CERBER - 資安趨勢部落格

散播Cerber 和CTB Locker勒索病毒嫌犯遭捕:程式非自己開發,以 30% 不法獲利跟駭客分紅

2018 年 01 月 08 日2018 年 01 月 05 日趨勢科技 TrendMicro

近年來最惡名昭彰的兩個惡意程式：CTB Locker 和 Cerber 勒索病毒，其涉案嫌犯最近在羅馬尼亞遭到逮捕。羅馬尼亞負責調查網路犯罪的機構「Directorate for Investigating Organized Crime and Terrorism」(組織犯罪暨恐怖主義調查總局，簡稱 DIICOT) 與歐洲刑警組織 (Europol)、美國聯邦調查局 (FBI) 以及歐洲多國警方共同合作，逮捕了五名涉嫌散布 CTB-Locker 與 Cerber 勒索病毒的嫌犯。

Critroni (亦稱 Curve-Tor-Bitcoin，簡稱 CTB) Locker 最早可追溯至 2014 年，是一個會利用 Tor 洋蔥網路來隱藏其行蹤以防止執法機關追查的勒索病毒。而 Cerber，則是一個極難纏又不斷演進的勒索病毒，近年來更增加了不少強大功能。

這項名為「Bakovia」的逮捕行動，總共搜查了六處羅馬尼亞民宅，調查人員起出了一批筆記型電腦、硬碟、外接儲存裝置、數位加密貨幣採礦裝置，以及各種文件。被逮的嫌犯據稱是某犯罪集團的成員，該集團已因多起犯罪而遭到起訴，包括：非法入侵電腦、意圖濫用裝置從事網路犯罪、散發黑函。整起調查行動原先只是針對 CTB Locker 和 Cerber 個別攻擊案例的獨立調查，後來調查人員發現兩者其實為同一集團所為，因此才開始併案調查。

網路攻擊已經不再是「專業駭客」的專利

根據進一步資料顯示，嫌犯在攻擊當中使用的惡意程式並非自行開發，而是以 30% 的獲利為交換向真正開發的駭客取得。這就是所謂的「勒索病毒服務」(Ransomware-as-a-Service，簡稱 RaaS)，也算是一種合作方案，是黑暗網路當中常見的合作模式。繼續閱讀

在加密檔案之前,先偷儲存在瀏覽器上的密碼 ! Cerber 勒索病毒再進化,連比特幣錢包也遭殃

2017 年 08 月 10 日2017 年 08 月 10 日趨勢科技 TrendMicro

自去年以來透過惡意廣告散播, 把台灣當主戰場的 Cerber勒索病毒,又有新變種了,Cerber 現已成為當今家喻戶曉且演化速度最快的勒索病毒家族。就在今年五月，我們才介紹過該病毒的六個演化版本的行為演變。沒過幾個月，現在又出現了新的演化版本，而這一次則是除了增加竊取數位貨幣的行為外,還會在加密檔案之前,試圖偷取 Internet Explorer、Google Chrome 及 Mozilla Firefox 等瀏覽器儲存在電腦上的密碼,將資料傳送至駭客的幕後操縱 (C&C) 伺服器。

勒索病毒廣闢財源

然而整體上，這波 Cerber 病毒是經由電子郵件附檔散布：

圖 1：Cerber 勒索病毒的電子郵件。

這個 JavaScript 附件檔案就是趨勢科技偵測到的 JS_NEMUCOD.SMGF2B 惡意程式，它會從網路上下載 Cerber 的變種，也就是 RANSOM_HPCERBER.SMALY5A。此 Cerber 變種基本上與先前我們五月所發現的版本相同，只不過多了一項新的行為，那就是竊取比特幣（Bitcoin）錢包。

其鎖定竊取的比特幣錢包有三種：第一種是比特幣官方的 Bitcoin Core 錢包，另外兩種是第三方的 Electrum 和 Multibit 錢包。其作法是直接偷取比特幣錢包應用程式的對應檔案：

dat (Bitcoin)
*.wallet (Multibit)
dat (Electrum)

此處有兩點值得注意。第一，竊取這些檔案並不代表就能取得錢包內的比特幣。歹徒仍須取得用來開啟錢包的密碼。第二，Electrum 從 2013 年晚期即不再使用 electrum.dat 檔案。

在檔案加密「之前」,先偷儲存在瀏覽器上的密碼

不過，新的 Cerber 變種所竊取的資訊還不只這些，它還會試圖偷取 Internet Explorer、Google Chrome 及 Mozilla Firefox 等瀏覽器儲存在電腦上的密碼。值得注意的是這些竊取資訊的行為都是發生在勒索病毒開始將系統上的檔案加密「之前」。繼續閱讀

企業如何對抗頑強的 CERBER 勒索病毒變種?

