利用IQY(Excel Web Query)文件分发,Buran勒索病毒又出新变种

千里目安全实验室 勒索软件 2019年11月21日发布
Favorite收藏

导语:近日,深信服安全团队关注到一项新的垃圾邮件活动用来传播Buran勒索病毒,其通过传播IQY(Microsoft Excel Web Query)附件,诱导用户打开附件,该附件通过请求网上数据执行powershell,用来进行病毒母体的下载。

近日,深信服安全团队关注到一项新的垃圾邮件活动用来传播Buran勒索病毒,其通过传播IQY(Microsoft Excel Web Query)附件,诱导用户打开附件,该附件通过请求网上数据执行powershell,用来进行病毒母体的下载。该家族之前使用”Rig Exploit Kit”工具包(使用CVE-2018-8174-微软IE浏览器远程命令执行漏洞)进行攻击,可以看到勒索病毒在使用多种技术以及方式进行攻击,让受害者防不胜防。

据悉,Buran勒索病毒实为VegaLocker勒索病毒的变种,两者在加密后都会修改文件后缀为生成的用户ID,勒索信息文件结构也十分相似:

图片1.png

左图为VegaLocker勒索病毒,右图为Buran勒索病毒

与VegaLocker勒索病毒有所不同的是,Buran的传播方式更加多变。如利用IQY附件进行传播,当打开IQY文件时,需要通过用户的交互才能成功利用,点击启用后excel会从外部资源导入数据:

图片2.png

iqy文件包含的命令内容是读取并执行http://ocean-v.com/wp-content/1.txt中包含的命令,调用cmd,cmd调用powershell下载运行勒索病毒:

图片3.png

加密后将会修改文件后缀名为生成的用户ID:

图片4.png

勒索病毒详细分析

Buran勒索病毒带有使用RunPE的加壳程序,会在内存中释放并运行Delphi母体,母体运行后会首先检测启动参数。

不带参数启动

当程序以不带参数的方式启动时,程序会解密出IP地址查询域名,获取国家名称:

图片5.png

随后解密出UKraine、Belorussia、Kazakhstan、Russian Federation,并比较地区代码,如有符合则退出程序不进行加密:

图片6.png

接着测试是否能在Temp目录下释放文件,如果可以则遍历进程,随机选取一个进程名称作为文件名,拷贝自身到%appdata% \Microsoft\Windows\目录下,否则退出程序:

图片7.png

自复制后以”-start”参数重新启动进程,并进行自删除。

带”-start”参数启动

当程序以带”-start”参数形式启动时,会在注册表中写入Public Key和Encrypted Private Key:

图片8.png

检查注册表项HKEY_CURRENT_USER\Software\Buran\Knock的值,如果不为0x29A,则连接URL” iplogger.org /1i8r57.jpg”,发送病毒版本和生成的ID,最后创建Knock键值写入0x29A:

图片9.png

随后以” -agent 0”参数重新启动进程。

带” -agent 0”参数启动

当带” -agent 0”参数启动程序时,病毒会调用cmd执行命令用以关闭影响加密的服务,总计有200个命令行,相关命令行如下:

1.png

最后使用RSA+AES算法对文件进行加密,加密时会跳过指定目录和文件,以不影响系统运行:

a.png

微信截图_20191121105126.png

解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。

病毒防御

深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

6、如果业务上无需使用RDP的,建议关闭RDP。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。

如若转载,请注明原文地址: https://www.4hou.com/typ/21692.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论