概述
自2020 年 12 月开始一系列破坏性攻击之后,SentinelLabs就一直跟踪在中东活动的可疑伊朗黑客组织 Agrius 的恶意活动。自从我们在 2020 年 5 月报道该组织以来,Agrius降低了其知名度并且没有观察到进行其它破坏性活动。但这种情况在最近发生了变化,因为该组织可能利用其组织的自定义勒索软件Apostle对以色列大学 Bar-Ilan 发起勒索软件攻击。
虽然该事件的完整技术细节并未公开披露,但一些信息已向公众公开,其中最引人注目的是在受害者机器上投放的赎金要求文本文件。该.txt文件与 2021 年 8 月 15 日(即攻击当天)编译的新版 Apostle 中的文件相匹配。
新版本的Apostle被混淆、加密并压缩为我们称之为Jennlog的加载器(loader)中的资源,因为它试图将资源中的payload伪装成日志文件。在执行Apostle payload之前,Jennlog运行一组测试,以验证它没有在基于嵌入式配置的分析环境中执行。在对Jennlog加载器进行分析后,SentinelLabs检索到Jennlog的另一个变体,用于加载和运行OrcusRAT。
Jennlog分析
Jennlog(5e5e526a69490399494dcd7195bb6c67)是一个.NET加载器,它可以从嵌入文件的资源中对.NET可执行文件进行反混淆、解压和解密。加载器中的资源看起来像日志文件,它既包含要运行的二进制文件,也包含恶意软件的执行配置。
Jennlog试图提取两种不同的资源:
helloworld.pr.txt:存储Apostle Payload和配置。
helloworld.Certificate.txt:不包含任何内容。如果配置为这样做,恶意软件会将系统信息(用作系统指纹)的MD5值与此资源的内容进行比较。
隐藏在 "helloworld.pr.txt "中的Payload乍看之下像是一个日志文件:
嵌入Jennlog的 "helloworld.pr.txt "资源的内容
通过搜索分隔词"Jennifer",从资源中提取Payload。拆分资源的内容会产生一个包含三个字符串的数组:
1.诱饵字符串:很可能是为了使日志文件看起来更真实。
2.配置字符串:用于确定恶意软件执行的配置。
3.Payload:一个混淆、压缩和加密的文件。
配置
Jennlog的配置由13个值组成,在这个恶意软件版本中有12个值被实际使用。在我们能够检索到的变体中,所有这些标志都被设置为0。
Jennlog 配置值
这里发现的最有趣的flags之一是certificate flag(证书标志)。如果设置了此标志,它将导致恶意软件仅在特定的系统上运行。如果这个系统与配置的MD5指纹不匹配,恶意软件将停止运行或利用ExecuteInstalledNodeAndDelete()函数删除自身,该函数创建并运行一个BAT文件,正如在其它Agrius恶意软件中观察到的那样。
Jennlog ExecuteInstalledNodeAndDelete()函数
在所有基于配置的检查之后,Jennlog继续从资源 "helloworld.pr.txt "中解压主二进制文件,在函数EditString()中对被混淆的Payload进行以下字符串操作:
-
用"A "替换所有"nLog"。
-
反转字符串。
-
删除所有空格。
这种操作将产生一个很长的base64编码的压缩内容,该内容使用函数stringCompressor.Unzip()进行inflated(膨胀)。膨胀的内容与原始混淆的Payload的内容非常相似,使用EditString()函数再次对其进行反混淆。
对膨胀内容的反混淆是以一种相当奇特的方式进行的,在尝试将包含 URL 的字符串转换为 int 后作为“catch”语句运行,这将始终导致错误。URL中显示的域名从未被购买,与其它Agrius恶意软件未购买的域名非常相似,经常被用作 " SuperRelays"。但是这里实际上并未联系域。
将EditString()函数作为 catch 语句执行
在第二次运行EditString()函数后,Jennlog对提取的内容进行解码,并使用带有预定义密钥的RC4实现对其进行解密。在这个样本中发现的提取内容是一个新版本的Apostle勒索软件,它被加载到内存中,并使用执行时提供给 Jennlog 的参数运行。
勒索软件Apostle分析
嵌入在Jennlog加载器中的Apostle(cbdbda089f7c7840d4daed22c34969fd876315b6)新变种是在2021年8月15日,即对Bar-Ilan大学进行攻击的当天编译的。它的执行流程与之前报告中描述的变体非常相似,它甚至检查出与之前的勒索软件变体相同的Mutex。
但是,嵌入其中的信息却截然不同:
Ooops, Your files are encrypted!!! Don't worry,Youcan return all your files!
