Magniber勒索软件持续改进并在亚洲不断扩张

TRex 勒索软件 2018年7月23日发布
Favorite收藏

导语:Magniber源代码愈加精细,其地盘从韩国扩张到了其他亚太国家。

Magnitude漏洞利用工具包是仍在使用的、最长久的浏览器利用工具包之一。自2013年出现以来,它一直在全球分发勒索软件。而最终,它演变成了私人行为,专门针对特定地理位置。

2017年,Magnitude通过名为Magnigate的过滤门传播Cerber勒索软件,仅针对少数几个亚洲国家。2017年10月,漏洞工具包运营商开始分发自己的勒索软件Magniber。而恶意软件作者竭尽全力扩大韩国的感染量。除了通过特定国家/地区的恶意广告链进行流量过滤外,Magniber只会在返回特定国家/地区代码时安装,否则会自行删除。

2018年4月,Magnitude意外的开始分发不断增长的GandCrab勒索软件,不久之后采用了新的Flash 0 day(CVE-2018-4878)。这可能是一场测试活动,而且并没有持续多久,不久之后,Magniber又回来了。在我们最近捕获的Magnitude流量中,看到其集成了最新的Internet Explorer漏洞(CVE-2018-8174)。

在本文中,我们来看看Magniber一些值得注意的变化。它的源代码现在更加精细,利用了各种混淆技术,不再依赖于命令和控制服务器或硬编码密钥来实现其加密例程。此外,虽然Magniber以前只针对韩国,但现在它已扩张到其他亚太国家。

一、解压payload

· 72fce87a976667a8c09ed844564adc75 – loader DLL

· 19599cad1bbca18ac6473e64710443b7 – Magniber’s core DLL

在下载并执行最终有效载荷之前有几个阶段。在Magnigate的302重定向(步骤1)后,可以看到用于启动Magnitude登录页面的Base64混淆的JavaScript(步骤2)以及Base64编码的VBScript(两个原始版本的脚本都可以在这篇文章末尾IOC获得)。成功利用CVE-2018-8174之后,获取XOR加密的Magniber。

图1. Magniber感染的流量视图,使用Magnigate重定向和Magnitude EK

图2.解码的Javascript显示重定向到Magnitude的登录页面

图3.显示CVE-2018-8174的VBScript代码片段

一旦Internet Explorer(CVE-2018-8174)中的Use After Free漏洞利用成功,VBScript将执行以下shellcode:

图4.字节数组(shellcode)

功能方面,这个shellcode是一个简单的downloader。它下载混淆的有效载荷,通过用密钥XOR对其进行解码,然后部署它:

图5.通过InternetOpenUrlw API下载最终的有效载荷

然而,下载的有效载荷(72fce87a976667a8c09ed844564adc75)仍然不是Magniber核心,而是下一阶段的loader。这个loader解压缩了Magniber的核心DLL(19599cad1bbca18ac6473e64710443b7)并将其注入一个进程。

这两个元素,loader和Magniber核心,都是具有Reflective Loader stub的DLL,它使用Reflective DLL injection技术将自身加载到当前进程中。

二、行为分析

Magniber所做的动作没有太大变化;它加密文件,最后丢下一个名为README.txt的赎金票据。

图6.受感染机器上留下的赎金票据

给定的链接指向一个洋葱页面(每个受害者都是唯一的),与许多其他勒索软件页面类似:

图7. Magniber的支付页面

由该版本的Magniber加密的文件可以通过扩展名来识别:.dyaaghemy。虽然过去每个文件都使用相同的AES密钥加密,但这次每个文件都是使用唯一密钥加密,即相同的明文得到不同的密文。加密的内容没有可见的模式。这表明使用了流密码或链块的密码(可能是AES的CBC模式)。可以在下面看到Magniber加密前后的BMP文件:

图8.加密之前和之后的文件

三、代码变化

随着时间的推移,Magniber不断发展,其大部分代码都被完全重写。从下图可以看到当前Magniber DLL和早期版本(8a0244eedee8a26139bea287a7e419d9)之间的代码比较,这是在BinDiff的帮助下创建的:

