趨勢科技研究員最近發現了一個新的勒索病毒會利用一個名為「Everything」的合法工具當中的 API,這是一個由 Voidtools 所開發的 Windows 檔名搜尋引擎,可快速搜尋並即時更新,且資源用量很低。
趨勢科技研究員最近發現了一個新的勒索病毒會利用一個名為「Everything」的合法工具當中的 API,這是一個由 Voidtools 所開發的 Windows 檔名搜尋引擎,可快速搜尋並即時更新,且資源用量很低。這個勒索病毒 (我們根據其執行檔內的某個字串將它命名為「Mimic」) 最早是在 2022 年 6 月在網路上被發現,專門攻擊使用俄羅斯文與英文的使用者。它擁有許多功能,例如:刪除系統還原點 (shadow copy)、終止各種應用程式和服務、利用 Everything32.dll 函式來查詢它準備加密的目標檔案。
本文將詳細探討 Mimic 勒索病毒的元件和功能,以及它與 2022 年初外洩的 Conti 勒索病毒產生器之間的關聯。
入侵形態與元件
Mimic 是以執行檔的形態進入系統,該執行檔會在系統植入多個二進位檔案,以及一個密碼保護的壓縮檔 (假冒成 Everything64.dll),該檔案解壓縮後就會出現勒索病毒的惡意檔案。此外也包含一些用來關閉 Windows Defender 的工具,以及合法的 sdel 二進位檔。
| 檔案名稱 | 說明 |
| 7za.exe | 合法的 7zip 檔案,用來解壓縮惡意檔案。 |
| Everything.exe | 合法的 Everything 應用程式。 |
| Everything32.dll | 合法的 Everything 應用程式。 |
| Everything64.dll | 密碼保護的壓縮檔,內含惡意檔案。 |
當該病毒執行時,首先它會將其元件植入「%Temp%/7zipSfx」資料夾。接著,使用它植入的 7za.exe 來解開密碼保護的 Everything64.dll 檔案到同一個目錄下,指令如下:
%Temp%\7ZipSfx.000\7za.exe” x -y -p20475326413135730160 Everything64.dll
此外,它還會將連線階段金鑰檔「session.tmp」寫入同一目錄,萬一它在加密過程中被打斷,就能使用這個檔案來繼續執行加密。
接著,它會將植入的檔案複製到「%LocalAppData%\{Random GUID}\」,然後勒索病毒會被重新命名為「bestplacetolive.exe」,並且將「%Temp%」目錄中的原始檔案刪除。
根據我們的分析,Mimic 還可支援其他指令列參數,如表 2 所示。
| 指令列選項 | 可接受的數值 | 說明 |
| -dir | 要加密的檔案路徑 | 要加密的目錄。 |
| -e | all local net watch ul1 ul2 | 全部加密 (預設)。 加密本機檔案。 加密網路共用資料夾中的檔案。 ul:unlocker 建立一個具備跨處理程序通訊 (IPC) 功能的執行緒並試圖 解鎖另一個處理程序的某些記憶體位址。 |
| -prot | 保護勒索病毒不被終止。 | |
| -pid | <整數> | 先前執行的勒索病毒處理程序識別碼 (PID)。 |
表 2:Mimic 勒索病毒可接受的參數。
Mimic 勒索病毒分析
Mimic 勒索病毒會利用 CreateThread 函式來建立多個執行緒以加快加密流程,並且讓資安研究人員的分析工作更具挑戰性。
當它執行時,它首先會利用 RegisterHotKey API 註冊一組快捷鍵 (Ctrl + F1),按下這組快捷鍵會顯示勒索病毒的執行狀態記錄檔。
勒索病毒的設定是存在於它的 Overlay 記憶體中並且使用 NOT 運算元來解密。
以下圖 8 詳細顯示其設定中的項目和數值。
Mimic 勒索病毒具備了多種能力,包括:
- 蒐集系統資訊。
- 透過 RUN 機碼常駐系統。
- 略過使用者帳戶控制 (UAC) 機制。
- 停用 Windows Defender。
- 停用 Windows 監測功能。
- 啟用防關閉措施。
- 啟用防終止措施。
- 卸載虛擬磁碟。
- 終止處理程序和服務。
