Yanluowang 閻羅王勒索病毒含有數位簽章,會中止資料庫相關處理程序

趨勢科技分析了 Yanluowang勒索病毒的最新樣本之後發現它們最值得注意的是含有數位簽章,而且會終止多種資料庫和備份管理軟體的處理程序。

我們分析了一些 Yanluowang勒索病毒 的最新樣本,這是近期發現的一個勒索病毒家族,其名稱來自中文的「閻羅王」。這些樣本值得注意的地方是,它們都經過某個合法的數位簽章所簽署,我們判斷這個簽章不是偷來的就是偽造的。此外,這些樣本還會終止多種資料庫和備份管理軟體 (如 Veeam 和 SQL) 的處理程序。

自從 Yanluowang 勒索病毒在幾星期前被發現之後,許多攻擊行動即被發現跟該病毒有關,據報導,其幕後駭客集團至少從 2021 年 8 月起便一直在對美國的企業發動目標式攻擊

Yanluowang 勒索病毒初步分析


截至本文撰稿為止,我們分析到的 Yanluowang 勒索病毒樣本偵測數量還很少。光從其檔案本身我們很難看出它們是如何、以及透過何種管道進入使用者的系統。但由於這些樣本需要某些特定的參數才會正常執行,因此似乎可以判定應該是經由遠端桌面工具來執行。

此外,我們也認為我們分析到的檔案只是駭客在入侵受害者電腦後所用的工具之一。

經過初步分析,這個勒索病毒在執行時會檢查以下幾個參數,這些參數主要用來指定要加密的目錄:

  • -h/–help 
  • -p/-path/–path 
  • -pass
Figure 1. Checking for arguments (path)

圖 1:檢查參數 (path)。

Figure 2. Checking for arguments (pass)

圖 2:檢查參數 (pass)。

接著,勒索病毒會將參數指定目錄中的檔案加密,然後在加密後的檔案名稱末端加上「.yanluowang」副檔名,接著在目錄內放入一份勒索訊息:「README.txt」。

Figure 3. Yanluowang ransomware appended files

圖 3:Yanluowang 勒索病毒的副檔名。

Figure 4. YanLuoWang ransomnote (README.txt)

圖 4:Yanluowang 勒索病毒的勒索訊息 (README.txt)。

數位簽章與其他功能


很重要的一點是,我們蒐集到的樣本都經過某個數位簽章的簽署,而且在我們分析期間是一個合法簽章。所以問題來了,到底這個簽章是偷來的,還是偽造的。

程式碼簽署的作用是要證明軟體的真實性,所以,經過簽署的惡意程式看起來很像良性的合法軟體,因此能躲避一些資安機制。

Figure 5. Digital signature found with Yanluowang ransomware samples

圖 5:Yanluowang 勒索病毒樣本發現的數位簽章。

此勒索病毒執行之後會利用 Windows API 將以下資料庫與備份管理軟體的相關處理程序終止:

  • Veeam
  • SQL

終止這些處理程序可能會導致企業無法存取備份檔案,對受害機構造成更大壓力,逼迫受害者乖乖支付贖金。

Figure 7. Terminating processes

圖 6 至 7:終止處理程序。

此外,此勒索病毒還會利用指令列介面嘗試終止符合下列搜尋字串的處理程序:

  • mysql*
  • dsa*
  • veeam*
  • chrome*
  • iexplore*
  • firefox*
  • outlook*
  • excel*
  • taskmgr*
  • tasklist*
  • Ntrtscan*
  • ds_monitor*
  • Notifier*
  • putty*
  • ssh*
  • TmListen*
  • iVPAgent*
  • CNTAoSMgr*
  • IBM*
  • bes10*
  • black*
  • robo*
  • copy*
  • sql
  • store.exe
  • sql*
  • vee*
  • wrsa*
  • wrsa.exe
  • postg*
  • sage*

除了處理程序之外,惡意程式也會強迫將下列服務停止 (使用「net stop」指令):

