混合分析深入探究据称由人工智能生成的 FunkSec 勒索软件

• 新型基于 Rust 的勒索软件FunkSec 出现，声称具有 AI 功能，可能表明一种先进的开发方法。

• 积极的防御机制包括反虚拟机检测和进程终止，有效地禁用用户访问。

• 立即禁用 Windows 安全功能和日志记录功能可确保最大限度地减少检测机会。

• 通过计划任务和XChaCha20加密实现持续访问，以保护文件。

• 加密过程依赖于特定壁纸图像的成功下载，这表明存在实施缺陷。

网络安全专家最近发现了一种名为FunkSec的新型 Rust 勒索软件，该软件声称在开发过程中利用了人工智能。该勒索软件于 2024 年首次出现，最近由 CheckPoint 研究人员进行了分析，它展示了一种有趣的复杂功能和开发不一致性组合，表明它仍在开发中。

虽然FunkSec实现了XChaCha20加密算法和全面的反虚拟机技术等高级功能，但其执行过程中仍暴露出一些技术异常。最值得注意的是，该恶意软件包含一个不寻常的依赖关系，即从 imgur.com 下载特定的壁纸图像，否则加密过程将无法启动。这一特殊功能，加上尝试通过端口 4444 连接到本地 IP 地址，以及相对较低的 0.1 BTC 赎金要求，表明该勒索软件可能正在不断发展，并且可能会进一步演变。 

通过这次技术深度探究，我们检查了 FunkSec 的内部运作，从其先进的功能到其明显的发展缺陷。

混合分析视角

正如我们在混合分析报告的“恶意指标”部分中看到的那样，勒索软件使用wevtutil禁用安全和应用程序事件日志记录：

图 1-勒索软件生成进程来修改 Windows 事件日志的配置

该过程使用PowerShell禁用 Windows Defender 的实时保护，如下所示：

图 2 - Defender 的实时保护已禁用

它将当前PowerShell会话的PowerShell执行策略修改为“绕过” ：

图 3 - PowerShell 执行策略设置为“绕过”

勒索软件运行多个 Windows 命令，其中一个命令实施反分析技术，用于验证主机上是否正在运行包含“vmware”的进程（见图 4）。它还使用net session命令检查用户权限。

图 4-恶意软件产生的多个进程

报告的“提取文件”部分显示了名为“ README-<random chars>.md ”的赎金记录：

图 5-赎金记录

深入研究勒索软件

恶意可执行文件通过执行“ net session ”命令来验证其是否以管理员权限运行。如果它未以提升的权限运行，则输出中会显示“访问被拒绝。 ”：

图 6 — 检查管理员权限

反虚拟机技术

该可执行文件检查虚拟化软件，例如VMware或VirtualBox，如下图显示：

图 7-VM 相关进程列表

勒索软件会停止以下进程和服务。值得注意的是，“ explorer.exe ”进程会被终止，用户将无法访问用户界面：

图 8 - 要停止的进程和服务

该二进制文件正在寻找以“ A: ”到“ Z: ”开头的驱动器。它使用CreateFileW API（0x7 = FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE，0x3 = OPEN_EXISTING）检查它们是否存在：

图 9-驱动器枚举

该恶意软件将自身复制到所有可用驱动器并输出“已复制到 USB： ”消息（图 10）。当然，并非所有这些驱动器都是 USB，但该过程不会检查驱动器类型。

图 10 - 自我复制到所有可用驱动器

勒索软件可能仍处于开发阶段的一个迹象是，它尝试通过端口4444连接到一些本地 IP 地址。它使用 connect 方法执行操作：

图 11-Connect 函数调用

图 12 - 端口为 4444 的本地 IP 地址

持久性

勒索软件通过创建名为“ funksec ”的计划任务来建立持久性，该计划任务将执行初始可执行文件：

图 13-创建新的计划任务

该恶意进程使用wevtutil命令禁用安全和应用程序事件日志记录。此外，它还关闭了Windows Defender的实时保护：

图 14 - 实施多种规避技术

赎金记录以硬编码形式写入二进制文件中。其中包含勒索软件版本 (V1.5)、BTC 支付金额 (0.1) 以及比特币钱包地址：

图 15-赎金票据内容

恶意软件会验证机器是否使用代理服务器连接到互联网，如果是，则提取代理服务器的 IP 地址/主机名（见图 16）。

图 16 - 代理检查

它尝试从i.imgur[.]com下载将设置为桌面壁纸的图像。如果操作不成功，则勒索软件不会加密文件：

图 17-从远程网站下载桌面壁纸

通过调用SystemParametersInfoW (0x14 = SPI_SETDESKWALLPAPER )函数将下载的图像设置为桌面壁纸：

图 18-SystemParametersInfoW API 调用

目标文件扩展名列表如图 19 所示。

图 19 - 目标扩展列表

文件加密

勒索软件遍历文件系统并使用FindFirstFileW和FindNextFileW方法检索文件：

图 20 - FindFirstFileW API 调用

图 21 - FindNextFileW API 调用

NtReadFile函数用于读取将要加密的文件的内容。

图 22 - 使用 NtReadFile 读取文件内容

文件采用XChaCha20算法加密，通过调用BCryptGenRandom接口生成nonce（24字节）和key（32字节），如下所示。

图 23 - XChaCha20 nonce 和 key 是随机生成的

图 24 显示了XChaCha20实现的片段。

图 24-XChaCha20 实现

该恶意软件会创建一个扩展名为“ .funksec ”的新文件，并通过对NtWriteFile的函数调用将加密内容填充到该文件中。然后使用DeleteFileW API删除原始文件。

图 25 - 使用 NtWriteFile 填充加密文件

通过混合分析的视角

Hybrid Analysis 已能够识别出 FunkSec 勒索软件会禁用 Windows 事件日志记录和 Windows Defender 的实时保护。详细报告包含有关检查 VM 相关进程的信息以及用于验证用户是否具有管理权限的命令。可以下载包含勒索软件版本 1.5 的勒索信，以进行归因分析。 

Hybrid Analysis 是识别和分析恶意软件的理想平台，无论是普通恶意软件还是高度复杂的恶意软件。它提供了详细的背景和信息，可以在恶意软件的动态分析过程中进一步调查。要对恶意软件样本进行更深入的分析，您可以通过注册 Hybrid Analysis 帐户并成为经过审查的用户来下载它们。

攻击指标

SHA256

00acf5d0db7ef50140dae7a3482d9db80704ec98670bd1607e76c99382a4888c

原文始发于微信公众号（Ots安全）：混合分析深入探究据称由人工智能生成的 FunkSec 勒索软件