勒索病毒鎖定地方政府與小型機構,新變種不只會加密檔案

根據趨勢科技 2019 年度資安總評報告,儘管勒索病毒家族的偵測數量較 2018 年減少,但一些新出現的家族更具威脅性:它們不只會加密資料,某些勒索病毒變種還會自動將受害者的檔案複製到遠端,甚至還能躲避資安軟體偵測和終止某些處理程序。

 

勒索病毒襲擊美國電力機構


美國麻薩諸塞州雷丁市照明局 (Reading Municipal Light Department,簡稱 RMLD) 在一份聲明中指出該局曾遭勒索病毒 Ransomware (勒索軟體/綁架病毒)感染。RMLD 並未揭露明確細節說明其系統如何遭到感染,也未公布歹徒的要求,不過也沒有跡象顯示該局打算支付贖金給歹徒。


RMLD 是麻州雷丁 (Reading) 市電力機構,成立至今已有 125 年歷史,目前服務的家庭與商業客戶超過 29,000 戶。


該局證實沒有任何跡象顯示客戶的金融資訊 (如銀行帳號與信用卡資訊) 有遭到外洩,因為這些資料存放在第三方系統上。此外,帳單方面目前也仍可正常透過臨櫃、線上、手機或投遞箱方式繳費。同時,該局也向客戶保證電力不會中斷。


該機構雇用了一名外部 IT 顧問來協助其內部 IT 團隊解決當前的情況。

除了這起較近期的攻擊之外,美國全國各地在今年初開始才發生過多起勒索病毒攻擊事件,受害機構包括:天然氣廠警察局以及海防基地。這樣的發展與近來勒索病毒開始鎖定地方政府與小型機構為攻擊目標的趨勢吻合,由於這些機構的資源有限,因此很難像大型機構那樣有效因應。


新勒索病毒家族,不只會加密檔案


正如趨勢科技 2019 年度資安總評報告所言,勒索病毒不論在數量和複雜度上都不斷攀升。該報告指出,勒索病毒攻擊案例成長了 10% 以上,從 2018 年的 5,500 萬左右成長至 2019 年的 6,100 萬以上。儘管勒索病毒家族的偵測數量較 2018 年減少,但一些新出現的家族,如:MazeSnatch 和 Zeppelin 都證明了新的勒索病毒家族其實更具威脅性:它們不只會加密資料,某些勒索病毒變種還會自動將受害者的檔案複製到遠端,同時還能躲避資安軟體偵測和終止某些處理程序。


[趨勢科技 2019 年度資安總評:The Sprawling Reach of Complex Threats]


企業機構可採取以下最佳實務原則來保護自己的系統以防範勒索病毒攻擊:

  • 仔細查看電子郵件。使用者應避免點選郵件隨附的連結或下載附件檔案,尤其當郵件是來自不認識的郵件地址。
  • 備份重要檔案3-2-1 備份原則:3 份備份、2 種儲存媒體、1 個不同的存放地點。
  • 套用最新的更新與修補。如此可消除系統可遭到駭客攻擊的漏洞。

除此之外,一套多層式資安方法也有助於防範勒索病毒所有可能的攻擊途徑。電子郵件和網站是勒索病毒入侵最常見的兩種途徑,企業可採用 Deep Discovery Email Inspector  和 InterScan™ Web Security 來加以防範。

此外,其他系統層面也同樣需要受到妥善保護。Smart Protection Network™ 採用行為監控與漏洞防護在端點層次防範勒索病毒感染的風險。趨勢科技的Deep Discovery Inspector 可在網路層次偵測並攔截勒索病毒攻擊。趨勢科技 Deep Security可幫助實體、虛擬或雲端企業伺服器攔截勒索病毒。


