趨勢科技最近報導了 EMEA(歐洲、中東和非洲)地區出現 勒索軟體 Ransomware大量激增,特別是 加密勒索軟體 攻擊。現在這類攻擊不再僅限於該地區。趨勢科技工程師的研究顯示,紐澳地區最近也受到此類惡意軟體的影響,這次是TorrentLocker勒索軟體。
感染鏈
圖一、紐澳地區攻擊的感染鏈圖解
這惡意軟體透過電子郵件到達,偽裝成來自新南威爾士州政府(在此篇裡簡稱為NSW)的刑事命令或澳洲郵政的遞送通知。一旦使用者點入連結就會被重新導倒一個偽造的網頁,使用類似官方名稱的新註冊網域。
這網頁會指示使用者輸入驗證碼來下載檔案。如果輸入正確,就會下載來自檔案代管網站(SendSpace)的壓縮格式惡意檔案。
一旦使用者打開壓縮檔並執行惡意程式,它會連到指揮和控制(C&C)伺服器。收發資訊成功後,惡意軟體會利用ECC加密演算法來加密使用者電腦上的檔案,並且加上.encrypted副檔名。接著,它會放入一帶有解密說明和勒贖頁面的HTML檔。它還會透過指令vssadmin.exe Delete Shadows /All /Quiet來刪除感染系統上的陰影複製(Shadow Copy),防止使用者從備份回復檔案。
根據趨勢科技主動式雲端截毒服務 Smart Protection Network的反饋資料,有98.28%的收件者來自澳洲。
比特幣付款
為了支付贖金,使用者需要註冊一個比特幣(Bitcoin)錢包和從建議連結購買比特幣。一旦完成付款,網路犯罪份子會將比特幣從給定的比特幣地址轉到其官方比特幣地址,他們也可以進行一連串的轉移好不被警方追踪。解密軟體只能用於指定的感染電腦;每一個受感染的系統都需要自己獨特的30位數金鑰。否則就會破壞掉檔案。
受此惡意軟體感染的使用者被分配如下格式的代碼:
- hxxp[:]//{gibberish}.gate2tor.org/buy.php?user_code={xxxxxxx}
直到12月9日,垃圾郵件發送者將密碼加入這個樣本格式:
- hxxp[:]//r2bv3u64ytfi2ssf.way2tor.org/buy.php?user_code={xxxxx}&user_pass={xxxx}
這些網址只能透過Tor網路連上,因為其網站使用TOR2Web網路代理。使用TOR2Web,使用者就不需要安裝Tor瀏覽器來進行付款。TOR匿名網路是用來隱藏網路流量。在此案例中,其主要目的是要當使用者付費後用來隱藏解密檔案的資料。
勒贖頁面會警告贖金將會在4天或96小時後加倍。在澳洲,贖金價格是598澳幣。但如果使用者不是位於紐澳或EMEA地區,會出現以英文寫成的通用網頁來要求美金計價的贖金。
圖二、澳洲(上),西班牙(中)和非紐澳/EMEA國家(下)的勒贖訊息
我們已經鎖定網路犯罪份子的可能比特幣地址。截至本文發表時,已經出現1,223次交易,從2014年11月到12月共收到了810比特幣。
相關的垃圾郵件活動
在11月初,我們注意到相關電子郵件大量出現。我們看到其電子郵件、網址和檔案有相似之處。例如,網址路徑帶有共同的.PHP檔案名稱會在隨後不停看到:
- 11月12日:新南威爾士州的電子郵件連結呼叫腳本php
- 11月16日:新南威爾士州的電子郵件連結呼叫腳本php
- 11月17日:新南威爾士州的電子郵件連結呼叫腳本php
- 11月20日:新南威爾士州的電子郵件連結呼叫腳本php
- 11月24日:新南威爾士州的電子郵件連結呼叫腳本.local.php
- 11月25日:澳洲郵政的電子郵件連結呼叫腳本php
- 11月27日:新南威爾士州的電子郵件連結呼叫腳本php
- 12月1日:新南威爾士州的電子郵件連結呼叫腳本php
- 12月9日:新南威爾士州的電子郵件連結呼叫腳本php
- 12月10日:新南威爾士州的電子郵件連結呼叫腳本php
- 12月17日:新南威爾士州的電子郵件連結呼叫腳本php
- 12月22日:新南威爾士州的電子郵件連結呼叫腳本php
- 12月24日:新南威爾士州的電子郵件連結呼叫腳本php
超過4000多個被封鎖的網址帶有這些關鍵字,大多數都是被入侵淪陷的網站。
閃躲策略
為了增加躲過垃圾郵件過濾程式的機會,這些垃圾郵件活動透過寄件者原則架構(SPF)認證。舉一個垃圾郵件活動為例,其寄件網域是send-nsw-gov[.]org,它可以通過SPF檢查,也增加其通過某些垃圾郵件過濾程式的機會。
圖三、垃圾郵件通過SPF
為了躲避能夠追蹤連結的郵件掃描偵測,該郵件要求使用者連上一個網頁並輸入驗證碼以從SendSpace下載惡意軟體。
圖四、帶有驗證碼的偽造網頁樣本
追蹤活動
