企業成勒索病毒的金礦:Cerber是如何加密資料庫檔案?

或許是為了讓Cerber開發者及其同夥可以賺到最多的錢,這隻勒索病毒 Ransomware (勒索軟體/綁架病毒)增加了對企業造成更大威脅的動作:加密資料庫檔案。這些組織資料的儲藏庫讓企業儲存、檢索、排序、分析和管理資料。有效使用就能夠助於維持組織效率,所以拿這些關鍵資料作人質無疑可以影響公司業務,觸及了底線。

作為提供服務給網路犯罪新手的勒索病毒,Cerber經歷過無數次的改版。它會利用更多技巧,包括整合DDoS元件、使用雙重壓縮的Windows腳本檔案以及利用雲端生產力平台,甚至與資料竊取木馬聯手犯案。

Cerber開發者對下游抽取40%的佣金,光是今年7月就賺進近20萬美元。

勒索病毒的不斷更新反映出其開發者的活躍程度及下游如何將其當作是有利可圖的生意。比方說,前一個版本在一天內就更新到4.1.5。Cerber開發者對下游抽取40%的佣金,光是今年7月就賺進近20萬美元。

 圖1、與其他變種相比,Cerber 4.1.5要求比較少的贖金。
圖1、與其他變種相比,Cerber 4.1.5要求比較少的贖金。

 

為了讓受害者即刻付贖,資料庫檔案成綁匪肉票

加密資料庫檔案並非Cerber獨有的行為。2016上半年所出現的家族像rypJOKER(RANSOM_CRYPJOKER.A)、SURPRISE(RANSOM_SURPRISE.A)、PowerWareRANSOM_POWERWARE.A)和Emper(Ransom_EMPER.A)等都將資料庫相關副檔名加入加密列表。包括了dBASE(.dbf)、Microsoft Access(.accdb)、Ability Database(.mdb)和OpenOffice(.odb)等檔案。想想看資料庫檔案對於企業來說有多麼重要,開發者讓它們成為Cerber的加密檔案類型可以說是為了讓受害者更急切與願意付錢的手段。

自動避開俄羅斯等語系

Cerber 4.1.0、4.1.4和4.1.5就跟其它變種(Ransom_CERBER.CADRansom_CERBER.A)一樣,設計成會避開某些語系的設備和系統。它使用API – GetKeyboardLayoutList來取得語言設定,勒索病毒偵測到下列語系就會終止自己:俄羅斯、烏克蘭、白俄羅斯、塔吉克語、亞美尼亞、阿澤里語、格魯吉亞語、哈薩克語、克里吉斯斯拉夫語、土庫曼語、烏茲別克語拉丁語、韃靼語、羅馬尼亞摩爾多瓦語、俄羅斯摩爾多瓦語、阿塞里斯拉夫語和烏茲別克斯拉夫語。趨勢科技從今年3月到11月中在美國、台灣、德國、日本、澳大利亞、中國、法國、義大利、加拿大和韓國所觀察到的大部分Cerber 樣本都能夠看到此一行為。

圖2、夾帶Cerber的垃圾郵件樣本
圖2、夾帶Cerber的垃圾郵件樣本

最新感染媒介:偽裝成網路支付商的垃圾郵件,發送信用額度超過通知

趨勢科技所分析最新樣本的感染媒介是偽裝成網路支付商的垃圾郵件,利用使用者的信任來發送信用額度超過通知。垃圾郵件收件者接著會被要求進行帳號驗證。

這垃圾郵件有兩種方式來感染系統:一種使下載勒索病毒的惡意連結,另一種是包含惡意JavaScript的.zip檔案。我們也看到其他垃圾郵件偽裝成收據,附加檔案是隨機命名的Word文件,裡面嵌入了惡意巨集來下載並執行勒索病毒。Cerber運營商也會利用漏洞攻擊套件 – RigNeutrinoMagnitude來做進一步的散播。

 圖3、Cerber的最新版本也會感染記憶體虛擬磁碟
圖3、Cerber的最新版本也會感染記憶體虛擬磁碟

 

進行加密動作前先終止資料庫軟體相關程序,以確保對檔案加密成功

除了加密固定和可移除磁碟上的檔案外,Cerber還會感染共享網路資料夾內的檔案。有意思的是,Cerber還將目標放在記憶體虛擬磁碟(RAM Disk)上的檔案,也就是記憶體空間被設定成磁碟機使用。