萬一不幸真的遭到勒索病毒感染,可嘗試利用趨勢科技勒索病毒檔案解密工具,來解開某些勒索病毒變種所加密的檔案,無須支付贖金,也無須向歹徒取得解密金鑰。
注意:然由於勒索病毒會不斷變種,故無法保證一定能解密成功,我們也會持續更新,請持續關注官網最新資訊。

原文出處:Ransomware Hits U.S. Electric Utility

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用

💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂

FBIGYoutubeLINE官網

在家工作嗎? 請先做好安全設定

最近,大量員工開始從遠端登入公司網路和使用雲端應用程式。這樣的轉變也可能會使防護門戶大開,造成安全風險。究竟該如何做好安全防護呢?
本文分以下四個重點:
– 五個公司檢查清單
– 六個員工須知
– 五個家用網路安全基礎須知
– 四個家庭成員網路安全基本須知

在家工作嗎? 請先做好安全設定

隨著冠狀病毒 (COVID-19,俗稱武漢肺炎)疫情 疫情持續爆發, 全球許多公司都改採行在家工作的模式( work-from-home ,WFH), 成為目前的職場現狀。因此,最近有大量員工開始從遠端登入公司網路和使用雲端應用程式。但這樣的轉變,也可能會使防護門戶大開,造成安全風險和網路威脅

趨勢科技在 2020 年的安全預測中,討論到公司需要謹慎防範在家工作和使用家用裝置連線所產生的風險。遠端裝置讓企業安全的分界變得模糊,其可能受到感染並成為供應鏈攻擊的發動點。

安全團隊和居家辦公使用者可設法降低遠端工作設定所伴隨的風險。以下是一些您可以採取的實用安全措施。

五個公司檢查清單

  1. 設定您的 2FA。許多主流網站和服務都在實施雙重認證 (2FA)。請確保登入設定不只依靠密碼 (例如:運用可驗證身分的手機應用程式或生物識別技術)。密碼很容易遭駭、外流或盜用。
  2. 預設在家工作的規劃。評估您的安全環境,並依照公司政策設立明確的遠端工作準則。為員工提供入侵防禦工具,以及資料遺失和盜用的保護措施,最好是由公司發放經 IT 認可的筆電。
  3. 記得備份資料。備份資料時,請遵循3-2-1 備份原則:要建立至少三份資料副本,使用兩種不同儲存格式,且其中一份副本要離線存放 (例如:提供外接固態硬碟或硬碟)。
  4. 確保有足夠的 VPN 授權。行動工作者增加,代表公司需要配合使用者數量,提供足夠的虛擬私人網路 (VPN) 授權和網路頻寬。
  5. 限制 VPN 的使用。管制 VPN 的存取,並要求使用者定期更新登入資料 (例如:每日允許每位使用者最多 12 小時的存取權,並自動幫使用者登出服務)。
繼續閱讀

新聞網站隱藏惡意程式碼,鎖定香港 iOS 戶,具監視並取得裝置控制能力

最近發現一波針對香港iOS用戶的水坑攻擊。這波攻擊在多家論壇貼上聲稱連至各類新聞報導的連結。雖然這些連結的確會將使用者帶到真正的新聞網站,卻也用了隱藏iframe來載入和執行惡意程式碼。這惡意程式碼會攻擊iOS 12.1和12.2的漏洞。一旦使用帶有漏洞的裝置點入這些連結會下載新的iOS惡意軟體,我們將其稱之為 lightSpy(偵測為IOS_LightSpy.A)。

iphone 手機

這隻惡意軟體是個模組化的後門程式,可以讓駭客遠端執行shell命令並操弄中毒裝置上的檔案。讓攻擊者能夠監視使用者裝置並取得完全控制的能力。它帶有各種模組來從中毒裝置取得資料,包括了:

  • 連接WiFi記錄
  • 聯絡人
  • GPS位置
  • 硬體資訊
  • iOS鑰匙圈
  • 電話通話記錄
  • Safari和Chrome瀏覽器歷史記錄
  • 簡訊

