利用正常網站當作命令與控制伺服器(C&C)通常是惡意軟體為了避免目標起疑的作法。雖然多數勒索病毒 Ransomware (勒索軟體/綁架病毒)會直接將收集到的資訊送到指定的C&C伺服器,也有些變種會略有不同。像是CuteRansomware會利用Google文件將資訊從受感染系統送給攻擊者。
最新的一個勒索病毒 CryLocker(偵測為RANSOM_MILICRY.A)也是類似地會利用Imgur,這是個免費線上圖片網站讓使用者上傳照片與朋友分享。在趨勢科技監控漏洞攻擊套件活動時,發現 Rig和Sundown都會散播此威脅。
勒索病毒打包中毒系統資料後,用 PNG圖檔上傳 Imgur 相簿
這是我們第一次看到利用PNG圖檔來打包收集自中毒系統的資料。PNG圖檔也是網路犯罪分子追蹤受害者的手法。從中毒系統收集資料後,勒索病毒會將PNG圖檔上傳到Imgur相簿。攻擊者主要是利用此手法來躲避偵測並持續在系統上保持隱匿。趨勢科技已經通知 Imgur 關於CryLocker對他們服務的惡意使用。
圖1、受害者資料被打包成PNG圖檔並上傳到Imgur相簿的截圖。
漏洞攻擊套件透過惡意廣告散播
趨勢科技在9月1日發現惡意廣告活動透過 Rig漏洞攻擊套件來散播此勒索病毒。但從9月2日開始就停止派送。仔細檢查上傳到Imgur的 PNG圖檔後,我們注意到有資料是早在8月25日就被加密。
圖2-3、Sundown和Rig漏洞攻擊套件的流量
桌布被更換成勒贖警告,資料被竊受害達 8000筆
我們發現Sundown漏洞攻擊套件在9月5日透過惡意廣告來散播此勒索病毒,但有些不同。例如,攻擊者將桌布更換成勒贖通知,稱為「CryLocker」。在本文發表時,資料被竊受害數量來到8000筆。
圖4、上傳到C&C的受害者資料數量(2016年8月25日至9月5日)
圖5、CryLocker的勒贖通知
根據趨勢科技分析,CryLocker將被加密檔案副檔名變更成 .CRY。這跟Buddy勒索病毒所用的副檔名一樣。但是它們的相似性也僅止於此,根據我們對兩者的分析顯示檔案結構並不相同。
有趣的是,這勒索病毒會在刪除被加密檔案的原檔前先建立副本。使用磁碟回復工具可以回復加密的檔案,但是檔案大小要小於20MB。
透過 Google Map定位 API取得使用者的地理位址或瀏覽器位置
CryLocker所取得的資訊包括使用者無線接入點資訊(Mac地址、SSID,SS等),它也試圖透過Google Map定位API取得使用者的地理位址或瀏覽器位置。它會檢查檔案C:\Temp\lol.txt是否存在,如果存在就不會加密任何檔案。不過其他行為像是刪除陰影複製和顯示勒贖通知仍會進行。我們看到新樣本(SHA1:4bf164e49e4cb13efca041eb154aae1cf25982a8)會出現此行為,讓我們懷疑是否攻擊者忘記拿掉這功能或程式碼,還是真的故意這樣設計。
受害者如果使用特定 6 種語言,勒索病毒就會停止攻擊
它還會呼叫Windows API – GetKeyboardLayoutList來取得鍵盤配置。然後它會檢查系統的語言設定。如果偵測到下列語言就不會表現出勒索病毒相關行為而退出系統:
- 白俄羅斯
- 哈薩克
- 俄羅斯
- 薩哈
- 烏克蘭
- 烏茲別克
之前的Andromeda殭屍網路病毒也曾經進行這種「過濾」行為。
圖6、GetKeyboardLayoutList API的程式碼片段
深入此威脅的C&C通訊
如前面所提到,此惡意病毒會試著將系統上的資料送到Imgur上的特定相簿。如果失敗,則會將資料送到pastee.org,這是跟Pastebin類似的張貼服務。不過它的伺服器在本文發表時似乎還是離線狀態。
