趨勢科技從7月25日起就持續地觀察到惡意廣告利用Rig漏洞攻擊套件來散播挖礦( coinmining )病毒及GandCrab勒索病毒Ransomware (勒索軟體/綁架病毒)
。而在8月1日,我們注意到Rig網路流量出現了當時未知的勒索病毒。深入研究這看似新的勒索病毒並檢查它在Tor網路內的勒贖通知網頁,看到它被稱為Princess Evolution(趨勢科技偵測為RANSOM_PRINCESSLOCKER.B),這是2016年出現的Princess Locker勒索病毒的新變種。根據最近在地下論壇的廣告,它的作者似乎要將Princess Evolution以「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS)的方式經營,並且在找合作夥伴。
「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS)
多年以來,「網路犯罪服務」(Cybercrime as a Service,簡稱 CaaS) 已在深層網路(Deep Web)地下論壇當中蔚為一股風潮。一些缺乏經驗的網路犯罪分子 (坦白說也是出於懶惰),只要向一些老手購買 CaaS 工具和服務,就能輕輕鬆鬆發動一些惡意程式、垃圾郵件(SPAM)、網路釣魚(Phishing)或其他惡意攻擊行動,一切只需點點滑鼠即可。這些現成的工具套件使用起來幾乎不費力氣、也不需花大錢、更不需經驗,就連只會寫寫腳本的初階駭客也能上手,但卻可以帶來高報酬。
而「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS) 造成新的勒索病毒 Ra家族的數量大增,也讓原本大多針對個人使用者的攻擊,開始對企業造成嚴重威脅。
我們自7月25日以來觀察到的新惡意廣告活動中,有項值得注意是它包含了Coinhive(COINMINER_MALXMR.TIDBF)。即便使用者沒有被導到漏洞攻擊套件來感染勒索病毒,網路犯罪分子仍可以透過虛擬貨幣挖礦的方式來賺取非法利潤。這波新攻擊的另一特點是他們將惡意廣告網頁放在免費網路代管服務上,並使用DNS的CNAME設定將他們的廣告網域對應到服務上的惡意網頁。
圖1、付錢網站上的Princess Evolution標誌
圖2、透過Rig漏洞攻擊套件散播Princess Evolution的惡意流量(上)惡意廣告網域DNS回應(下)
深入Princess Evolution
Princess Evolution與Princess Locker有著相同的勒贖通知。Princess Evolution會加密系統上的檔案,並將其原始檔案副檔名變更成隨機產生的字串。產生的勒贖通知包含如何支付0.12比特幣贖金的說明(在2018年8月8日約等於773美元)。
我們發現Princess Locker作者在7月31日在地下論壇貼出了一篇文章,宣傳他們新建Princess Evolution的合作計畫。根據其商業模式,合作夥伴獲得60%的贖金,其餘的是病毒作者的佣金。根據他們的廣告,似乎作者花了些時間來開發Princess Evolution。
以下是在地下論壇所發現Princess Evolution廣告的原文,使用俄文撰寫:
С новым летним днем, друзья! Несколько месяцев назад мы вынуждены были приостановить деятельность для того, чтобы пересмотреть наши позиции во многих отношениях и отправиться на поиски собственного идеала. Это был период наблюдений, разработок, экспериментов, длительных ожиданий и споров. Очертания идеала всегда обманчиво ускользают в экстазе погони за ним, неизменно оставляя позади преодоленную дистанцию. Это и являет собой суть прогресса, благодаря которому мы рады вернуться и приветствовать вас с новой версией нашего продукта. **Princess Evolution**
翻譯成中文:
夏日愉快,朋友們!在幾個月前,我們不得不暫停我們的活動來從各方面檢視我們的定位並尋求我們自己的理想。這是段觀察、開發、實驗、長期等待和爭論的時間。在。追求的過程中看似難以完成,但終究是克服了。這是最終的進度,我們很高興回來了,並歡迎您使用我們產品的新版本。 **Princess Evolution**
技術分析
它的加密方式會用XOR和AES演算法來處理檔案的第一塊資料,同時用AES加密檔案其餘部分的資料。我們所看到Princess Locker到Princess Evolution的一個重大改變是從使用HTTP POST換成UDP來進行命令和控制(C&C)通訊。這可能是因為UDP發送資料速度更快,因為該做的事情較少(如在發送資料前不需要先建立連線)。
Princess Evolution會產生一個隨機的XOR金鑰(0x80字元),另一個則用AES-128演算法產生,並將這些金鑰及以下資訊用UDP送到網路167[.]114[.]195[.]0/23[:]6901:
- 中毒電腦的使用者名稱
- 使用中網路界面的名稱
- 系統的區域ID(LCID)
- 作業系統版本(OS)
- 受害者ID
- Windows註冊的安全軟體
- 程式啟動的時間戳記
Princess Evolution與C&C建立連線的方法跟Cerber類似。另一個值得注意的是Princess Locker的付錢網站跟Cerber的相似。Princess Evolution的付錢頁面現在採用了新設計。
圖3、Princess Evolution使用UDP的C&C連線(上)及其付錢網站(下)
漏洞攻擊套件提醒了使用者和企業更新修補程式的重要性。勒索病毒的活動可能已經達到持平的階段(甚至在某些地區有所下降),但鑑於其破壞性,它仍然是個重大威脅。遵循最佳實作:點擊前先想一想,保持系統及應用程式更新(或是在企業環境和老舊系統與網路的情況下考慮使用虛擬修補技術),並且實施縱深防禦的策略。
主動、多層次的安全防護是抵禦漏洞攻擊(來自閘道、端點、網路和伺服器)的關鍵。具備XGen™ 防護端點安全防護技術的趨勢科技趨勢科技OfficeScan具有Vulnerability Protection漏洞防護,可以在修補程式部署前防護端點免於已知和未知的漏洞攻擊。趨勢科技的端點解決方案(如趨勢科技 Smart Protection Suites和Worry-Free Pro)會偵測和封鎖惡意檔案及所有相關惡意網址來保護最終使用者和企業免於這些威脅。
入侵指標(IoC):
相關雜湊值(SHA-256):
- 1408a24b74949922cc65164eea0780449c2d02bb6123fd992b2397f1873afd21 – B
- 981cf7d1b1b2c23d7717ba93a50fc1889ae78ee378dbb1cbfff3fd0fe11d0cbc – B
- 8fc9353cc0c15704f016bc1c1b05961ab267b6108cfa26725df19a686ec2ad28 – RANSOM_GANDCRAB.TIAOBH
- 6502e8d9c49cc653563ea75f03958900543430be7b9c72e93fd6cf0ebd5271bc – COINMINER_MALXMR.TIDBF
Princess Evolution相關的惡意廣告網域名稱:
- greatchina[.]ga
- princessno1[.]tk
- smokeweedeveryday[.]tk
Princess Evolution相關的IP地址:
- hxxp://188[.]225[.]34[.]86/(Rig漏洞攻擊套件的IP地址)
- hxxp://178[.]32[.]201[.]161/(虛擬貨幣挖礦病毒相關的C&C IP地址)
@原文出處:Ransomware as a Service Princess Evolution Looking for Affiliates 作者:Joseph C Chen(網路詐騙研究員)
PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位