使用者的網路環境資訊也會從目標裝置流出:

  • 可使用的WiFi網路
  • 本地網路IP位址
繼續閱讀

解析超過 80 萬人受害的 Geost 銀行木馬程式

Android銀行木馬Geost最先是從 Stratosphere Laboratory 的 Sebastian García、Maria Jose Erquiaga和 Anna Shirokova的研究披露出來。他們在監視 HtBot惡意代理網路時偵測到這隻木馬程式。此僵屍網路以俄羅斯銀行為目標,在該研究去年發表在 Virus Bulletin時,受害者數量已經超過了 80 萬。

該研究披露了 Geost(趨勢科技偵測為AndroidOS_Fobus.AXM)從受害者竊取的資訊類型及僵屍網路背後團隊的活動,包括操作策略和管理者間的通訊以及僵屍網路編碼器。

因為這有意思的發現,我們決定逆向工程惡意軟體樣本來深入挖掘 Geost 的行為。這隻木馬程式加了好幾層的混淆、加密、反射技術以及注入非功能性的程式碼,使得逆向工程變得更加困難。為了研究程式碼並分析其演算法,我們開發了Python腳本來解密字串。

初始分析

Geost躲在惡意應用程式內,會隨機產生伺服器主機名稱來製作非官方網頁進行散播。受害者會因為尋找在Google Play上沒有的應用程式或當自己無法連上官方應用商店而去找到這些惡意版本。他們會在某些網頁伺服器上找到該應用程式的連結並下載到手機上啟動。應用程式接著就會要求權限,一旦受害者允許就會導致惡意軟體感染。

我們分析的Geost樣本出現在名為 “установка”(俄文)的惡意應用程式中,它的意思是設定。該應用程式會顯示Google Play標誌作為自己的圖示,啟動後就不會出現在手機螢幕上。

圖1. 惡意應用程式установка的圖示

啟動應用程式時會要求裝置管理員權限。這很不正常,一般應用程式不太會這樣做,因為這基本上可以讓應用程式擁有對行動裝置的完全權限。

使用者可能在不知不覺下授予的重要權限還有存取簡訊,這包括來自銀行應用程式的確認訊息。這些訊息讓惡意軟體取得受害者的姓名、餘額和其他銀行帳戶詳細資料。只需點幾下,攻擊者就可以從受害者的銀行帳戶將錢轉走。

圖2. 要求裝置管理員權限的畫面

圖3. 要求的應用程式權限

確認所需的權限後,應用程式的可見部分會關閉,應用程式圖示會消失,讓受害者以為應用程式已被刪除。測試裝置一開始沒有出現有問題的惡意活動跡象,但惡意軟體在背景活動,攻擊者已經取得該裝置的存取權限,使得他們可以監視收發的訊息,包括銀行應用程式的確認訊息。

為了在重開機後依舊繼續活動,它會註冊BOOT_COMPLETED和QUICKBOOT_POWERON廣播。

圖4. 將服務註冊到開機廣播(某些程式碼經過混淆化)

階段一

就跟許多惡意軟體一樣,Geost分成多個階段運行。第一個階段很簡單,會下載和解密執行更加複雜的下一階段。

Geost樣本的APK檔將編譯過的Java程式碼儲存在classes.dex檔內。它還包含了AndroidManifest.xml和資源檔,這些是APK檔的常見內容。它還有一個大小為125k的”.cache”檔案。

為了反編譯解開的classes.dex檔需要使用數個Java反編譯器(包括dex2jar、jadx、jd-core/jd-gui和Ghidra),因為沒有單一的反編譯器能夠反編譯所有的Smali程式碼。