我們發現垃圾郵件發送者使用進階SendSpace帳號。每當輸入了正確的驗證碼,檔案通過不同的SendSpace直接下載連結下載。他們設法透過PHP腳本來提供獨特的連結。下載的檔案帶有關鍵字如「id_{XXXXXXXXXX}」(其中X是數字)並且壓縮過。比方說,詐騙網址hxxp://up-nsw-gov.org/detailed_info.php會導到下列SendSpace連結:
- hxxps://{BLOCKED}.sendspace.com/dlpro/55d80514c4d20419f547b5bd160ef426/5487c03a/vxj0fm/id_50920949811.zip
- hxxps:// {BLOCKED}.sendspace.com/dlpro/85952624fa01ab335913c23c4498f20b/5487c1e8/vxj0fm/id_50920949811.zip
- hxxps:// {BLOCKED}.sendspace.com/dlpro/0fb326db3791c23d21898762c9df4b81/5487c214/vxj0fm/id_50920949811.zip
- hxxps:// {BLOCKED}.sendspace.com/dlpro/70abb3d3bb12ece9b6b6124f946ae4ea/5487c23a/vxj0fm/id_50920949811.zip
- hxxps:// {BLOCKED}.sendspace.com/dlpro/56d96d1b6d2797bed69d2f96ceac2816/5487c2fd/vxj0fm/id_50920949811.zip
- hxxps:// {BLOCKED}.sendspace.com/dlpro/5bdee22341c06552d704d0e7cffd0834/5487c31d/vxj0fm/id_50920949811.zip
- hxxps:// {BLOCKED}.sendspace.com/dlpro/0ed43ad79aefd484a8d481343fc28c14/5487c53c/vxj0fm/id_50920949811.zip
值得注意的是所有連結都包含相同的檔案名稱 – id_50920949811.zip,代表這些都和同一波攻擊有關。
直到截稿時,我們已經確認了幾個假網域,180個偽裝成澳洲郵政和134個偽裝成新南威爾士州政府。這些網域由下列的俄國網域名稱伺服器所代管,用特定電子郵件地址註冊:
- 218.228XXX
- 124.200.13X
- 124.205.18X
- 124.89.10X
這些攻擊所用的C&C伺服器都是新註冊的,代管的IP地址範圍從46.161.30.17到46.161.30.49。我們還確認了八個網域,包括了adwordshelper[.]ru和countryregion[.]ru。
對策
牽涉多個元件(垃圾郵件、詐騙網站,惡意軟件)的攻擊需要多層次的防禦。趨勢科技的電子郵件信譽評比服務有著啟發式規則,包括可以使用寄件者地址來確認垃圾郵件。
網頁信譽評比服務封鎖垃圾郵件內的網址。還會封鎖假冒澳洲郵政和新南威爾士州政府官方網站的近似網域,攻擊相關的SendSpace連結,以及C&C伺服器與代管它們的IP地址。
TorrentLocker的壓縮檔和執行檔都可以被智慧型病毒特徵碼(1對多)偵測為TROJ_CRYPTED.SM或TROJ_CRYPTED.SMA。
使用者也可以參考我們的文章 – 「防禦CryptoLocker」來了解對抗TorrentLocker及其他加密勒索軟體變種的預防措施。
趨勢科技已經通知SendSpace關於該進階帳號被用於網路犯罪。該帳號和相關檔案都已經被刪除和封鎖。
更多細節可以在報告 – 「澳洲網路威脅景觀(2014):TorrentLocker攻擊觀察」中找到。
我們所能偵測的樣本雜湊值:
- 4d07581b5bdb3f93ff2721f2125f30e7d2769270
- 6a46ff02b1a075c967939851e90dfb36329876fa
- 9d71e27ad25dfe235dfaec99f6241673a6cff30e
- a0bbbd2c75e059d54d217c2912b56b1cb447ef31
- 0ce7690a209796b530b89f3cac89c90626785b84
- 09d5bc847f60ce3892159f717548d30e46cd53f0
- 1816a65aa497877b8f656b87550110e04ac972cd
- bee66ab8460ad41ba0589c4f46672c0f8c8419f8
@原文出處:TorrentLocker Ransomware Hits ANZ Region作者:Paul Pajares(詐騙分析師)和Christopher Ke(迪肯大學網頁威脅研究員)