If you want to restore theme, Send $10000 worth ofMonero to following address :
43JuFUyzfcKQwTzCTHpQoA8uLGtbwFBLyeeXoYEEU5dZLhLT1cZJDk4cytjcgQT7kdjSerJqpEp2gUcH91bjLcoq2bqik3j
Then follow this Telegram ID : hxxps://t[.]me/x4ran
这与ynet上报道的在Bar-Ilan勒索软件事件中向媒体发布的信息完全相同。
在Bar-Ilan 大学发现的赎金要求文本文件
除了赎金要求外,受影响机器上使用的壁纸图片也被改变,这次呈现的是一个小丑的形象:
新Apostle变体壁纸图片
OrcusRAT
2021年7月14日,另一个Jennlog变体(43b810f918e357669be42030a1feb727)从伊朗上传到VirusTotal。这个变体与用于加载Apostle的变体高度相似,并包含类似的配置方案(全部设置为0)。它被用来加载OrcusRAT的变体,该变体以类似的方式从文件资源中提取。
从其中提取的OrcusRAT变体(add7b6b60e746c36a66f5ec233873372)于2021年6月20日提交给了VT,通过来自伊朗的相同提交者 ID。它似乎连接到一个内部IP地址192.168.178.114,表明它可能被用于测试。它还包含以下的PDB路径:
C:UsersdouDesktoprepoarcu-winsrcOrcusobjDebugOrcus.pdb
结论
Agrius已经表现出战略性清除系统的想法,并继续改进其工具包以实现勒索软件的功能。目前,我们不知道该行为者是否出于经济动机,但我们知道其最初的意图是破坏。我们希望在未来的Agrius行动中也使用本文发现的部署和规则。SentinelLabs将继续跟踪这个新生组织的发展。
此外,我们建议采取较为完善的防护措施来保护组织的网络安全,因为任何弱点都可能成为攻击者的入口,例如存在漏洞的旧版服务器端软件、点击恶意链接、远程控制系统的弱口令等等,建议经常更新设备上的软件并定期对网络进行安全审计,以及时发现并修复安全漏洞。针对勒索软件,如果已经成为受害者,切勿支付赎金,因为这样并不能保证能够取回数据,但会鼓励犯罪分子继续其活动。相反,应将事件报告给当地的执法机构或试着在互联网上寻找相关的解密器。
技术指标
JennlogLoader (Apostle Loader):
-
5e5e526a69490399494dcd7195bb6c67
-
c9428afa269bbf8c48a08a7109c553163d2051e7
-
0ba324337b1d76a5afc26956d4dc9f57786483230112eaead5b5c92022c089c7
Apostle– Bar-Ilan 变体:
-
fc8221382521a40ec0042431a947a3ca
-
cbdbda089f7c7840d4daed22c34969fd876315b6
-
44c13c46d4f597ea0625f1c87eecffe3cd5dcd257c5fac18a6fa931ba9b5f97a
JennlogLoader (OrcusRAT Loader):
-
43b810f918e357669be42030a1feb727
-
3de36410a99cf3bd8e0c56fdeafa32bbf7625af1
-
14659857df1753f720ac797a43a9c3f3e241c3df762de7f50bbbae00feb818c9
OrcusRAT:
-
add7b6b60e746c36a66f5ec233873372
-
a35bffc49871bb3a48bdd35b4a4d04d208f23487
-
069686119adc13e1785cb7a425611d1ec13f33ae75962a7e50e00414209d1809
原文链接:
https://www.sentinelone.com/labs/new-version-of-apostle-ransomware-reemerges-in-targeted-attack-on-higher-education/
原文始发于微信公众号(维他命安全):Agrius的恶意活动分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论