圖5. 反編譯的Java原始碼

乍一看,反編譯程式碼似乎部分編碼在一串字串內;不過字元頻率分析顯示使用了隨機字元。

進一步地分析顯示惡意軟體中包含一些無用的程式碼,除了會拖慢執行速度外對應用程式行為本身沒有影響。這讓逆向工程變得更加困難,因為惡意軟體將有用的程式碼切成多個部分並不斷更改執行路徑。採用哪個分支通常取決帶有未知值的變數。”switch”、”if”和”try/catch”命令區塊也是如此。無意義的程式碼函式讓想全面性了解惡意軟體運作變得更加困難。

圖6. 帶有case switch條件判斷的程式碼

逐步移除無用的程式碼後可以找出被使用的第一個解密演算法。階段一的所有字串都經過 RC4加密,使用了一種演算法來切成多個函式來避免被認出使用了RC4。所以下一步就是找出RC4解密金鑰。

圖 7. 反解譯的Java原始碼,這是RC4演算法的一部分

圖 8. 清理出來的部分RC4程式碼

圖 9. RC4金鑰

RC4 是一種流加密演算法,內部狀態會隨著每個解密的symbol而改變。要解密多個加密字串時,通常解密動作必須按加密時的順序進行。幸運的是,此樣本並非如此。程式碼作者簡化了RC4而沒有在解密動作間保持內部狀態,因為RC4加密程式碼始終複製狀態陣列S[]。

圖 10. RC4加密始終複製狀態陣列S[]

之後開始搜尋常用程式庫。找到了Android.support.v4程式庫和ReflectASM Java Reflection程式庫。

圖 11. 帶有加密字串的程式碼

圖 12. 帶有解密後字串和去混淆化symbol的程式碼

此時階段一的程式碼變得可以理解:它利用反射程式碼來隱藏特定class和method不被注意。基本上,階段一使用相同的RC4演算法和金鑰解密階段二的檔案。

圖13. 反射method調用的例子

前面提到的”.cache”檔被重新命名為.localsinfotimestamp1494987116,在解密後儲存為ydxwlab.jar,可以載入和啟動.dex檔。

圖14. 解密和儲存階段二

程式碼作者插入了一個假旗標HttpURLConnection及其網址,看似會連到命令和控制(C&C)伺服器。但是此 http連線永遠不會執行。

圖 15. 假旗標

階段一載入階段二的class,研究人員將其命名為”MaliciousClass”。

圖16. 啟動階段二

階段二

查看了classes.dex,很明顯地階段二再度使用了模糊化和加密。但這次symbol名稱被 1到2個字元的字串進行部分替換,而不是跟之前一樣的6到12個字元的字串。此外,字串加密演算法也被改成不同於前一階段所用的演算法。使用了不同的工具。此外,解密演算法的參數會根據各class加以修改。

所有的Java反編譯器因為if區塊出現goto命令而在反編譯解密演算法時遇到問題。只有Jeb desers可以處理好此結構。

圖17. 解密演算法的Smali

圖18. 解密演算法的Java程式碼

每個class的解密方法包含不同的參數順序和不同的常數;讓撰寫Python解密腳本變得更加困難。這代表解密腳本必須偵測Smali碼內的演算法設置並自我調整,或是在解密每個class前先在腳本內手動設置參數。

圖 19. 加密字串的例子

字串解密後可以偵測到使用的程式庫。包括:

  • AES加密引擎
  • Base64編碼
  • 模擬器偵測器
  • 檔案下載服務
  • IExtendedNetworkService
  • USSD api程式庫
  • Zip4jUtil

初始化階段

從階段一調用的MaliciousClass成為研究人員稱為”CoNtext”實例化類別(instantiated class)的信封(envelope)。

圖 20. Context Class

Context class 會先啟動模擬器偵測器服務。接著啟動另外兩個服務:AdminService和LPService,然後才做主要要做的事情。

圖 21. 主要的初始化動作

模擬器偵測器

模擬器偵測器會檢查是否在模擬環境內執行的跡象。此樣本會偵測Nox、Andy、Geny、Bluestack和Qemu Android模擬器。

圖 22. 模擬環境追蹤

AdminService

此服務負責對應用程式授予管理員權限。這是個關鍵部分,因為這讓它能夠存取敏感性資料並且可以啟動特權操作。

圖 23. AdminService的關鍵部分

LPService

此服務負責保持應用程式執行並連接C&C伺服器。它使用了WakeLock和WifiLock acquie()呼叫來做到這點。副作用是會讓電量消耗變高,但大多數受害者通常都會忽略掉。

