Cronus勒索病毒
近期监控到了大量伪装成PayPal文档进行传播的恶意活动,这是一种自称为Cronus Ransomware的新型无文件勒索病毒变体。这种复杂的恶意软件在全球范围内以个人为目标,完全在计算机内存中运行,不会在受害者的磁盘上留下任何恶意内容的痕迹。
感染方式
初步感染恶意文档
经过初步分析,恶意诱饵最开始是伪装成一个PayPal_charges.doc收据文档,随后,在从恶意流中提取恶意宏时,恶意VBA会下载一个名为8eef4df388f2217caec3dc26.ps1的PowerShell加载器,该加载器使用反射加载技术加载基于勒索软件的 DLL,NETWALKER 和许多其他勒索组织经常使用这项技术。
加载PowerShell生成恶意.NET
当PowerShell执行后,文件会被更改成一个后缀是.JPEG的PowerShell文件,攻击者在其中加入了三层垃圾代码对其进行混淆,在反混淆后可以看到实际的PowerShell代码。该文件包含包含.NET程序集的两字节数组,这些程序集使用反射加载进一步打包到内存中,最后阶段是包含勒索软件的恶意.NET程序集。
进一步分析
恶意.NET
进一步对提取到的恶意程序集进行分析,第一个.NET程序集是使用.NET Reactor进行保护的,解压后 ,使用dnSpy工具浏览该文件。
RegSvcs.exe
解压第一个DLL文件后,我们发现加载的程序集负责执行进程注入。在这种情况下,它会将第二个可执行文件(RegSvcs.exe)注入到进程的内存中。
Main
查看此最终可执行文件的Main,我们可以看到代码执行与基于勒索软件的行为相关的各种任务,例如更改壁纸、枚举和加密特定文件以及终止正在运行的进程等。
此外,不难看出它还使用了TRIPLE_ENCRYPT、FULL_ENCRYPT和RECURSIVE_DIRECTORY_LOOK、EXCEPTIONAL_FILE等方法用于勒索行为。
自我复制
勒索软件二进制文件会将自身复制到 C:Users<Username>AppDataLocal 路径,如果二进制文件已经存在或已被复制,它会继续并删除自身。一旦它将自己复制到该位置,它就会重复该过程。
枚举
勒索软件通过首先枚举本地磁盘驱动器来执行枚举,然后枚举驱动器中存在的文件。它还会检查 System目录中的特定文件夹,并排除它们。然后,它将继续为递归目录查找并创建一个新任务。
它会针对以下这些文件类型进行加密:
|
.myd |
.ndf |
.qry |
.sdb |
.sdf |
.tmd |
.tgz |
|
.lzo |
.txt |
.jar |
.dat |
.contact |
.settings |
.doc |
|
.docx |
.xls |
.xlsx |
.ppt |
.pptx |
.odt |
.jpg |
|
.mka |
.mhtml |
.oqy |
.png |
.csv |
.py |
.sql |
|
.indd |
.cs |
.mp3 |
.mp4 |
.dwg |
.zip |
.rar |
|
.mov |
.rtf |
.bmp |
.mkv |
.avi |
.apk |
.lnk |
|
.dib |
.dic |
.dif |
.mdb |
.php |
.asp |
.aspx |
|
.html |
.htm |
.xml |
.psd |
|
.xla |
.cub |
|
.dae |
.divx |
.iso |
.7zip |
.pdb |
.ico |
.pas |
|
.db |
.wmv |
.swf |
.cer |
.bak |
.backup |
.accdb |
|
.bay |
.p7c |
.exif |
.vss |
.raw |
.m4a |
.wma |
|
.ace |
.arj |
.bz2 |
.cab |
.gzip |
.lzh |
.tar |
|
.jpeg |
.xz |
.mpeg |
.torrent |
.mpg |
.core |
.flv |
|
.sie |
.sum |
.ibank |
.wallet |
.css |
.js |
.rb |
|
.crt |
.xlsm |
.xlsb |
.7z |
.cpp |
.java |
.jpe |
|
.ini |
.blob |
.wps |
.docm |
.wav |
.3gp |
.gif |
|
.log |
.gz |
.config |
.vb |
.m1v |
.sln |
.pst |
|
.obj |
.xlam |
.djvu |
.inc |
.cvs |
.dbf |
.tbi |
|
.wpd |
.dot |
.dotx |
.webm |
.m4v |
.amv |
.m4p |
|
.svg |
.ods |
.bk |
.vdi |
.vmdk |
.onepkg |
.accde |
|
.jsp |
.json |
.xltx |
.vsdx |
.uxdc |
.udl |
.3ds |
|
.3fr |
.3g2 |
.accda |
.accdc |
.accdw |
.adp |
.ai |
|
.ai3 |
.ai4 |
.ai5 |
.ai6 |
.ai7 |
.ai8 |
.arw |