在深入Cerber如何加密資料庫檔案時,我們發現此行為早在4.0版就已經存在,可以在Pseudo-Darkleech攻擊活動見到。Cerber還保留加密過程中要跳過的檔案路徑列表,包括Microsoft SQL Server和電子郵件客戶端。如果資料庫伺服器有連接共享資料夾,Cerber將會加密儲存在上面的檔案。

Cerber還會在進行加密動作前先終止資料庫軟體相關程序。這能夠確保對檔案加密成功,因為作業系統會阻止寫入已經在執行中的檔案。Cerber 4.1.5設定檔中有很長串的加密檔案類型列表,包括Microsoft Access、Oracle、MySQL和SQL Server Agent的檔案,還包括跟會計、薪資和醫療資料庫軟體相關的檔案。比較Cerber 4.1.0、4.1.4和4.1.5的設定檔顯示出這些變種會尋找相同的資料庫相關檔案。

 

使用這副檔名的軟體副檔名
Microsoft Access.accdb, .accde, .accdr, .accdt, .adp, .odc
Alpha Five、Ability Databaseadb
Advantage Database Server、Progress Database.ai
Oracle.al
Backup copy.bak
Microsoft Works、Blaise Database.bdb
Cardscan card database、Pocket Access、 Database、Borland Turbo C主要資料庫檔案、Symbian作業系統聯絡人資料檔案、Cleaner木馬資料庫檔案.cdb
SQLite 3檔案.cls
Comma-separated Value.csv
Clarion.dat
ANSYS, Arcview、dBASE IV、dBFast、iRiver Plus3.db
MSQLite Database.db_journal
dBASE III、SQLite.db3
CBDF、iAnywhere、AlphaFive、ACT!、Psion Series 3、NovaBACKUP.dbf
資料庫索引檔.dbx
EstImage Database、Euphoria Database System.edb
Ruby SQL檔案.erbsql
Fiasco Database、FlexyTrans Database、 FlukeView Database、Firebird Database、 FoxPro Database、Legacy Family Tree Database、Navison Financials Database、 FeedDemon SQLite資料檔.fdb
IDEA! Project Management Database.ibd
MySQL InnoDB.ibz
Symantec Q&A Relational Database.idx
KeePass Password Database.kdbx
Kaspersky Virus Database.kdc
SQLite.litesql
資料庫索引檔.mbx
NEi Nastran Modal Database、Microsoft Access.mdb
IBM Powerplay.mdc
SQL Server Master Database.mdf
MYSQL Database.myd
Lotus Notes Database.ns2, .ns3, .ns4, .nsf, .nsg, .nsh
NRG Site Database.nsd
NexusDB Database.nx2
Mybase Database.nyf
Organizers Database、Arcview Object Database.odb
Palm OS Database、Pegasus Database、 QuickPOS Database、Visual C++/.NET Program Database、BGBlitz Position Database、Martini Personal Database.pdb
PostGRESQL.pdd
SQL Server Master Database.mdf
Password Safe Database.psafe3
Redis Database、Oracle、Value Navigator Database、Darkbot Random Database、 Zonealarm Mailsafe Database、OpenOffice Database.rdb
SQLite 3.0.s3db
Windows Compatibility Solution Database, yEncExpress, Windows Security Database、 SideKick 2、Summer Camp Scheduler、Windows2000 Security Configuration and Analysis Database、SQLite、OpenOffice、ServerBoss、AutoDesk Survey Database, AutoCAD Civil 3d Survey Database.sdb
Microsoft SQL.sdf
Structured Query Language.sql
SQLite.sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal
Concordance Full Text Database.tex
User Database.usr
圖4、Cerber跳過加密的資料夾
圖4、Cerber跳過加密的資料夾

 

 

圖5、Cerber終止程序的截圖
圖5、Cerber終止程序的截圖

趨勢科技的勒索病毒解決方案

從中小企業到大型企業的網路設備都是Crysis這類勒索病毒的攻擊目標,業務持續性、財務損失和公司聲譽都受到了威脅。當網路犯罪分子汲汲營營地想要將關鍵資料做為人質,重要的是能夠具備主動式、多層次的安全防護:從閘道端點網路伺服器

 

