Cronus,一种伪装成PayPal文档进行传播的新型勒索病毒

admin 2024年8月13日18:01:13评论20 views字数 3369阅读11分13秒阅读模式

Cronus勒索病毒

近期监控到了大量伪装成PayPal文档进行传播的恶意活动,这是一种自称为Cronus Ransomware的新型无文件勒索病毒变体。这种复杂的恶意软件在全球范围内以个人为目标,完全在计算机内存中运行,不会在受害者的磁盘上留下任何恶意内容的痕迹。

感染方式

初步感染恶意文档

经过初步分析,恶意诱饵最开始是伪装成一个PayPal_charges.doc收据文档,随后,在从恶意流中提取恶意宏时,恶意VBA会下载一个名为8eef4df388f2217caec3dc26.ps1的PowerShell加载器,该加载器使用反射加载技术加载基于勒索软件的 DLL,NETWALKER 和许多其他勒索组织经常使用这项技术。

Cronus,一种伪装成PayPal文档进行传播的新型勒索病毒

加载PowerShell生成恶意.NET

当PowerShell执行后,文件会被更改成一个后缀是.JPEG的PowerShell文件,攻击者在其中加入了三层垃圾代码对其进行混淆,在反混淆后可以看到实际的PowerShell代码。该文件包含包含.NET程序集的两字节数组,这些程序集使用反射加载进一步打包到内存中,最后阶段是包含勒索软件的恶意.NET程序集。

Cronus,一种伪装成PayPal文档进行传播的新型勒索病毒

进一步分析

恶意.NET

进一步对提取到的恶意程序集进行分析,第一个.NET程序集是使用.NET Reactor进行保护的,解压后 ,使用dnSpy工具浏览该文件。

Cronus,一种伪装成PayPal文档进行传播的新型勒索病毒

RegSvcs.exe

解压第一个DLL文件后,我们发现加载的程序集负责执行进程注入。在这种情况下,它会将第二个可执行文件(RegSvcs.exe)注入到进程的内存中。

Cronus,一种伪装成PayPal文档进行传播的新型勒索病毒

Main

查看此最终可执行文件的Main,我们可以看到代码执行与基于勒索软件的行为相关的各种任务,例如更改壁纸、枚举和加密特定文件以及终止正在运行的进程等。

Cronus,一种伪装成PayPal文档进行传播的新型勒索病毒

此外,不难看出它还使用了TRIPLE_ENCRYPT、FULL_ENCRYPT和RECURSIVE_DIRECTORY_LOOK、EXCEPTIONAL_FILE等方法用于勒索行为。

自我复制

勒索软件二进制文件会将自身复制到 C:Users<Username>AppDataLocal 路径,如果二进制文件已经存在或已被复制,它会继续并删除自身。一旦它将自己复制到该位置,它就会重复该过程。

Cronus,一种伪装成PayPal文档进行传播的新型勒索病毒

枚举

勒索软件通过首先枚举本地磁盘驱动器来执行枚举,然后枚举驱动器中存在的文件。它还会检查 System目录中的特定文件夹,并排除它们。然后,它将继续为递归目录查找并创建一个新任务。

Cronus,一种伪装成PayPal文档进行传播的新型勒索病毒

它会针对以下这些文件类型进行加密: 