图9.新旧版本Magniber的比较

四、混淆

作者付出了很多努力来改进混淆。我们描述的第一个版本根本没有混淆。相反,当前版本使用一些不同的技术进行混淆。首先,API函数现在通过其校验和动态获取。例如:

图10.通过校验和调用API函数

比较新版本和旧版本,我们可以看到一些重叠的代码片段:

图11.具有正常导入调用的旧版本与具有动态检索函数的新版本

通过搜索当前加载的DLL的导出表来获取函数指针。此技术要求检索函数的DLL已经加载。几个月前,这种检索函数的算法被添加到Magniber中,例如在样本60af42293d2dbd0cc8bf1a008e06f394中。

此外,动态计算调用的一些参数,并在操作之间添加垃圾代码。加载的字符串分散在几个变量中。

图12.添加垃圾代码使分析更加棘手

五、文件加密

我们还可以在功能级别上观察一些变化。早期版本依赖于从CnC服务器下载的AES密钥(如果它不可用,则使用硬编码的密钥,在这种情况下使解密变得微不足道)。这次,Magniber附带攻击者的RSA公钥,使其在加密过程中完全独立于Internet连接。此密钥用于保护用于加密文件的唯一AES密钥。

攻击者的RSA密钥以混淆形式在样本中进行硬编码。这是去混淆后的RSA密钥:

图13.去混淆的RSA密钥

每次要加密新文件时,都会生成两个16字节长的字符串。一个将用作AES密钥,另一个用作初始化向量(IV)。下面可以看到负责生成那些伪随机字符串的代码片段。

图14.生成伪随机字符串

有趣的是随机生成器的弱随机性源可能会造成漏洞。我们可以看到GetTickCount被调用:

图15.使用GetTickCount的随机生成器

生成密钥和IV的完整代码可在以下代码段中找到:https://gist.github.com/hasherezade/7fb69fbd045315b42d7f962a83fdc300

在勒索软件继续加密文件之前,RSA密钥被导入并用于加密生成的数据(密钥+ IV):

图16.文件加密开始之前导入RSA密钥

它产生一个256字节的加密块,传递给加密函数,然后附在加密文件的末尾。除了这些更改之外,在Windows加密API的帮助下,文件也像以前一样加密。

图17.设置AES密钥和初始化向量

图18.加密和写入文件

六、地理扩张

在7月初,我们注意到在常规地区之外发生的漏洞利用,例如在马来西亚。大约在同一时间,MalwareHunterTeam的推文也提到了台湾和香港的感染案例。

随着分发范围的变化,Magniber的代码更新了其语言白名单。现在名单扩大了,增加了其他亚洲语言,如中国(澳门,中国,新加坡)和马来语(马来西亚,文莱)。

图19.扩展语言检查

七、持续发展

虽然Magniber一开始并不令人印象深刻,代码简单且没有混淆,但是它正在积极开发并且其质量不断提高。作者看起来很专业,即使他们犯了一些错误。

该勒索软件如手术般精确操作,从细分发到匹配的语言白名单。犯罪分子明确他们想要瞄准哪些国家,并努力减少噪音以及附带伤害。

由于我们的反漏洞利用模块阻止了Magnitude EK利用CVE-2018-8174(VBScript引擎漏洞),Malwarebytes用户可以抵御此威胁:

IOCs

178.32.62[.]130,bluehuge[.]expert,Magnigate (Step 1)94.23.165[.]192,69a5010hbjdd722q.feedrun[.]online,Magnigate (Step 2)92.222.121[.]30,08taw3c6143ce.nexthas[.]rocks,Magnitude EK (Landing Page)149.202.112[.]72,Magniber

Code snippets

· Javascript

· VBScript

Magniber (original)

6e57159209611f2531104449f4bb86a7621fb9fbc2e90add2ecdfbe293aa9dfc

Magniber (core DLL)

fb6c80ae783c1881487f2376f5cace7532c5eadfc170b39e06e17492652581c2

本文翻译自:https://blog.malwarebytes.com/threat-analysis/2018/07/magniber-ransomware-improves-expands-within-asia/如若转载,请注明原文地址: http://www.4hou.com/typ/12668.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论