  • MSSQLServerADHelper100
  • MSSQL$ISARS
  • MSSQL$MSFW
  • SQLAgent$ISARS
  • SQLAgent$MSFW
  • SQLBrowser
  • ReportServer$ISARS
  • SQLWriter
  • WinDefend
  • mr2kserv
  • MSExchangeADTopology
  • MSExchangeFBA
  • MSExchangeIS
  • MSExchangeSA
  • ShadowProtectSvc
  • SPAdminV4
  • SPTimerV4
  • SPTraceV4
  • SPUserCodeV4
  • SPWriterV4
  • SPSearch4
  • IISADMIN
  • firebirdguardiandefaultinstance
  • ibmiasrw
  • QBCFMonitorService
  • QBVSS
  • QBPOSDBServiceV12
  • \”IBM Domino Server (CProgramFilesIBMDominodata)\”
  • \”IBM Domino Diagnostics (CProgramFilesIBMDomino)\”
  • \”Simply Accounting Database Connection Manager\”
  • QuickBooksDB1
  • QuickBooksDB2
  • QuickBooksDB3
  • QuickBooksDB4
  • QuickBooksDB5
  • QuickBooksDB6
  • QuickBooksDB7
  • QuickBooksDB8
  • QuickBooksDB9
  • QuickBooksDB10
  • QuickBooksDB11
  • QuickBooksDB12
  • QuickBooksDB13
  • QuickBooksDB14
  • QuickBooksDB15
  • QuickBooksDB16
  • QuickBooksDB17
  • QuickBooksDB18
  • QuickBooksDB19
  • QuickBooksDB20
  • QuickBooksDB21
  • QuickBooksDB22
  • QuickBooksDB23
  • QuickBooksDB24
  • QuickBooksDB25

最後,它還會利用下列指令強迫終止某些執行中的虛擬機器 (VM):

  • powershell -command \”Get-VM | Stop-VM -Force\”

圖 8:停止服務。

我們將持續監控 Yanluowang 勒索病毒的相關事件,一有最新消息就會跟大家分享。

提升勒索病毒防禦


由於新的勒索病毒家族會不斷出現,因此我們在  2022 年資安預測報告中即預言勒索病毒集團將使用更現代化且更精密的勒索手法。為此,企業必須採取更嚴密的防禦措施。

此外,若企業能建立一套框架,將有助於提升對勒索病毒的防禦,以下是這套框架可考慮採納的一些最佳實務原則:

  • 稽核並盤點所有資產和資料、經過核准與未經核准的裝置與軟體、以及事件與案件的記錄檔。
  • 妥善設定並監控軟、硬體組態設定,僅授予員工職務上絕對必要的系統管理與存取權限。
  • 修補及更新作業系統與應用程式,定期執行漏洞評估,對作業系統和應用程式套用修補更新或虛擬修補。
  • 保護及復原重要的資訊和檔案,嚴格執行資料保護、備份與復原政策。
  • 定期執行資安技能評量與教育訓練,還有紅白對抗演練與滲透測試。
  • 妥善保護您的系統,所有防護層都應採用最新版的資安解決方案,包括:電子郵件、端點、網站及網路。

Trend Micro Vision One™ 提供多層式防護與行為偵測來提早偵測及攔截勒索病毒,不讓它們有機會對系統造成任何損害,藉由涵蓋多層防護的偵測能力來發掘在單一防護層上看似無害的可疑行為。

Trend Micro Cloud One™ – Workload Security 可繞藉由虛擬修補與機器學習技巧來保護系統,防範專門攻擊漏洞的已知及未知威脅。此外,還能運用最新的全球威脅情報來提供最新、最即時的防護。

Deep Discovery Email Inspector 採用客製化沙盒模擬分析環境與進階分析技巧來有效攔截勒索病毒,不讓勒索病毒進入系統,此外還可攔截勒索病毒用來突破防線的網路釣魚郵件。

趨勢科技Apex One採用新一代自動化威脅偵測及回應功能對端點裝置進行深度分析,進而防範無檔案式威脅與勒索病毒等進階威脅。

入侵指標 (IoC)

如需完整的入侵指標 (IoC),請參閱這份文件

原文出處:New Yanluowang Ransomware Found to be Code-Signed, Terminates Database-Related Processes 作者:Don Ovid Ladores