Yara 是一個資安研究人員所使用的開放原始碼工具,可根據預先定義好的規則來偵測及分類惡意程式樣本。前不久,一位同事請我撰寫 Yara 規則來偵測 Stampado 勒索病毒 Ransomware (勒索軟體/綁架病毒)家族的樣本。Stampado 算是一個相對較新的勒索病毒服務 (Ransomware-as-a-Service,簡稱 RaaS) 威脅,不久前剛進入趨勢科技的監控名單。當時我手上只有幾個樣本,原本我打算在這些樣本之間找找看有沒有共同的字串,但沒有成功。後來我比對了各檔案之間的結構發現,每一個檔案末端都有一段有趣的內容,從位移 0xde000 處開始:
圖 1:Stampado 勒索病毒樣本內容以十六進位碼顯示。
檔案末端明顯列了一個電子郵件地址。我向同事詢問是否知道此事,他立即告訴我 Stampado 會提供一些使用說明給購買該套件的駭客,說明中有提到這件事:
圖 2:給 Stampado 買家的使用說明。
我判斷 Stampado 的開發者應該是在每個檔案末端多加了一個位元組,數值為 0x0d (這在 ASCII 字碼表上是返回開頭的 CR 符號),然後叫使用者利用一般的文字編輯工具在最後一行空白下方 (也就是在 CR 符號之後) 加入自己的電子郵件地址。正確來說 CR 符號並不是這樣用,因為在 DOS/Windows 系統下,如果要換行的話,正確的方式是 0x0d 0x0a (也就是 CR + LF:返回開頭並前進一行),至於從 Unix 衍生的作業系統則是只需要 LF 符號。不管怎樣, Stampado 的樣本檔案末端都會帶著一個 CR 符號,這也算是個有趣的特徵,這樣就能建立 Yara 規則來偵測這個惡意程式。 繼續閱讀