探秘新型勒索软件“PureLocker”,已被多个黑客组织用于发起攻击
时间:2023-02-01 13:19 来源:网络整理 作者:采集插件 点击:次
最近,Intezer和IBM X-Force IRIS研究团队发现了一种此前从未被公开披露过的新型勒索软件——PureLocker,能够同时攻击windows和linux操作系统。 据称,PureLocker与后门恶意软件“more_eggs”存在部分代码重叠,并且已经被Cobalt Gang和FIN6等多个黑客组织使用过。 初步分析这里分析的PureLocker样本是一个适用于Windows操作系统的版本,伪装成一个名为“Crypto++”的C++加密库:
分析表明,该文件并不是一个C++加密库,而是一个可能与Cobalt Gang有关存在关联的恶意二进制文件,但代码经过了大幅修改。 深入观察样本是采用PureBasic编写的,这是一种不太常用的编程语言,也就导致恶意软件能够顺利绕过某些杀毒软件的检测。此外,PureBasic代码还可以在Windows、Linux和OS-X之间移植,这就使得开发适用于不同平台的恶意软件更加容易。 PureLocker被设计为由regsrv32.exe作为COM服务器DLL执行,它将调用DllRegisterServer导出,恶意软件的代码驻留在导出中。 字符串被编码并存储为Unicode十六进制字符串,通过调用字符串解码函数,可以根据需要对每个字符串进行解码。
代码首先会检查它是否正在按照攻击者的意图执行,以及是否正在被分析或调试。有任何一项检查不符,恶意软件就会立即退出,但不会删除自身:
一旦有效载荷执行,恶意软件就会立即删除自身。 PureLocker很可能只是完整攻击链的一部分有几个迹象表明,PureLocker很有可能只是一个高针对性、多阶段攻击的一部分。恶意软件首先会检查其自身是否是使用“/s/i”参数执行的,这个参数的作用是指示regsrv32.exe安装DLL组件而不引发任何对话(静默):
稍后,恶意软件会验证它是否确实由“regsrv32.exe”执行,并验证其文件扩展名是否为“.dll”或“.ocx”、计算机上的当前年份是否为“2019”,以及是否具有管理员权限。有任何一项检查不符,恶意软件就将在不执行任何恶意活动的情况下退出。 这种行为在勒索软件中并不常见,勒索软件通常倾向于感染尽可能多的受害者,以便获取得尽可能多的收益。此外,被设计为以非常规方式执行的DLL文件的行为也表明,该勒索软件是多阶段攻击的后期组件。 规避和反分析技术与其他勒索软件不同,该恶意软件通过手动加载“ ntdll.dll”的另一个副本来使用反钩挂技术,并从此处手动解析API地址,这么做的目的是逃避用户模式下ntdll函数的挂钩。尽管这是一个已知的技巧,但很少在勒索软件中使用。 导入本身被存储为32位哈希值,PureLocker使用了常规的哈希解析方法来获取函数地址。
同样值得注意的是,PureLocker使用的是ntdll.dll中的低级别Windows API函数来实现其大部分功能(kernel32.dll和advapi32.dll除外),尤其是用于文件操作。 除了利用advapi32.dll(RtlGenRandom)的SystemFunction036进行伪随机数生成外,它并不使用Windows Crypto API函数,而是依赖于内置的purebasic加密库来满足其加密需求。 加密和赎金票据在完成了所有的反分析和完整性测试之后,PureLocker将继续使用硬编码的RSA密钥,通过标准AES + RSA组合对受害者计算机上的文件进行加密并添加“.CR1”扩展名。(主要加密数据文件,并会根据特定文件的扩展名跳过对可执行文件的加密。) 然后,它会删除原始文件,以防止恢复。 (责任编辑:admin) |
- 上一篇:第四次全国经济普查
- 下一篇:如何追踪对方微信聊天记录(掌握3个查询步骤)