電子郵件和閘道防護

趨勢科技Cloud App Security趨勢科技Deep Discovery™ Email InspectorInterScan™ Web Security 可以防禦常被用來散播勒索病毒的管道,如電子郵件和網頁。

  • 魚叉式網路釣魚防護
  • 惡意軟體沙箱
  • IP/網頁信譽評比技術
  • 檔案漏洞攻擊偵測
端點防護

趨勢科技 Smart Protection Suites 在端點層級偵測和阻止與勒索病毒相關的可疑行為和漏洞攻擊。

  • 勒索病毒行為監控
  • 應用程式控管
  • 漏洞防護
  • 網頁安全
網路保護

趨勢科技Deep Discovery Inspector偵測與勒索病毒進入網路相關的惡意流量、連線和其他活動。

  • 網路流量掃描
  • 惡意軟體沙箱
  • 防止橫向移動
伺服器防護

趨勢科技Deep Security可以偵測和阻止可疑網路活動和保護伺服器和應用程式免於漏洞攻擊。

  • 保護網頁伺服器
  • 漏洞防護
  • 防止橫向移動

 

保護中小企業家庭用戶

保護中小型企業

Worry-Free Pro透過Hosted Email Security來提供雲端電子郵件閘道防護,偵測和封鎖勒索病毒。

  • 勒索病毒行為監控
  • IP/網頁信譽評比技術
保護家庭用戶

趨勢科技PC-cillin雲端版可以封鎖勒索病毒威脅相關的惡意網站、電子郵件與檔案來提供強大的防護。

  • IP/網頁信譽評比技術
  • 勒索病毒防護

 

 

勒索病毒不斷演進的戰術技術做法正持續地向各種規模的企業發起攻擊,導致營運中斷和長時停機的費用。定期備份重要公司資產可以減輕Cerber所造成的影響。 許多勒索病毒會使用管理者權限來執行惡意行為,如終止程序,所以合理的權限管理策略有助於限制惡意軟體的感染進入點。使用者和企業也可以透過多層次安全防護作法來得到保護 – 從閘道端點網路伺服器

 

TippingPoint客戶可以利用下列MainlineDV過濾程式來防護Cerber攻擊:

  • ThreatDV 25841:UDP:SM6(Cerber)Checkin

 

 

入侵指標(IoC):

 

來自惡意網站的Cerber

hxxp://martialartmuscle.com/wp-includes/images/media/css/fx.exe

 

來自漏洞攻擊套件的Cerber

0a6ec6a46e66863e48a05058963d9babf2c2b911 — Cerber 4.1.0

fddb48d4910adc0aa75b9529a90e11dac62c41ce — Cerber 4.1.1

620dca44514ee1d440867285bbb2a73a35303876 — Cerber 4.1.3

8185e5477e29b1095f5fc42197baddac56fb44d2 — Cerber 4.1.4

317b1dea823f942061f1f8c6612ef745704c9962 — Cerber 4.1.5

 

來自垃圾郵件的Cerber

cc8f31bb926f862b3c5360e33c32134b871008de — Ransom_CERBER.F116K8 (Cerber 4.1.5)

9d48589dc1e202847980004f8290cd12289f7a5c — Ransom_CERBER.F116K7 (Cerber 4.1.3)

66c9ccca850929f1d4b7b07cb5dd0be4a50a73f7 — Cerber 4.1.0

 

Cerber留在系統內的HTML檔案所連上的網站:

hxxp://btc.blockr.io/api/v1/address/txs/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt

hxxp://api.blockcypher.com/v1/btc/main/addrs/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt

hxxps://chain.so/api/v2/get_tx_spent/btc/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt

 

66c9ccca850929f1d4b7b07cb5dd0be4a50a73f7 — Ransom_HPCERBER.SM6

aa3fc1d5a79e1d43165b5556bae2669fd68455508bb667a457fa3dfd25b6222e (SHA256) — Ransom_HPCERBER.SM6

 

惡意軟體相關網址:

hxxp://xrhwryizf5mui7a5.15ktsh.top/

hxxp://xrhwryizf5mui7a5.uhi7to.bid/

hxxp://xrhwryizf5mui7a5.onion.to/

hxxp://vyohacxzoue32vvk.onion/

 

 

@原文出處:Businesses as Ransomware’s Goldmine: How Cerber Encrypts Database Files
作者:Mary Yambao和Francis Antazo(威脅回應工程師)

 

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載