.myd

.ndf

.qry

.sdb

.sdf

.tmd

.tgz

.lzo

.txt

.jar

.dat

.contact

.settings

.doc

.docx

.xls

.xlsx

.ppt

.pptx

.odt

.jpg

.mka

.mhtml

.oqy

.png

.csv

.py

.sql

.indd

.cs

.mp3

.mp4

.dwg

.zip

.rar

.mov

.rtf

.bmp

.mkv

.avi

.apk

.lnk

.dib

.dic

.dif

.mdb

.php

.asp

.aspx

.html

.htm

.xml

.psd

.pdf

.xla

.cub

.dae

.divx

.iso

.7zip

.pdb

.ico

.pas

.db

.wmv

.swf

.cer

.bak

.backup

.accdb

.bay

.p7c

.exif

.vss

.raw

.m4a

.wma

.ace

.arj

.bz2

.cab

.gzip

.lzh

.tar

.jpeg

.xz

.mpeg

.torrent

.mpg

.core

.flv

.sie

.sum

.ibank

.wallet

.css

.js

.rb

.crt

.xlsm

.xlsb

.7z

.cpp

.java

.jpe

.ini

.blob

.wps

.docm

.wav

.3gp

.gif

.log

.gz

.config

.vb

.m1v

.sln

.pst

.obj

.xlam

.djvu

.inc

.cvs

.dbf

.tbi

.wpd

.dot

.dotx

.webm

.m4v

.amv

.m4p

.svg

.ods

.bk

.vdi

.vmdk

.onepkg

.accde

.jsp

.json

.xltx

.vsdx

.uxdc

.udl

.3ds

.3fr

.3g2

.accda

.accdc

.accdw

.adp

.ai

.ai3

.ai4

.ai5

.ai6

.ai7

.ai8

.arw

.ascx

.asm

.asmx

.avs

.bin

.cfm

.dbx

.dcm

.dcr

.pict

.rgbe

.dwt

.f4v

.exr

.kwm

.max

.mda

.mde

.mdf

.mdw

.mht

.mpv

.msg

.myi

.nef

.odc

.geo

.swift

.odm

.odp

.oft

.orf

.pfx

.p12

.pl

.pls

.safe

.tab

.vbs

.xlk

.xlm

.xlt

.xltm

.svgz

.slk

.tar.gz

.dmg

.ps

.psb

.tif

.rss

.key

.vob

.epsp

.dc3

.iff

.opt

.onetoc2

.nrw

.pptm

.potx

.potm

.pot

.xlw

.xps

.xsd

.xsf

.xsl

.kmz

.accdr

.stm

.accdt

.ppam

.pps

.ppsm

.1cd

.p7b

.wdb

.sqlite

.sqlite3

.dacpac

.zipx

.lzma

.z

.tar.xz

.pam

.r3d

.ova

.1c

.dt

.c

.vmx

.xhtml

.ckp

.db3

.dbc

.dbs

.dbt

.dbv

.frm

.mwb

.mrg

.txz

.vbox

.wmf

.wim

.xtp2

.xsn

.xslt




加密方式

该勒索软件二进制文件使用两种不同类型的加密方法,具体取决于文件大小。对于小于 512 KB 的文件,会使用FULL_ENCRYPT方法立即对文件进行加密。对于大于 512 KB 的文件,则使用TRIPLE_ENCRYPT 方法将文件内容分解为不同的部分并对其进行加密。这两种方法都使用AES加密算法来加密文件。

Cronus,一种伪装成PayPal文档进行传播的新型勒索病毒

此时会添加一些例外文件EXCEPTIONAL_FILE,当勒索软件加密开始时会排除其中的文件。

Cronus,一种伪装成PayPal文档进行传播的新型勒索病毒

终止进程

勒索软件二进制文件会通过在枚举所有正在运行的进程后杀死主程序来终止许多进程。其可以终止的进程列表如下:

sqlwriter

sqbcoreservice

VirtualBoxVM

sqlagent

sqlbrowser

sqlservr

code

steam

zoolz

agntsvc

firefoxconfig

infopath

synctime

VBoxSVC

tbirdconfig

thebat

thebat64

isqlplussvc

mydesktopservice

mysqld

ocssd

onenote

mspub

mydesktopqos

CNTAoSMgr

Ntrtscan

vmplayer

oracle

outlook

powerpnt

wps

xfssvccon

ProcessHacker

dbeng50

dbsnmp

encsvc

excel

tmlisten

PccNTMon

mysqld-nt

mysqld-opt

ocautoupds

ocomm

msaccess

msftesql

thunderbird

visio

winword

wordpad

mbamtray







成功终止上述所有进程后,它将再次调用ALL_DRIVES方法,该方法进一步枚举和加密特定文件。

维持状态

该勒索软件二进制文件利用用著名的RunKeys方式进行状态维持,因为它将cronus的新密钥附加到上述注册表配置单元,该配置单元在启动时运行二进制RegSvcs.exe。

Cronus,一种伪装成PayPal文档进行传播的新型勒索病毒

数据操作

该勒索软件会读取所有剪贴板内容。如果它在剪贴板上找到了比特币地址,它会将其替换为威胁行为者的BTC钱包地址,该地址用于提取赎金金额。

Cronus,一种伪装成PayPal文档进行传播的新型勒索病毒

Cronus,一种伪装成PayPal文档进行传播的新型勒索病毒

Cronus,一种伪装成PayPal文档进行传播的新型勒索病毒

赎金票据突出显示了一个 BTC 钱包地址,经过调查,该地址被证明是空的。

Cronus,一种伪装成PayPal文档进行传播的新型勒索病毒

代码复用

在研究和查看恶意软件样本代码库后,我们可以得出结论,PowerShell加载程序(此活动中使用的 DLL 注入器)中存在的代码确实与其他活动的无文件恶意软件代码重叠,如下所示:

  • Revenge RAT

  • Arrow RAT

  • Async RAT

  • Andromeda RAT

  • XWorm

  • njRAT

结论

我们发现Cronus Ransomware是一种变种无文件恶意软件,且该新型病毒传播非常迅速。上述方法目前是用于将该勒索软件投放到各种目标机器上的主要作案手法。 


原文始发于微信公众号(CatalyzeSec):Cronus,一种伪装成PayPal文档进行传播的新型勒索病毒

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月13日18:01:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Cronus,一种伪装成PayPal文档进行传播的新型勒索病毒https://cn-sec.com/archives/3063346.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息