圖 24. 鎖定CPU和WiFi資源

接著LPService會建立LPServiceRunnable執行緒,每五秒喚醒一次並負責監視和重新啟動以下服務:

  • MainService
  • AdminService
  • SmsKitkatService

此服務還會收集執行中程序和工作的資訊。還會定期啟動WebViewActivity(用來開啟瀏覽器視窗到任意網址或啟動惡意程式碼)。此樣本未實作WebViewActivity程式碼。

MainService

MainService首先連接AlarmManager來排程工作,接著註冊兩個廣播接收器:MainServiceReceiver1和MainServiceReceiver2。在初始化階段結束時,它會啟動MainServiceRunnable執行緒。當樣本執行重載的onDestroy() method時,它會再次重新啟動MainService。

圖 25. 重載onDestroy以重新啟動MainService

MainService的一個重要method是processApiResponse(),它處理從C&C伺服器接收來的JSON字串格式命令。

圖 26. 處理C&C伺服器命令

ClearService

此服務調用ClearServiceRunnable執行緒,該執行緒負責鎖定/解鎖命令(封鎖/取消封鎖使用者活動),好讓僵屍網路操作者可以在沒有使用者干預的情況下執行遠端任務。如果有人試圖終止ClearService,它也會重啟自己。

圖 27. CleanService class

圖 28. ClearServiceRunnable

SmsKitkatService

此服務可以讓攻擊者用自己的簡訊應用程式來替換標準簡訊應用程式。在此樣本中,它使用預設版本。

圖 29. 更換預設簡訊應用程式的程式碼

命令

在下表和螢幕截圖可以看到此惡意軟體可識別的命令列表(按程式碼內定義的順序排列):

命令 描述
#conversations 從content://sms/conversations/、content://sms/inbox和content://sms/sent所有的簡訊收集地址、內文、日期和類型欄並送到C&C伺服器
#contacts 從content://com.android.contacts/data/phones收集連絡人列表並送到C&C伺服器
#calls 從content://call_log/calls收集所有通話紀錄並送到C&C伺服器
#apps 收集已安裝套件名稱和標籤列表並送到C&C伺服器
#bhist 此樣本忽略此命令
#interval {set:number} 設定從C&C伺服器取得命令的時間間隔
#intercept 設定要攔截簡訊的號碼(”全部”或號碼列表)
#send id:, to:, body: 傳送簡訊
#ussd {to:address, tel:number} 透過USSD框架撥打號碼
#send_contacts 向電話簿內的所有連絡人傳送簡訊
#server 設定要執行的排程時間
#check_apps {path:url_to_server} 將執行中應用程式列表送到C&C伺服器,從參數內定義的路徑下載archive.zip檔案然後儲存成error.zip並解壓縮。Zip壓縮檔使用密碼”encryptedz1p”。預設伺服器名稱為hxxp://fwg23tt23qwef.ru/
#send_mass {messages: {to:address, body:text}, delay:ms} 向不同地址發送多個簡訊,每次發送間會有延遲
#lock 從ClearServiceRunnable啟動RLA服務來攔截自按鍵AKEYCODE_HOME、AKEYCODE_CAMERA和AKEYCODE_FOCUS的事件。它還會攔截 BackBackPressed() Activity method,靜音鈴聲,清除所有簡訊通知,停止自身和使手機無回應
#unlock 停用#lock命令下的操作,並透過停止ClearServiceRunnable解鎖手機
#makecall {number:tel_number} 使用標準android.intent.action.CALL API撥打號碼
#openurl {filesDir=j:url} 開啟網頁網址
#hooksms {number:tel_number} 設定號碼 – 將所有傳入的簡訊轉發到參數中的號碼
#selfdelete 將工作時間設成無法解析的字串值來停止自身排程的工作

