新型勒索软件变种DeathRansom分析（二）

新型勒索软件变种DeathRansom分析

一、概述

近期，FortiGuard Labs发现了一个正在进行中的DeathRansom恶意活动。我们在关于这个新变种的第一篇文章中重点对收集到的样本进行技术分析。在第二篇文章中，我们将尝试分析该DeathRansom勒索软件与其他恶意活动之间的关联性，并且判断出潜藏在勒索软件背后的幕后黑手究竟是谁。

二、错误的语言线索

我们是从样本13d263fb19d866bb929f45677a9dcbb683df5e1fa2e1b856fde905629366c5e1着手进行分析的，对该恶意样本的分析过程已经在我们的前一篇博客中提到过。这个样本具有调试路径，但是我们无法识别出所使用的语言。此外，该样本中包含9个资源，并且在资源部分带有LANG_SLOVAK标识符常量（0x041B）。这表明，该样本是在默认使用斯洛伐克语言的计算机上进行的编译。

样本内部的调试路径：

样本的.rsrc段中的一部分：

我们尝试以不同的方式分隔PDB路径中的单词，然后将分隔后的结果通过各种机器翻译服务来翻译成斯洛伐克语。但是，最终没有成功翻译出有意义的文字。实际上，“duzuk”一词并没有被Google翻译识别成斯洛伐克语，而是识别为巴斯克语（翻译为“you have”）。

由于这个样本是从.es域名（西班牙）所在的区域下载的，因此巴斯语成为了一个非常关键的线索。我们认为，该域名已经被攻击者攻陷，因此在文章中将不会体现这个具体的域名。

恶意样本的名称也非常值得关注，其名称为：Wacatac_2019-11-20_00-10.exe。其中的“Wacatac”一词可以从巴斯语翻译成多种有意义的文字，因此我们决定进行更深入的研究。

由于文件名中包含明显可以区分的“名称-日期-时间”结构，因此我们决定在所有已知文件中搜索这一模式，最终找到9个文件。这些文件的详细信息如下图所示。

调查表格的一部分：

现在，我们有一些失望，资源的语言ID又从尼泊尔语改为了斯洛伐克语，我们只能很快地再回到对斯洛伐克语的分析之中。此外，调试路径看起来像是机器生成的无意义字符串，而并非是人工使用的某种语言。

因此，我们必须得出结论，巴斯语的出现只是一个巧合。然而，斯洛伐克和尼泊尔的痕迹并非如此。有一种比较合理的假设，是这些字符被故意插入到样本之中，以误导潜在的调查人员。

三、Bitbucket用户资料

尽管略显失望，但这些新样本也为我们提供了一个重要的线索。上图所展现的示例并非是从黑客攻击的.es站点下载的，而是来源于另一个URL：

hxxp://bitbucket[.]org/scat01/1/downloads/Wacatac_2019-11-16_14-06.exe

这个链接目前已经无法访问，scat01用户资料本身也同样无法访问。

在尝试访问scat01用户资料时显示的Bitbucket消息：

然而，当我们搜索试图访问此Bitbucket目录的其他恶意样本时，我们发现在2019年5月出现了一个值得关注的连接日志。该样本与Vidar数据窃取恶意软件家族相关。

Vidar样本的连接日志的一部分：

其名称模式，与我们获得的Wacatac样本有明显相似之处：

Wacatac_2019-11-20_00-10.exe

scat01_2019-05-20_06-13.exe

接下来，我们决定使用URL，在连接日志中搜索连接。

bitbucket[.]org/scat01/*

在VirusTotal上找到的一条连接日志如下图所示（样本dc9ff5148e26023cf7b6fb69cd97d6a68f78bb111dbf39039f41ed05e16708e4）。

