回归最本质的信息安全

qkG勒索软件:利用office漏洞自复制、文件加密

2017年11月26日发布

29,782
0
0

导语:qkG是一款利用VBA宏进行文件加密的勒索软件变种,这是一款经典的宏恶意软件,会感染word的模板文件(normal.dot),因此所有基于模板文件的新的和空word文档都会感染。

qkG是一款利用VBA宏进行文件加密的勒索软件变种,这是一款经典的宏恶意软件,会感染word的模板文件(normal.dot),因此所有基于模板文件的新的和空word文档都会感染。

通过对qkG深入的分析发现它更像是实验的项目或者PoC,而不是投入使用的恶意软件。然而,这并不意味着qkG的威胁小。qkG的样本证明,程序开发者和其他威胁制造者可以调整qkG的行为和所用的技术。比如,去年11月21日发现第一个样本时,还没有勒索的比特币地址。仅仅2天后,就有了比特币地址,而且可以在特定的时间加密文档。第3天的时候,就出现了不同行为的qkG样本。

恶意软件行为

qkG文件加密器是一款完全用VBA宏写的文件加密恶意软件,在市面上这类软件很少。也是少数使用恶意宏代码的勒索软件,一般宏在应用中主要是用于下载勒索软件。qkG使用恶意宏聚集了Locky勒索软件变种使用的技术,该勒索软件使用了Auto Close VBA宏。当用户关闭文档时,恶意宏就会自动执行。Ukitus Locky宏代码会提取和帮助执行勒索软件,然后加密被感染主机中的目标文件,但是qkG的宏代码只scramble文件。

qkG中值得注意的行为包括加密文件的内容,但是不破坏文件的结构,也不改变文件名。系统中不会有勒索注释,但是预先考虑到文件的内容。qkG会影响ActiveDocument,这意味着只有打开的文档会被加密。

Figure 1 qkG body中的名字和作者

从越南上传到VirusTotal的样本含有一些越南语。宏恶意软件的主体表明开发者命名它为qkG,字符串TNA-MHT-TT2应该是作者的名字。

感染链

当即将感染的受害者开启了宏,normal.dot模版就被感染了,恶意宏代码就被加入到模板文件中了。当word的实例被打开后,含有恶意代码的normal.dot模版就会被加载和执行。

恶意宏代码会降低word的安全设置,这样就不用要求用户开启宏了。如何降低office安全设置等级依赖于office的版本和需求:

· 通过修改下面的注册表来解除保护视图(Protected View):DisableAttachmentsInPV, DisableInternetFilesInPV,和DisableUnsafeLocationsInPV

· 关闭特征——阻止来自Internet内容的执行(Blockcontentexecutionfrominternet)

· 开启对 VBA object model (AccessVBOM)的程序访问

· 把安全等级设置为low

之前的修改执行后,qkG就会感染normal.dot模板文件,增加Document_Close() autostart 宏并把自己复制到文档中。

Figure 2 增加到normal.dot模板中的恶意宏代码

qkG工作原理

当用户打开未受感染的文档,刚开始并不会发生什么。但是一旦用户关闭文档,qkG就会加密文件的内容。并且会展示一条带有邮箱和比特币地址的消息和加密的内容。qkG文件加密器会增加Document_Open() autostart 宏到加密的文档,并把自己复制到body中。也就是说,如果一个文档在安全的机器中打开,感染链就会重复。

Figure 3文档加密后展示给受害者的勒索消息

所用的加密方法就是简单的XOR密码,加密密钥是相同的,并且就在每个加密的文档中。

假设我们创建了一个内容为“1234567890”的文档,在受感染的机器上关闭文档后,奇数字符就会被硬编码的密码’m QkG@PTM17! by TNA@MHT-TT2中对应的字符XOR加密,偶数字符是不变的。加密后的文档内容如图所示:

 1     2     3     4     5     6     7     8     9     0
31 00 32 00 33 00 34 00 35 00 36 00 37 00 38 00 39 00 30 00
31 XOR 49 (I) = 78 
32 remains
33 XOR 27 (‘) = 14
34 remains

样本

样本2d20d5751ffbac9290271969860106fdd34309878a1e06f9dbcac23a7f50b571 含有解密路径。但是并不包含在恶意软件body中,因此不工作。这可能是因为该恶意软件仍在开发中。

Figure 4 qkG样本中的解密路径

样本2e1136a2bfddb108cd3b3a60761113797265b281085ae35e185a4233d2e75d8e不含有解密路径,这也是一个未完成的勒索软件,因为clipboard是不会出现在完成了的加密勒索软件中的。

Figure 5 另外一个qkG样本

 

样本e6b15419059e833424e9c726e9b0b085d9f0fcb2cccbfe1025b0d0f8a1735a66在关闭的时候不立即感染所有的文件,而是添加一个条件,日期的星期必须等于现在时间的分模10。

Figure 6 qkG变种加密文件的时间条件

我们发现这个比特币地址目前还没有任何交易记录。

Figure 7 qkG的比特币交易记录

 

缓解措施

关闭宏可以明显减少基于宏的恶意软件的攻击,比如qkG。经常更新系统和应用,备份数据,限制可以被攻击者利用的工具、组件等的使用。基于宏的恶意软件经常利用社会工程学的文

IoC

Hashes (SHA-256):

· 2d20d5751ffbac9290271969860106fdd34309878a1e06f9dbcac23a7f50b571

· 2e1136a2bfddb108cd3b3a60761113797265b281085ae35e185a4233d2e75d8e

· e6b15419059e833424e9c726e9b0b085d9f0fcb2cccbfe1025b0d0f8a1735a66.doc

本文翻译自http://blog.trendmicro.com/trendlabs-security-intelligence/qkg-filecoder-self-replicating-document-encrypting-ransomware/ ​ 如若转载,请注明原文地址: http://www.4hou.com/typ/8749.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

ang010ela

发私信

发表评论