发现Mallox勒索软件变种新解密器,瞄准 Linux系统

admin 2024年7月4日12:21:12评论2 views字数 2021阅读6分44秒阅读模式

 概述

Mallox 勒索软件也称为 Fargo、TargetCompany、Mawahelper 等,自 2021 年中期以来一直活跃。从 2022 年中期开始,他们的操作也被观察到过渡到勒索软件即服务分发模式。

Mallox 集团专注于多重勒索,对受害者的数据进行加密,并威胁将其发布到基于 TOR 的公共网站上。

在初始版本中,Mallox 有效负载通常是基于 .NET、.EXE 或 .DLL 文件,这些文件通过各种方法传播,包括暴露的 MS-SQL 服务器以及针对目标 Windows 系统的网络钓鱼或垃圾邮件。

现在,新的 Mallox 勒索软件 Linux 变种已在野外被发现。攻击者使用自定义 python 脚本来传输有效负载和窃取受害者信息。该恶意软件会对用户数据进行加密,并将 .locked 扩展名附加到加密文件中。

发现Mallox勒索软件变种新解密器,瞄准 Linux系统图 1:Malox 勒索软件钻石模型


 

 技术分析

Uptycs 威胁研究团队在调查过程中发现了一个名为 web_server.py 的 Python 脚本。经过检查其内容和功能,它被识别为基于 Flask 的 Mallox 勒索软件 Web 面板,可用于为 Linux 系统创建快速且可定制的勒索软件。该脚本使用数据库凭据的环境变量连接到后端数据库。它包括用户身份验证、构建管理和管理功能的路由,支持新用户注册、登录、密码重置以及勒索软件构建创建、管理和下载。管理员可以管理用户、查看日志和执行帐户操作。此外,该应用程序还具有用户配置文件管理、构建聊天界面以及自定义 404 错误页面。

发现Mallox勒索软件变种新解密器,瞄准 Linux系统图 2:Web_Server.py 脚本内容

该脚本 (web_server.py) 本质上是为任何注册用户创建一个 Mallox 勒索软件加密器和一个解密器。它在主机 IP 字段中包含一个 IP 地址:185[.]73[.]125[.]6。这个ip主要被某人用来根据使用过的配置文件为Mallox构建新的linux勒索软件构建器,后者可用于加密系统接下来的185[.]73[.]125[.]6/output显示了以下内容:

发现Mallox勒索软件变种新解密器,瞄准 Linux系统图 3:/output 索引

上面的屏幕截图显示了构建 ID,打开任何链接都会显示加密器、解密器和 config.json 文件。

发现Mallox勒索软件变种新解密器,瞄准 Linux系统图 4:/output/{build-id} 的索引

 加密器

让我们讨论一下勒索软件加密器。在检查示例的字符串时,我们注意到 Base64 编码的内容似乎不是标准的 Base64。

发现Mallox勒索软件变种新解密器,瞄准 Linux系统图 5:加密配置

将上面的base64内容转换为十六进制,然后与0x9b(十进制155)进行异或,然后用“iv”进行AES-256-CBC解密:“/4EvHTiTUuIMrzjYSpnVLQ==”,“key”:“Byw184x2xrm0qF7sR7fptq1F/96GeD2TAYwbZDSX9dM=”

发现Mallox勒索软件变种新解密器,瞄准 Linux系统图6:解密逻辑

使用上述逻辑解密所有base-64编码的内容后,我们得到了勒索软件的配置

发现Mallox勒索软件变种新解密器,瞄准 Linux系统图 7:解密的配置

我们可以看到下面的完整配置,其中包括勒索记录、客户端 ID、BTC 地址、金额(美元)、截止日期、Tox 聊天 ID、note_name、persist、target-id 和目标目录。

发现Mallox勒索软件变种新解密器,瞄准 Linux系统图 8:勒索软件配置

从上面的配置可以看出,有效载荷是 Mallox 勒索软件。勒索软件使用相同的 AES-256 CBC 加密来加密受害者计算机上的文件(类似于解密配置),其中“iv”:“/4EvHTiTUuIMrzjYSpnVLQ==”和“key”:“Byw184x2xrm0qF7sR7fptq1F/96GeD2TAYwbZDSX9dM=”。AES 是一种对称算法,对于任何加密文件都可以使用相同的密钥和 IV 进行解密。加密后,勒索软件会附加扩展名 .lmallox 并删除名为 READ_THIS_NOW.txt 的勒索注释

发现Mallox勒索软件变种新解密器,瞄准 Linux系统 图 9:勒索字条

 

 解密器

相应加密器的解密器文件可在 185[.]73[.]125[.]6/output/{build-id}/decryptor 上找到。Uptycs 威胁研究团队为以下 build-id (chat-id) 的相应加密器收集了 7 个解密器:

  • 1a2040656ec7ac34

  • 7cc49d60f71e4ca4

  • 84bb1f05ce370665

  • 928bc7bf4d954d3d

  • b90ae4c6e011c45e

  • f6b040a56afcb6fb

  • F65bccf063ee3cc6

 

 Uptycs XDR 覆盖范围

Uptycs 展示了强大的检测功能,具有内置 YARA 支持和高级功能,可通过详细描述识别此类活动活动威胁。

下图为Uptycs检测

发现Mallox勒索软件变种新解密器,瞄准 Linux系统图10:Uptycs检测

 

寻找 Mallox 基础设施

下图显示了我们如何通过在 FOFA 或 Censys 上执行以下查询来寻找当前的 mallox 托管服务器

  • fofa 查询:“http://mallox-2.example.com”

  • censys 查询:“http://mallox-2.example.com”

发现Mallox勒索软件变种新解密器,瞄准 Linux系统图 11:追捕 Mallox 勒索软件基础设施




原文始发于微信公众号(独眼情报):发现Mallox勒索软件变种新解密器,瞄准 Linux系统

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月4日12:21:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   发现Mallox勒索软件变种新解密器,瞄准 Linux系统http://cn-sec.com/archives/2918473.html

发表评论

匿名网友 填写信息