通过新的恶意样本进行URL关联：

现在，我们可以分析这些关联。绿色框架中显示的连接应该与Vidar数据窃取恶意软件背后的攻击者相关，因为它们是用于从不同浏览器中提取密码的标准Vidar库。

红色框架中显示的连接，是尝试访问具有另一个Wacatac名称的可执行文件。但遗憾的是，在对Vidar恶意样本进行沙箱分析的过程中，我们无法访问这个链接，因此我们也没能获取到Wacatac_2019-11-16_17-03.exe这个样本。

然而，大家也许还记得，在我们的第一篇文章中曾分析过，DeathRansom使用名称“Wacatac”在注册表中存储加密密钥。因此，我们有充分的理由相信，已经无法访问的Wacatac_2019-11-16_17-03.exe样本是另外一个DeathRansom变种。

因此，基于相同的“恶意软件托管”、相同的命名模式以及Vidar样本尝试下载DeathRansom恶意软件这些事实，我们可以得出结论，Vidar恶意活动与DeathRansom恶意活动是由同一个攻击者进行的，该攻击者使用scat01作为Bitbucket用户资料的名称，同时还用它作为某些恶意软件样本的名称。

我们决定继续进行深入挖掘，看看是否可以发现关于scat01的更多线索。

四、追踪scat01

我们开始寻找其中包含字符串scat01的新型恶意软件。下面是我们研究成果的简短摘要：

1、发现一个Azorult信息窃取恶意软件样本（a45a75582c4ad564b9726664318f0cccb1000005d573e594b49e95869ef25284），会连接到C2服务器“scat01[,]tk”。

2、在Benkow的“面板追踪器”（Panel Tracker）服务中找到了一个C2面板“1ms0rryStealer”，其名称为scat01。

信息窃取恶意软件控制面板的存档记录：

3、我们在hxxp://gameshack[.]ru/scat01.exe找到了最为关键的一个样本（e767706429351c9e639cfecaeb4cdca526889e4001fb0c25a832aec18e6d5e06），该样本是一个没有经过混淆的Evrial信息窃取恶意软件。在我们检查其配置时，可以看到以下“Owner”（所有者）字段：

4、最后一个样本，是从gameshack[.]ru网站的根目录下载的，这可能意味着攻击者以某种方式控制了这一台Web服务器。因此，我们决定调查在这台Web服务器上还能找到些什么。

五、分析Gameshack[.]ru

我们发现了许多恶意样本，这些样本可以直接从Gameshack[.]ru的根文件夹下载。我们决定分析所有可用的样本，以提取任何能帮助我们进行调查的信息。

从gameshack[.]ru下载的恶意样本（来源于VirusTotal）：

在gamehack.ru网站上托管的恶意软件样本属于下载器。这意味着，该恶意软件的作用是下载并运行Payload。主要的Payload有两种类型：

1、Evrial信息窃取恶意软件；

2、挖矿+复制粘贴窃取+信息窃取（Supreme挖矿恶意软件）。

其中，Evrial信息窃取恶意软件没有对Evrial信息窃取样本进行混淆，并且包含相同的“Owner”（所有者）字段“scat01”。

Supreme挖矿恶意软件的样本被“NULL SHIELD”（Confuser变种）所混淆，并嵌入了一个电子邮件地址vitasa01[@]yandex.ru。

下图展示了来自Supreme.exe挖矿恶意软件（样本：1e1fcb1bcc88576318c37409441fd754577b008f4678414b60a25710e10d4251）中的部分字符串。该挖矿恶意软件中也包含Evrial信息窃取恶意软件。

