#OpJerusalem 2019——一场“开年不顺”的勒索软件攻击行动

Change Web安全 2019年3月12日发布
Favorite收藏

导语:最近几天,一场名为#OpJerusalem的恶意行动正悄然展开,此次行动使用了一种新型的勒索软件,让世界各地的部分用户受到了感染。

最近几天,一场名为#OpJerusalem的恶意行动正悄然展开,此次行动使用了一种新型的勒索软件,让世界各地的部分用户受到了感染。SI-LAB对该恶意软件分析后发现,此恶意软件所使用的技术并不复杂。恶意软件由Go编写,用UPX加壳,一个被硬编码在恶意软件中的RSA公共证书用以加密受害者的目标文件。每当恶意软件运行时,都会生成一个新的惟一密钥。然而,由于加密目标文件的RSA公钥是静态的,既然只用了一个简单的密钥来加密,那么也意味着可以使用唯一的RSA私钥来进行解密。

该恶意软件被称为JCry(加密文件后会将文件名改写为带有.jcry的拓展名),是OpIsrael 2019计划的一部分,OpIsrael计划是某个黑客团体对以色列政府及私人网站每年都展开网络攻击的攻击计划,其目标是对以色列发起网络攻击以抗议以色列政府在以巴冲突中的举措。

该黑客团伙过去曾使用过一些较为常见的攻击手段,比如污损网站或使用分布式拒绝服务攻击(DDoS)。在2013年4月7日,该团伙利用DoS攻击和数据泄露对大量以色列网站造成了有史以来最严重的破坏。而自那以后,参与者和支持者的数量都在减少。

1.png

图1:#OpIsrael参与者的统计数据。

上周末,数百个以色列热门网站成为#OpJerusalem行动的新目标。此次攻击用JCry勒索软件感染Windows用户,而用于传播赎金软件的感染媒介则是遭到破坏的网站。

为了实施这次攻击,黑客们修改了来自nagich[.]com的一个流行的网络功能插件的DNS记录。 当用户使用该插件访问网站时,会加载恶意脚本而不是合法插件。

卡巴斯基实验室首席安全研究员Ido Naor于3月2日星期六在VirusBay分享了这一发现。

1-1.png

然而此次攻击行动并不成功,研究人员表示:

在他们(网络犯罪分子)替换了域名的IP后,只是将流量重定向到一个名为update.html的页面,其中有一个寻找受害者的用户代理的脚本,一旦找到,它就会将其部分与字符串“Windows”进行比较。如果不是Windows,脚本将只显示一个污损页面,是的话则向受害者提供一个伪造的Adobe更新。但由于代码失败(比较if条件),代码始终无法到达下载链接,所以实际上攻击是无效的。

恶意软件的传递过程

在网站遭到入侵后,会放置一个脚本来执行下列任务:

· 如果某个javascript变量与特定的字符串“Windows”相匹配,则会触发恶意Adobe更新消息以传递JCry勒索软件。

· 否则,将显示污损页面。

以色列网站nagish [.] co [.] il遭到入侵被留下了以下信息:#OpJerusalem,耶路撒冷是巴勒斯坦的首都。

网页的源代码发布在GitHub上,可以很容易地看到一个有趣的错误:JCry将永远不会被下载,因为printed的消息条件错误并且始终为真。(代码见此处

2.png

图2:此活动中使用的恶意代码。

为了吸引受害者,下面的图片显示的信息是:“您的Adobe Flash Player版本已经过时,请进行更新”。当用户选择更新时,就会下载恶意文件。

3.jpg

图3:当用户选择更新时,会下载恶意文件。

 4.png

图4:恶意文件“flashplayer_install.exe "从hxxp://185.163.47.134下载。

如果用于访问页面的浏览器用户代理不包含“Windows”,则会显示毁损消息,且不会发生其他任何事情。

5.jpg

图5:当浏览器的用户代理不是Windows设备时的显示页面。

技术分析

SI-LAB通过对这款新型赎金软件的分析,了解其犯罪分子使用的行为和技术。

如果用户下载名为flashplayer_install.exe的exe文件,则会启动感染过程。如图所示,恶意软件图标与常见的Adobe Flash Player可执行文件相同,是诱骗受害者的一种技巧。

6.png

图6:勒索软件图标。

第一个.exe是一个Winrar SFX文件Dropper,其中包含了三个档案,即:

 7.png

图7:dropper。

Enc.exe负责加密用户设备上的所有目标文件,是勒索软件的初始阶段;Dec.exe负责在赎金支付后解密所有文件的可执行文件;最后一个msg.vbs,有一个简单的消息编码。两个文件(* .exe)都将复制到用户的Startup文件夹中。