|
.ascx |
.asm |
.asmx |
.avs |
.bin |
.cfm |
.dbx |
|
.dcm |
.dcr |
.pict |
.rgbe |
.dwt |
.f4v |
.exr |
|
.kwm |
.max |
.mda |
.mde |
.mdf |
.mdw |
.mht |
|
.mpv |
.msg |
.myi |
.nef |
.odc |
.geo |
.swift |
|
.odm |
.odp |
.oft |
.orf |
.pfx |
.p12 |
.pl |
|
.pls |
.safe |
.tab |
.vbs |
.xlk |
.xlm |
.xlt |
|
.xltm |
.svgz |
.slk |
.tar.gz |
.dmg |
.ps |
.psb |
|
.tif |
.rss |
.key |
.vob |
.epsp |
.dc3 |
.iff |
|
.opt |
.onetoc2 |
.nrw |
.pptm |
.potx |
.potm |
.pot |
|
.xlw |
.xps |
.xsd |
.xsf |
.xsl |
.kmz |
.accdr |
|
.stm |
.accdt |
.ppam |
.pps |
.ppsm |
.1cd |
.p7b |
|
.wdb |
.sqlite |
.sqlite3 |
.dacpac |
.zipx |
.lzma |
.z |
|
.tar.xz |
.pam |
.r3d |
.ova |
.1c |
.dt |
.c |
|
.vmx |
.xhtml |
.ckp |
.db3 |
.dbc |
.dbs |
.dbt |
|
.dbv |
.frm |
.mwb |
.mrg |
.txz |
.vbox |
.wmf |
|
.wim |
.xtp2 |
.xsn |
.xslt |
加密方式
该勒索软件二进制文件使用两种不同类型的加密方法,具体取决于文件大小。对于小于 512 KB 的文件,会使用FULL_ENCRYPT方法立即对文件进行加密。对于大于 512 KB 的文件,则使用TRIPLE_ENCRYPT 方法将文件内容分解为不同的部分并对其进行加密。这两种方法都使用AES加密算法来加密文件。
此时会添加一些例外文件EXCEPTIONAL_FILE,当勒索软件加密开始时会排除其中的文件。
终止进程
勒索软件二进制文件会通过在枚举所有正在运行的进程后杀死主程序来终止许多进程。其可以终止的进程列表如下:
|
sqlwriter |
sqbcoreservice |
VirtualBoxVM |
sqlagent |
sqlbrowser |
sqlservr |
code |
|
steam |
zoolz |
agntsvc |
firefoxconfig |
infopath |
synctime |
VBoxSVC |
|
tbirdconfig |
thebat |
thebat64 |
isqlplussvc |
mydesktopservice |
mysqld |
ocssd |
|
onenote |
mspub |
mydesktopqos |
CNTAoSMgr |
Ntrtscan |
vmplayer |
oracle |
|
outlook |
powerpnt |
wps |
xfssvccon |
ProcessHacker |
dbeng50 |
dbsnmp |
|
encsvc |
excel |
tmlisten |
PccNTMon |
mysqld-nt |
mysqld-opt |
ocautoupds |
|
ocomm |
msaccess |
msftesql |
thunderbird |
visio |
winword |
wordpad |
|
mbamtray |
成功终止上述所有进程后,它将再次调用ALL_DRIVES方法,该方法进一步枚举和加密特定文件。
维持状态
该勒索软件二进制文件利用用著名的RunKeys方式进行状态维持,因为它将cronus的新密钥附加到上述注册表配置单元,该配置单元在启动时运行二进制RegSvcs.exe。
数据操作
该勒索软件会读取所有剪贴板内容。如果它在剪贴板上找到了比特币地址,它会将其替换为威胁行为者的BTC钱包地址,该地址用于提取赎金金额。
赎金票据突出显示了一个 BTC 钱包地址,经过调查,该地址被证明是空的。
代码复用
在研究和查看恶意软件样本代码库后,我们可以得出结论,PowerShell加载程序(此活动中使用的 DLL 注入器)中存在的代码确实与其他活动的无文件恶意软件代码重叠,如下所示:
-
Revenge RAT
-
Arrow RAT
-
Async RAT
-
Andromeda RAT
-
XWorm
-
njRAT
结论
我们发现Cronus Ransomware是一种变种无文件恶意软件,且该新型病毒传播非常迅速。上述方法目前是用于将该勒索软件投放到各种目标机器上的主要作案手法。
原文始发于微信公众号(CatalyzeSec):Cronus,一种伪装成PayPal文档进行传播的新型勒索病毒
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论