挖矿恶意软件中包含的字符串：

如我们所见，该样本使用与DeathRansom样本相同的iplogger服务来对受感染的主机进行计数。有关详细信息，请参考我们近期发表的博客文章。

Evrial信息窃取恶意软件内部具有相同的所有者“scat01”。

Evrial信息窃取恶意软件中包含的字符串：

目前，网站gameshack[.]ru已经被攻击者控制，该网站分发带有scat01相关字符串的恶意样本。

下面是到目前为止，我们发现的有关攻击者的信息摘要，包括与攻击者相关的恶意软件家族传播情况：

1、DeathRansom勒索软件；

2、Vidar信息窃取恶意软件；

3、Azorult信息窃取恶意软件；

4、Evrial信息窃取恶意软件；

5、1ms0rryStealer（信息窃取恶意软件）；

6、Supreme挖矿恶意软件。

我们到目前得到的归因信息如下：

1、昵称scat01；

2、电子邮件地址vitasa01[@]yandex.ru；

3、被攻陷站点gameshack[.]ru。

显然，这些攻击者使用了位于俄罗斯的电子邮件服务和俄罗斯顶级域名.ru。此外，我们回顾到DeathRansom会对系统语言进行检查，如果检查到前苏联国家的语言环境，则不会对文件进行加密。

此外，在分析该恶意组织使用的信息窃取恶意软件时，我们发现这些软件可以再俄罗斯的地下论坛中购买。因此，我们决定在地下论坛继续搜索。

六、探索俄罗斯地下论坛

在俄罗斯地下论坛中搜索“scat01”和“vidar”之后，我们可以发现一个使用相同昵称的用户对Vidar信息窃取恶意软件进行了评论。

用户scat01发表的关于Vidar信息窃取恶意软件的反馈：

我们在另一个论坛中找到了scat01留下的另外一篇帖子。这次，留言是与Evrial信息窃取恶意软件相关。该用户表示，由于所有信息都进入了恶意软件销售商的服务器，担心有人可能会利用Evrial信息窃取恶意软件访问其日志。

Scat01关于Evrial信息窃取恶意软件卖家的发帖：

在另一个俄罗斯地下论坛中，发现了另一篇包含评论的帖子。这次的评论是针对Supreme挖矿恶意软件的。

关于Supreme挖矿恶意软件的评论：

此外，相同昵称的用户在另一个俄罗斯地下论坛中处于活跃状态（我们在本文中，将这个地下论坛称为“俄罗斯地下论坛#4”）。目前，该用户被禁止使用不同名称的多个帐户，请注意这里使用的个人资料图片。

俄罗斯地下论坛#4的Scat01用户资料：

现在，我们在地下论坛中已经找到了攻击者的个人资料，接下来就可以扩大搜索范围，来比较并筛选信息。我们发现的一个有趣线索是对Yandex.Market的产品评论，该公司提供使用@yandex.ru域名的电子邮件服务。

购买评论：

在评论中，没有包含任何文字，只有评分，但是我们可以看到该用户具体的位置。这条评论发自Aksay。Aksay是俄罗斯Rostov-on-Don附近的一个小镇，我们稍后会继续深挖这条线索。

在Google Map上显示的Aksay：

另外一个重要的线索是评论者帐户的用户名——vitasa01。因此，该灵论用户很可能拥有我们在之前的恶意样本中找到的电子邮件vitasa01[@]yandex.ru。

URL字符串中的Yandex用户名：

另外，我们还关注到这个用户资料中使用的图片，它与俄罗斯地下论坛#4中使用的图片相同。因此，我们就获得了三重匹配：

1、个人资料图片；

2、当前用户名；

3、Yandex用户名。

至此，我们非常确定这个Yandex用户资料与我们在俄罗斯地下论坛#4上找到的scat01用户资料，以及从gameshack[.]ru分发的恶意软件相关联。但是，我们应该如何找到恶意软件作者的真实身份呢？我们决定看看能找到有关于gameshack[.]ru这个网站的哪些信息。

七、继续分析Gameshack[.]ru

我们发现了一个值得注意的YouTube频道，该频道主要是宣传gameshack[.]ru这个网站。指向gameshack[.]ru的超链接写着“我们的游戏门户”字样。