- 停用系統的睡眠模式與關機功能。
- 移除指標。
- 防止系統還原。
在加密過程當中使用 Everything32 API
Mimic 使用「 Everything32.dll」這個合法的 Windows 檔案名稱搜尋引擎來即時搜尋檔案。它會利用這個工具來查詢某些副檔名與檔名,利用 Everything 的 API 來取得檔案的路徑以便加密。
它使用 Everything_SetSearchW 函式來搜尋要加密或避開的檔案,搜尋格式如下:
file:<ext:{list of extension}>file:<!endwith:{list of files/directory to avoid}>wholefilename<!{list of files to avoid}>
有關 Mimic 會搜尋或避開哪些檔案的詳細資訊,請參閱此處。
接著它會將「.QUIETPLACE」副檔名附在被加密的檔案名稱後端,最後,它會顯示勒索訊息。
圖 11:遭到 Mimic 勒索病毒加密的檔案。
Conti 勒索病毒產生器外流的程式碼
根據我們的分析,該病毒有某些程式碼似乎是以 2022 年 3 月外洩的 Conti 勒索病毒產生器為基礎。例如,在 Mimic 和 Conti 的加密模式當中,有些模式的數值是一樣的。
參數「 net」相關的程式碼也是以 Conti 為基礎。它會使用 GetIpNetTable 函式來讀取 Address Resolution Protocol (ARP) 快取,並檢查 IP 位址是否含有「172.」、「192.168」、「10.」或「169.」等字樣。Mimic 還增加了一個過濾規則來排除含有「169.254」字樣的 IP 位址,因為這是 Automatic Private IP Addressing (APIPA) 的 IP 位址。
此外,Mimic 在搜尋 Windows 網路共用資料夾時也使用到 Conti 的程式碼,它使用 NetShareEnum 函式來尋找所有其蒐集到的 IP 位址上的共用資料夾。
最後,Mimic 的連接埠掃描函式也是參考 Conti 產生器。
有關 Mimic 勒索病毒行為的更多詳細資訊,請參閱這份報告。
結論
具備多種能力的 Mimic 勒索病毒似乎是採用了一種新的作法來加快動作,它在加密過程當中運用了多重執行緒,並使用 Everything 的 API,如此可降低資源的用量,執行起來更有效率。此外,Mimic 背後的駭客似乎擁有豐富的資源與不錯的技術能力,他們擷取了一個外洩的勒索病毒產生器中的多項功能,然後加以改良來提高攻擊成效。
要保護系統免於勒索病毒攻擊,我們建議不論是一般使用者或企業都應該養成良好資安習慣並採取最佳實務原則,例如透過資料防護、備份及復原措施來保護可能被加密或清除的資料。定期執行漏洞評估並隨時修補系統,如此可降低那些專門攻擊漏洞的勒索病毒所帶來的損害。
一套多層式的方法有助於企業防範各種駭客可能入侵其系統的途徑,如:端點、電子郵件、網站以及網路。此外,還可利用適當的資安解決方案來偵測惡意元件與可疑行為來保護企業。
- Trend Micro Vision One™ 提供了多層式防護與行為偵測,可提早攔截可疑行為與工具,不讓勒索病毒有機會造成破壞。
- Trend Micro Cloud One™ Workload Security 可保護系統,防範已知和未知的漏洞攻擊。這項防護採用的是像虛擬修補和機器學習這樣的技巧。
- Trend Micro™ Deep Discovery™ Email Inspector 採用客製化沙盒模擬分析與進階分析技巧來有效攔截勒索病毒用來突破企業防線的惡意郵件 (包括網路釣魚郵件)。
- Trend Micro Apex One™ 可進一步提供自動化威脅偵測及回應,防範無檔案式威脅與勒索病毒等進階攻擊,保障端點安全。
入侵指標資料
如需本文當中提到的入侵指標,請參閱 此處。
原文出處:New Mimic Ransomware Abuses Everything APIs for its Encryption Process
✅防毒防詐✅守護帳密✅VPN安心串流✅阻絕惡意✅安心蝦拚
PC-cillin 讓你的『指指點點』可以開心又安心點!
