攻擊舊金山市交通局的勒索病毒HDDCryptor 變種:小更新仍造成大威脅

自從在今年九月第一次寫到關於HDDCryptor的發現,趨勢科技就一直緊密追踪此一勒索病毒Ransomware(勒索軟體/綁架病毒)的演變。它在上個禮拜出現了一個新版本。根據分析,這新變種在最近被用來攻擊舊金山市交通局(SFMTA)。系統被入侵後,所有的電子售票機都出現了「停止服務」或是「捷運(地鐵)免費」的訊息。

⊙延伸閱讀: 勒索病毒造成藍色當機畫面:HDDCryptor使用商業工具來加密網路分享和鎖住硬碟

此次攻擊就跟我們在HDDCryptor的其他版本所看到的一樣,勒索病毒會植入一些工具來加密整個磁碟,同時會加密掛載的網路磁碟。趨勢科技認為此次攻擊並沒有用漏洞攻擊套件和自動安裝工具來入侵感染受害者。而是先透過針對性攻擊/鎖定目標攻擊(Targeted attack )或攻擊漏洞等作法取得對機器的存取能力,接著再手動執行惡意軟體。儘管我們沒有詳細資料去解釋這攻擊如何涵蓋SFMTA內的2000台機器,但很有可能是透過管理權限在所有設備上設定排程任務來達成。

進行連繫時,惡意分子使用新的HDDCryptor回覆訊息,跟CSO online文章內所提到的類似。

圖1、攻擊者的回覆郵件,包含了該如何取得比特幣的指令

 

HDDCryptor如何演進?

在之前,HDDCryptor會新增使用者帳號來進行,在九月時是用「mythbusters」,之後不久就看到使用新增帳號「ABCD」,可能是作者為了避免被偵測而變更帳號名稱。而到上周時,HDDCryptor不再新增帳號,不過它會建立「C:\Users\WWW」用來放入加密本地磁碟和網路磁碟的所需檔案。

圖2、HDDCryptor所植入的組件

 

在加密遠端網路共享磁碟後,勒索病毒將所需的檔案放入加密本地磁碟所該放的地方,系統會重新啟動一次。然後HDDCryptor開始執行該做的動作。

圖3、HDDCryptor重新啟動後惡意活動的截圖

 

需要再做最後一次的系統重啟,然後勒索病毒會顯示修改過的主開機記錄(MBR)當作勒索信。這點在各版本都一樣,除了電子郵件地址和措辭有所不同。

圖4、HDDCryptor的勒索信

 

跟之前的版本一樣,勒索病毒執行時所傳遞的參數是解密密碼。

加密遠端檔案系統用的是mount.exe。要被加密的磁碟會被作為參數傳遞給mount.exe,再加上原先傳遞給HDDCryptor的密碼參數。跟主磁碟不同,mount.exe並不使用DiskCryptor加密。

在分析HDDCryptor的不同版本時,我們注意到些許的變化。第一,目前版本的mount.exe的程式資料庫(PDB)字串顯示編號crp_95_08_30_v3:

c:\users\public.unkonw\desktop\crp_95_08_30_v3\crp\release\mount.pdb

HDDCryptor之前的版本顯示CRP_95_02_05_v3,表示勒索病毒的開發者在更新和改進他們的程式碼:

C:\Users\public.Unkonw\Desktop\CRP_95\CRP_95_02_05_v3\CRP\Release\Mount.pdbpdb

樣本分析顯示惡意份子並沒有重新編譯DiskCryptor,儘管這是個開放原始碼的工具。從HDDCryptor的第一個版本開始就是透過修補dcapi.dll檔案來加入勒索信。之前的版本會將需要植入的檔案以明碼放入主檔案的PE資源內。而從V2開始,HDDCryptor作者會用簡單解密方式來解開.rsrc(資源)內的二進位檔:

圖5、在樣本(雜湊值:97ea571579f417e8b1c7bf9cbac21994)中發現的資源解密演算法。載入資源後,從地址0x9922D0開始解密。

 

v2和v3都是用Visual Studio 2013編譯(第一個版本是用VS 2012編譯),並且加上基本防沙箱技術、防除錯功能、字串編碼和如上圖所示的簡單資源加密等改進。這顯示HDDCryptor作者在進化這隻勒索病毒來躲避防毒等偵測技術。研究人員並無法將HDDCryptor執行程式跟任何網路釣魚活動或已知其它類型被利用的攻擊相連結。看起來攻擊者會想辦法去連上系統和手動執行HDDCryptor。據信這是透過遠端桌面協定(RDP)或是攻擊漏洞來向暴露在網路上的電腦進行。因為可以輕易地在地下市場買到已入侵伺服器的存取權限。HDDCryptor作者也可能利用了這方式。

最新版本使用跟SFMTA攻擊內一樣的勒索信。我們不能單純地就相信編譯時間戳記,但正如我們前面所解釋,第二和第三個變種似乎確實是從第一隻變種演變過來。

 

HDDCryptor的下一步是什麼?

據推測,在SFMTA攻擊事件內被取得的30GB資料已經在深層網路(Deep Web)發布和販賣。雖然無法確認,但我們已經預測勒索病毒會這樣做有一段時間了。一般來說,勒索結束就要將原始檔案歸還給所有者。當數量龐大時,很難去過濾所有的加密資料來找出具有出售價值的資料。但是勒索病毒同時加密和取回資料副本給攻擊者是很合乎邏輯的一步。一旦受害者支付2比特幣的贖金顯示出他們在意這些資料,攻擊者再來確認對象是誰。如果一般的家庭用戶,他們拿了錢,解密檔案並刪除取回的檔案。但如果發現是像SFMTA這樣的組織,他們可以立即提升勒贖金額,也能夠進一步作出要流出檔案的威脅。我們預期在未來的12個月會看到更多類似這樣的發展。

 

RANSOM_HDDCryptor的入侵指標(IoC)/相關雜湊值可以在我們的附錄中找到。

@原文出處:HDDCryptor: Subtle Updates, Still a Credible Threat 作者: 趨勢科技Stephen Hilt和Fernando Mercês

 

趨勢科技的勒索病毒解決方案

從中小企業到大型企業的網路設備都是Crysis這類勒索病毒的攻擊目標,業務持續性、財務損失和公司聲譽都受到了威脅。當網路犯罪分子汲汲營營地想要將關鍵資料做為人質,重要的是能夠具備主動式、多層次的安全防護:從閘道端點網路伺服器

 

電子郵件和閘道防護

趨勢科技Cloud App Security趨勢科技Deep Discovery™ Email InspectorInterScan™ Web Security 可以防禦常被用來散播勒索病毒的管道,如電子郵件和網頁。

  • 魚叉式網路釣魚防護
  • 惡意軟體沙箱
  • IP/網頁信譽評比技術
  • 檔案漏洞攻擊偵測
端點防護

趨勢科技 Smart Protection Suites 在端點層級偵測和阻止與勒索病毒相關的可疑行為和漏洞攻擊。

  • 勒索病毒行為監控
  • 應用程式控管
  • 漏洞防護
  • 網頁安全
網路保護

趨勢科技Deep Discovery Inspector偵測與勒索病毒進入網路相關的惡意流量、連線和其他活動。

  • 網路流量掃描
  • 惡意軟體沙箱
  • 防止橫向移動
伺服器防護

趨勢科技Deep Security可以偵測和阻止可疑網路活動和保護伺服器和應用程式免於漏洞攻擊。

  • 保護網頁伺服器
  • 漏洞防護
  • 防止橫向移動

 

保護中小企業家庭用戶

保護中小型企業

Worry-Free Pro透過Hosted Email Security來提供雲端電子郵件閘道防護,偵測和封鎖勒索病毒。

  • 勒索病毒行為監控
  • IP/網頁信譽評比技術
保護家庭用戶

趨勢科技PC-cillin雲端版可以封鎖勒索病毒威脅相關的惡意網站、電子郵件與檔案來提供強大的防護。

  • IP/網頁信譽評比技術
  • 勒索病毒防護

 

 

 

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

 

Windows10Banner-540x90v5
01_540x90

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數