行分析后，发现该勒索软件并不复杂，几乎没有使用任何的规避措施。其中最值得注意的是DearCry在受攻击文件中添加的加密标头，与臭名昭著的WannaCry所使用的标头相似，这似乎不是巧合。

SophosLabs研究人员对捕获的两个DearCry样本进行分析。这两个样本的二进制文件都未签名，并且没有任何的版本控制或其他专业开发实践的信息。这些二进制文并没有经过压缩或混淆，所有勒索软件的文本字符串都清晰可见，可供研究人员进行分析并用于反病毒检测中。这些不太成熟的特征表明该勒索软件的作者是初学者，或者这些样本只是早期的版本。

两个样本中都包含对用于编译恶意软件二进制文件的机器和源文件的相同PDB引用，如下所示：

C:UsersjohnDocumentsVisual Studio 2008ProjectsEncryptFile -svcV2ReleaseEncryptFile.exe.pdb

DearCry使用完全独立的加密方法，其公钥嵌入在勒索软件二进制文件中，因此它不必与C2服务器取得联系，即可对文件进行加密。研究人员发现这两个样本被发送给不同的受害者，赎金说明中具有不同的唯一标识符，表明这两个样本似乎是针对每个受害者专门创建的。

DearCry加密文件之前，会先创建根据所攻击文档的文件名创建一个新文件，并添加.CRYPT文件扩展名。之后，DearCry开始读取原始文件的内容，并将其加密后写入.CRYPT文件中。

DearCry使用了两种不同的加密方法，第一种是使用嵌入在勒索软件中的OpenSSL库进行加密，另一种是使用AES-256加密算法对文件进行加密。

嵌入在DearCry二进制文件中的OpenSSL代码

此外，攻击者使用了RSA算法对AES密钥本身进行了加密。用于解密AES密钥的公钥嵌入在代码中，私钥掌握在攻击者手中。使用RSA加密的AES密钥，使攻击者可以部署勒索软件，而无需通过C2服务器来部署密钥。且DearCry攻击者可以为每个受害者创建具有唯一公钥的勒索软件二进制文件。但是，研究人员发现攻击者试图将相同的二进制文件分发给多个受害者。

有趣的是对于不同的受害者，勒索软件的加密文件类型列表可能有所差别。例如，早期分发的样本1的加密文件列表中不包含流行图像文件(如JPG)、CAD工程图、程序(EXE)和动态链接库(DLL)。大多数的勒索软件家族都会将EXE和DLL从加密文件列表中排除，因为对错误的文件进行加密可能会导致计算机无法启动，这将使受害者无法阅读赎金说明。

通过查看加密目标列表，可以发现DearCry还以ASPX文件为目标。这意味着攻击者可以加密允许远程操作键盘的Exchange Webshell。这使研究人员相信勒索软件可能不会通过Webshell部署，或者攻击者对保持Webshell访问没有兴趣。后来的变体(样本2)还针对EXE和DLL进行加密，以对计算机进行破坏，如下图所示：

DearCry勒索软件对EXE和DLL进行加密，从而阻止它们运行

有趣的是，DearCry在受攻击文件中添加的加密标头，与臭名昭著的WannaCry使用的标头相似。

DearCry勒索软件使用的标头

WannaCry勒索软件使用的标头

以上的两个图片对来自Windows 7系统的Desert.jpg加密文件进行了比较。可以看出，DearCry和WannaCry都在文件开头添加其名称。此外在WannaCry中，蓝色标记部分代表文件类型和未加密前的原始文件大小。偏移量0x010C为文件类型，偏移量0x0110为文件大小。

DearCry中写入标头的代码示例(与WannaCry类似)

从反勒索软件的角度来看，查看DearCry的文件系统行为可以揭示更多的细节。下表列举了DearCry的文件系统行为：

从这些行为来看，DearCry可以被定义为“复制”型勒索软件。它将创建受攻击文件的加密副本并删除原始文件。这导致加密的文件被存储在不同的逻辑扇区中，通常允许受害者恢复一些数据，具体取决于Windows是否重复使用释放的逻辑扇区。

另一种"就地"型勒索软件，如Ryuk、REvil、BitPaymer、Maze和Clop等，会将加密文件与原始文档存储在相同的逻辑扇区上，使得无法通过取消删除工具进行恢复。

DearCry还使用了一个技巧，以使加密文件不能被恢复。即在删除原始文档之前，关闭加密副本之后，对原始文档进行覆盖。这意味着DearCry具有混合加密方法：它执行"复制"和"就地"加密攻击。

在制作原始文档的加密副本后，DearCry会覆盖原始文档

原始的Desert.jpg被DearCry覆盖

这种情况极其罕见，还能想到其他也使用混合加密的勒索软件只有WannaCry。WannaCry也先创建了一个加密的副本，然后覆盖原始文件以防止恢复：

WannaCry的文件系统行为

然而，这些相似点并不足以直接将DearCry链接到WannaCry作者。DearCry的代码、方法和功能与WannaCry都有着显着的差异，如它不与C2服务器进行通信、具有嵌入式RSA加密密钥、不显示带有计时器的用户界面，并且最重要的是DearCry不会感染网络上的其他计算机，而且其二进制文件本身不会删除卷影副本。

如下图所示，DearCry的赎金说明中包含两个电子邮件地址和一个哈希，该哈希是一个标识符，攻击者可以根据该标识符识别与特定攻击相关的解密密钥。

END

本文始发于微信公众号（SecTr安全团队）：攻击者利用Exchange漏洞进行DearCry勒索软件攻击