宣传恶意网站的YouTube频道：

在这里，发布的用户名是“SoftEgorka”。其中，Egorka是俄语名字Egor的小写形式。该用户头像所使用的图片也与gameshack[.]ru相关。

我们发现的另外一个值得关注的信息，是一个Skype链接。在下图中，我们可以看到该链接指向用户名为SoftEgorka的Skype用户。

YouTube个人资料中的Skype链接：

当我们在Skype上搜索“SoftEgorka”用户时，我们看到了与俄罗斯地下论坛#4相同的个人资料，这里的用户名使用的是“Super info”。

俄罗斯地下论坛#4中“Super info”用户的个人资料：

Skype地址对应我们在上面所说的YouTube频道。该用户声称他居住在意大利。此外，在进一步搜索关于该用户的信息时，我们发现了另一个可信度较高的信息。

该用户生成他/她来自意大利：

通过对“Super info”用户进行进一步调查，我们发现了有关出售游戏帐户（Steam、WoT、Origin）的一些公告。在这里，我们回忆起此前所观察到的信息窃取恶意软件能从不同的游戏和游戏分发平台窃取密码。这些间接证据表明，“Super info”可能与正在进行的游戏帐号窃取活动有所关联。

一条包含WebMoney ID和已知Skype链接的消息：

在进行销售的联系人中，我们可以找到Skype帐号SoftEgorka以及WebMoney ID 372443071304。在同一用户发表的另一篇文章中也提到了相同的WMID。该用户还出售Steam帐户。在这里，还涉及到了另外一个ID：nedugov99。

一条包含相同WMID和Skype帐户nedugov99的消息：

再次搜索这个新得到的Skype ID，发现了一个出售游戏帐户的旧广告：

在这里，我们可以得到一些关键的信息。

用户名：undefined_Nedugov

Skype ID：nedugov99

手机号码：+7951****311

Vkontakte SNS ID：id154704666

我们对这个手机号码进行了查询，发现该号码属于Rostov-on-Don地区。

接下来，我们对VK id154704666的用户资料进行了调查。

Egor Nedugov的Vkontakte SNS资料截图：

这里的名称“Egor”对应地下论坛的昵称“SoftEgorka”，姓氏“Nedugov”对应Skype帐户“nedugov99”。根据个人资料，此人居住于Rostov-on-Don。我们回顾到scat01所进行的Yandex评论是在Aksay进行的，而Aksay是Rostov-on-Don附近的一个小镇。

更值得关注的是，该用户似乎正在关注（或管理）“Gameshack[.]ru official group”。可以在YouTube的个人资料中找到该小组的链接。

Egor Nedugov关注恶意软件网站VK小组：

在这里，可能会有读者问，既然攻击者在Rostov-on-Don生活，为什么要写到意大利呢？实际上，我们访问Egor的Instagram页面。

Egor的Instagram页面：

我们从该用户的Instagram和Facebook了解到，他确实在意大利生活了一段时间。

这里还有一件事，在调查过程中，我们需要弄清楚scat01和SoftEgorka是否是不同的威胁参与者？其中，前一位会编译恶意软件，而后一位是在Gameshack[.]ru门户上托管恶意软件？显然，我们通过gameshack[.]ru和地理位置建立了联系，但是如果这两个人是朋友并且生活在同一地区呢？

很快，我们就找到了另一个线索——csgo-stats[.]net上的个人资料如下图所示。用户名为scat01的用户将自己成为Egor（俄罗斯语：Erop）。我们必须注意到，Egor这个名字在俄罗斯非常少见。

csgo-stats[.]net上Scat01的个人资料：

我们还发现了同一威胁参与者的许多其他个人资料。根据地下论坛的信息，这个人负责帐户窃取、盗刷信用卡、恶意软件分发、网络钓鱼和诈骗。这也就是为什么这个用户几乎在所有地下论坛的帐户最后都被禁用的原因。

八、总结

最终，FortiGuard实验室将正在持续活跃的DeathRansom和Vidar恶意软件活动之间建立了重要的联系。二者使用相同的命名模式和基础结构。我们发现还有证据表明Vidar样本尝试下载DeathRansom恶意软件。