 8.png

图8:植入的文件。

如下所示,勒索软件由UPX加壳,因此很容易就能破解。

 9.png

9-1.png

图9:检测到UPX加壳器。

乍一看,在解压这两个文件之后,所有文件都被解压,我们可以继续进行恶意软件分析。

 10.png

图10:解压后的Enc.exe。

深入IDA

如图所示,我们可以看到此恶意软件是在Goland上编码的。

 11.png

图11:Goland用于构建勒索软件。

值得注意的是,Golang(Go)是一种相对较新的编程语言,用其编写的恶意软件并不常见。

然而,用Go编写的新变种正在出现,这给恶意软件分析师带来了新的巨大挑战。用Go编写的应用程序体积庞大,在调试器下看起来与使用其他语言编译的应用程序(如C / C ++)有很大不同。

为了解恶意软件是否可行,我们重命名一些功能。可以看到声明的一些加密函数——这是一个重要的指标,我们可以将此威胁归类为勒索软件。

 12.png

图12:观察到的加密函数。

恶意软件的内置RSA公钥用于加密所有目标文件。JCry在加密数据后会将文件带有“.jcry”扩展名的文件名(例如,“file.jpg”重命名为“file.jpg.jcry”)。而在数据加密后,JCry会打开一个弹出窗口并生成一个html文件(“JCRY_Note.html”)并在每个现有文件夹中植入一份副本。我们稍后将对此进行说明。

勒索软件每次加密文件时使用的RSA公钥如下:

 13.png

图13:勒索软件用于加密目标文件的RSA公钥

由于密钥是硬编码的,我们猜测私钥可能也是惟一的——因为公钥是不可变的。这样,通过获取一个私钥,就可以恢复每个受感染用户的所有文件。

具体来说,恶意软件使用crypto_cipher_NewGCM函数加密目标文件,并用os__ptr_File_Write函数在磁盘(加密的文件)上写入更改。

 14.png

14-1.png

图14:用于加密目标文件的函数。

在Dec.exe文件中使用相同的函数来解密文件。

 15.png

15-1.png

图15:用于解密目标文件的函数。

有趣的是,在分析这些文件时,我们能够确定一些关于这个勒索软件(sh4dow)的幕后作者的信息。

 16.png

图16:关于恶意软件作者的信息。

执行恶意软件

在运行时,将创建4个新线程,负责加密受感染用户设备上的所有文件。 

17-1.png

17-2.png

图17:用于加密所有目标文件和CPU性能的线程。

然后对文件进行加密,并添加一个新的文件扩展名(.jcry)。

 18.png

图18:.jcry扩展名被添加到加密文件中。

加密过程完成后,会执行PowerShell,并打开可执行的Dec.exe。

 19.png

图19加密过程结束,解密文件(Dec.exe)会被打开。

恶意软件还将创建一个名为JCRY_Note的赎回通知。其中包含受害者的唯一密钥、发送500美元赎金的比特币地址和一个TOR站点(http://kpx5wgcda7ezqjty)。

 20.png

图20:赎金票据、比特币地址、受害者唯一密钥

如下所示,当通过Powershell进程执行Dec.exe时,ext .exe文件会被删除,而文件“PersonalKey.txt”被添加,其中包含用于支付赎金的密钥。

 21.png

图21:恶意软件生成的唯一个人密钥。

在IDA上也可以观察到这种活动。

 22.png

图22:执行Dec.exe文件时Enc.exe文件会被删除。

接着重新运行恶意软件,并验证是否真的生成了新的唯一的密钥。我们发现,每次运行时都会生成不同的唯一密钥(它们实际上是唯一的)。

 23-1.png

23-2.png

图23:重新运行后生成的唯一密钥。

有趣的是,这次恶意软件无法消除第一阶段(Enc.exe)。此外,如果PersonalKey.txt文件位于同一文件夹中,则勒索软件无法启动。我们需要将其删除后才能重新运行。

 24.png

图24:恶意软件试图删除ext .exe文件时拒绝访问(见左下角)。

通过访问TOR网站,我们观察到它包含一个字段,该字段接收钱包的地址和生成的唯一密钥。

 25.jpg

图25:用来收取赎金的TOR网站

由于用于支付的1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt比特币地址对于每个受害者都是相同的,所以攻击者很难知道实际支付的是谁。目前尚不清楚袭击者在支付赎金后是否会提供密钥。

此外,我们可能会注意到,该比特币账户目前没有收到任何付款(2019年3月5日)。

 26.png

图26:骗子使用的比特币钱包

本文翻译自:https://securityaffairs.co/wordpress/82030/hacking/opjerusalem-2019-jcry-ransomware.html如若转载,请注明原文地址: https://www.4hou.com/web/16610.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论