如果無法正常送至Imgur或Pastee或者是檔案較小,另一個替代方案是透過UDP(端口4444)發送到目標IP地址。
圖7、惡意軟體試著將資料送到Pastee.org
檢查網路流量後發現,發送給pastee.org/submit和imgur.com/upload/checkcaptcha的流量都包含格式不正確的使用者代理程式資訊。
圖8、格式不正確的使用者代理程式資訊
這個惡意軟體開發者沒有遵照標準寫法而造成格式不正確。雖然PNG圖檔具備有效檔頭,但內容卻不具備圖像,而是包含系統資訊的ASCII字串。這種做法跟用來隱藏機密訊息(在網路犯罪世界中用來隱藏檔案或資料)的另一種技術 – 圖像隱碼術(Steganography)不同。
圖9、無法從此PNG檔案進行圖像預覽。
當犯罪分子利用正常網站和雲端服務來隱藏自己…
網路犯罪分子經常會利用正常網站和雲端服務來隱藏自己的身份和運作。有鑑於此,這些服務必須要加強安全作法和規定。在此次案例中,建議圖片代管服務可以在上傳過程中加入檢查是否為真正圖檔的步驟。這表示如果是不正常的PNG圖檔,系統可以加以識別並自動拒絕。
趨勢科技可以偵測惡意檔案並封鎖相關惡意網址來保護企業和使用者。我們的解決方案可以在最外層封鎖CryLocker並防止其造成傷害。並且在端點、網路和伺服器等層級也提供防護。
TippingPoint的客戶可以利用以下MainlineDV過濾器來防護此攻擊:
- 39144: HTTP: Ransom_Milcry.A Checkin – 將在2016年9月13日釋出
以下Deep Discovery規則可以偵測此威脅的相關惡意網路活動:
- 2131: RIG – Exploit Kit – HTTP(Request) – Variant 3
| 電子郵件和閘道防護
趨勢科技Cloud App Security、趨勢科技discovery/index.html”Deep Discovery™ Email Inspector和InterScan™ Web Security 可以防禦常被用來散播勒索病毒的管道,如電子郵件和網頁。 ü 魚叉式網路釣魚防護 ü 惡意軟體沙箱 ü IP/網頁信譽評比技術 ü 檔案漏洞攻擊偵測 |
端點防護
趨勢科技Smart Protection Suites 在端點層級偵測和阻止與勒索病毒相關的可疑行為和漏洞攻擊。 ü 勒索病毒行為監控 ü 應用程式控管 ü 漏洞防護 ü 網頁安全 |
| 網路保護
趨勢科技Deep Discovery Inspector偵測與勒索病毒進入網路相關的惡意流量、連線和其他活動。 ü 網路流量掃描 ü 惡意軟體沙箱 ü 防止橫向移動 |
伺服器防護
趨勢科技Deep Security可以偵測和阻止可疑網路活動和保護伺服器和應用程式免於漏洞攻擊。 ü 保護網頁伺服器 ü 漏洞防護 ü 防止橫向移動 |
| 保護中小型企業
Worry-Free Pro透過Hosted Email Security來提供雲端電子郵件閘道防護,偵測和封鎖勒索病毒。 ü 勒索病毒行為監控 ü IP/網頁信譽評比技術 |
保護家庭用戶
趨勢科技PC-cillin雲端版可以封鎖勒索病毒威脅相關的惡意網站、電子郵件與檔案來提供強大的防護。 ü IP/網頁信譽評比技術 ü 勒索病毒防護 |
以下SHA1雜湊值與此次攻擊有關:
- d6a09353a1e4ccd7f5bc0abc401722035fabefa9 – 偵測為A
- 4BF164E49E4CB13EFCA041EB154AAE1CF25982A8 – 偵測為A
@原文出處:Picture Perfect: CryLocker Ransomware Uploads User Information as PNG Files