我们认为，昵称为scat01的攻击者可能负责开展最新的DeathRansom攻击及其他恶意攻击。我们还发现有证据表明所分发的恶意软件与位于俄罗斯的攻击者相关。

最后，根据俄罗斯地下论坛中留下的线索，我们定位到了其幕后的一个攻击者。

FortiGuard防病毒引擎目前可以检测到本文中提到的所有样本示例：

· 05b762354678004f8654e6da38122e6308adf3998ee956566b8f5d313dc0e029 - W32/Kryptik.GYME!tr

· 0cf124b2afc3010b72abdc2ad8d4114ff1423cce74776634db4ef6aaa08af915 - W32/Kryptik.GYQI!tr

· 13d263fb19d866bb929f45677a9dcbb683df5e1fa2e1b856fde905629366c5e1 - W32/Kryptik.ANT!tr

· 2b9c53b965c3621f1fa20e0ee9854115747047d136529b41872a10a511603df8 - W32/GenKryptik.DYFO!tr

· 4bc383a4daff74122b149238302c5892735282fa52cac25c9185347b07a8c94c - W32/GenKryptik.DYBP!tr

· 6247f283d916b1cf0c284f4c31ef659096536fe05b8b9d668edab1e1b9068762 - W32/GenKryptik.DXWB!tr

· 66ee3840a9722d3912b73e477d1a11fd0e5468769ba17e5e71873fd519e76def - W32/Kryptik.GYMH!tr

· dc9ff5148e26023cf7b6fb69cd97d6a68f78bb111dbf39039f41ed05e16708e4 - W32/GenKryptik.DXWQ!tr

· f78a743813ab1d4eee378990f3472628ed61532e899503cc9371423307de3d8b - W32/GenKryptik.DXWH!tr

· fedb4c3b0e080fb86796189ccc77f99b04adb105d322bddd3abfca2d5c5d43c8 - W32/Kryptik.GYQI!tr

· a45a75582c4ad564b9726664318f0cccb1000005d573e594b49e95869ef25284 - W32/Generic!tr.pws

· e767706429351c9e639cfecaeb4cdca526889e4001fb0c25a832aec18e6d5e06 - MSIL/Agent.QJH!tr

· 1e1fcb1bcc88576318c37409441fd754577b008f4678414b60a25710e10d4251 - MSIL/CoinMiner.AHY!tr

FortiGuard Web过滤服务阻止以下URL为恶意：

· iplogger[.]org/1Zqq77

· bitbucket[.]org/scat01/

· scat01.mcdir[.]ru

· gameshack[.]ru

· scat01[.]tk

九、威胁指标

SHA256：

05b762354678004f8654e6da38122e6308adf3998ee956566b8f5d313dc0e029

0cf124b2afc3010b72abdc2ad8d4114ff1423cce74776634db4ef6aaa08af915

13d263fb19d866bb929f45677a9dcbb683df5e1fa2e1b856fde905629366c5e1

2b9c53b965c3621f1fa20e0ee9854115747047d136529b41872a10a511603df8

4bc383a4daff74122b149238302c5892735282fa52cac25c9185347b07a8c94c

6247f283d916b1cf0c284f4c31ef659096536fe05b8b9d668edab1e1b9068762

66ee3840a9722d3912b73e477d1a11fd0e5468769ba17e5e71873fd519e76def

dc9ff5148e26023cf7b6fb69cd97d6a68f78bb111dbf39039f41ed05e16708e4

f78a743813ab1d4eee378990f3472628ed61532e899503cc9371423307de3d8b

fedb4c3b0e080fb86796189ccc77f99b04adb105d322bddd3abfca2d5c5d43c8

a45a75582c4ad564b9726664318f0cccb1000005d573e594b49e95869ef25284

e767706429351c9e639cfecaeb4cdca526889e4001fb0c25a832aec18e6d5e06

1e1fcb1bcc88576318c37409441fd754577b008f4678414b60a25710e10d4251

URL：

iplogger[.]org/1Zqq77

bitbucket[.]org/scat01/

scat01.mcdir[.]ru

gameshack[.]ru

scat01[.]tk