圖 30. C&C伺服器命令列表

ApiRequest、ApiResponse、ApiInterfaceimpl

ApiRequest、ApiResponse 和 ApiInterfaceImpl class支援與C&C伺服器間的通訊。在連接參數初始化裡,replaceOfRandomStr變數值設為true,並且不會在程式碼中更改。

圖 31. 建立C&C伺服器連接字串

圖 32. 連接參數初始化

使用一個演算法來產生C&C伺服器網址用的隨機字串。接著初始化API連線並設定C&C伺服器的主機名稱。

圖 33. 為C&C伺服器網址建立隨機字串

圖 34. API連線初始化

圖 35. 設置C&C伺服器主機名稱

一個C&C伺服器API使用例子是C&C伺服器命令”#contacts”的實作。最終,命令參數會以 JSON格式加入並轉換為字串。

圖 36. C&C伺服器API呼叫的例子

最佳實作和趨勢科技解決方案

趨勢科技在2020年資安預測裡預測了行動惡意軟體家族將持續地增加,就像針對網路銀行和支付系統的Geost。行動用戶在這充滿危險的環境進行探索時,應該要遵循行動裝置防護最佳實作來保護自己。其中一個作法就是避免從官方應用程式商店以外下載。

不過遺憾的是惡意份子總會設法去透過合法應用程式商店散播惡意應用程式。除了靠這些網路商店持續移除有問題的應用程式,使用者也可以在下載前先仔細檢查應用程式評論及其他資訊來避免遇到有問題的應用程式。

應用程式使用者在授權給應用程式前應該要先仔細檢查所要求的權限。之後使用者也要注意其對裝置是否造成不好的影響,如效能下降或電池使用時間變短,這可能代表了遭到惡意軟體感染。此時使用者應該要立即移除新安裝的應用程式。使用者還應該定期檢查來移除未使用的應用程式。

為了進一步抵禦行動威脅,使用者可以安裝提供多層次防護的行動安全解決方案,如趨勢科技行動安全防護,能夠保護行動裝置抵禦惡意應用程式及其他行動威脅的攻擊。

入侵指標

SHA 256 偵測名稱
92394e82d9cf5de5cb9c7c7ac072e77496bd1c7e294683837d30b18880c1810 AndroidOS_Fobus.AXM

@原文出處:Dissecting Geost: Exposing the Anatomy of the Android Trojan Targeting Russian Banks 作者:Vit Sembera(威脅分析師)

Paradise 勒索病毒新變種透過 IQY 檔案散布

新的 Paradise 勒索病毒正利用 Internet Query Files (IQY) 檔案來散布,該勒索病毒家族過去從未用過這類檔案。

以往通常只有其他惡意程式會利用 IQY 檔案發動攻擊,如 Necurs 殭屍網路就是利用  IQY 檔案來散播 FlawedAmmy 遠端存取工具 (RAT)。此外,Bebloh 和 Ursnif 也會藉由 IQY 和 PowerShell 來散布。

[延伸閱讀:Same Old yet Brand-new:New File Types Emerge in Malware Spam Attachments]

IQY 是 Microsoft Excel 所使用的一種檔案,這種檔案內含有一些網址和其他向網際網路查詢所需的內容。根據 Last Line 研究人員表示,IQY 或許不像 Microsoft Office 其他檔案格式那麼廣為人知,但同樣也可能變成歹徒的武器。此次的攻擊並非利用 Microsoft Excel 的任何漏洞,因此就算是平常都按部就班修補的系統還是有受害的風險。

繼續閱讀