2017 年 05 月 31 日2017 年 05 月 25 日趨勢科技 TrendMicro

勒索病毒 Ransomware (勒索軟體/綁架病毒)在2016年相當地猖獗，出現大規模的攻擊活動及各種能夠對抗安全措施的新變種。在2016年年底，Locky和 CERBER勒索病毒家族似乎在市場佔有率方面遇上頻頸。但這隨著 CERBER 發展出新的躲避偵測能力而有所改變。根據 Security Intelligence的報導，CERBER在2017年的市場佔有率達到70%，並且在第一季末上升至90%。相較之下，Locky在2017年第一季只剩下2%的佔有率。

CERBER已經展現其躲避安全軟體偵測的成功，為了犯罪活動而加以優化。新CERBER變種也開始會繞過機器學習工具，不過趨勢科技也站在解決這些問題的最前端。事實上，趨勢科技最近發表了一份報告秀出CERBER迄今為止的演變及如何維護安全性的進階解決方案。隨著CERBER持續對企業造成威脅，了解如何防範新變種及解決目前漏洞變得相當重要。

CERBER的快速變形讓其躲避偵測

就跟大多數惡意軟體一樣，CERBER透過垃圾郵件、漏洞攻擊套件及其他感染途徑散播。當接收者點入連結或開啟郵件時，程式會在背景被偷偷下載，開始加密檔案。但CERBER與許多其他勒索病毒不同。它不僅會重新命名目標副檔名和檔案名稱；微軟指出它也會選擇感染的資料夾。比方說，CERBER會避開系統資料夾，但會加密共享網路及本機磁碟上，進而讓感染擴散。

CERBER還經常進行升級，以「勒索病毒服務」(Ransomware as a Service，簡稱 RaaS)的形式賣給網路犯罪分子。這些修改使其很難被鎖定。在2016年，伺服器每15秒鐘改變一次CERBER，每次都產生新的哈希（Hash）。根據SecurityWeek，解決方案需要偵測這些哈希（Hash）來識別惡意軟體，但CERBER的快速變形技術讓其躲避偵測。這技巧是讓CERBER能夠繼續保持神祕並且讓新變種成功抵禦安全措施的關鍵。繼續閱讀

Cerber 已具備躲避機器學習技術的能力

2017 年 04 月 06 日2017 年 04 月 11 日趨勢科技 TrendMicro

自從現身以來即一直不斷演進的 CERBER 勒索病毒 Ransomware (勒索軟體/綁架病毒)最近又出現新的變種 (趨勢科技命名為：VBS_CERBER.DLCYG、RANSOM_CERBER.ENC、RANSOM_CERBER.VSAGD 及 TROJ_CERBER.AL)，這次它使用了一個獨立的勒索病毒載入程式來躲避機器學習機制的偵測。

一旦偵測到系統正在虛擬機器或沙盒模擬環境上執行, 即終止執行

CERBER 勒索病毒 Ransomware (勒索軟體/綁架病毒)家族已開始採用一種讓自己更難被偵測的新技巧：專為躲避機器學習技術而設計的獨立載入程式。這個載入程式可將 CERBER 的程式碼注入某個執行程序當中執行。

CERBER 變種會經由電子郵件進入使用者系統，郵件內含 Dropbox 網站連結，點選之後會下載一個自我解壓縮檔案，一旦執行了該檔案，系統就會遭到感染。此勒索病毒包含多個檔案，最值得注意的是一個勒索病毒載入程式，該程式負責檢查目前系統是否在虛擬機器或沙盒模擬環境上執行。除此之外，還會檢查系統上是否安裝了某些分析工具和防毒軟體。一旦發現上述狀況，就終止執行，否則就將勒索病毒載入系統中。

透過這些額外檢查步驟，並且將病毒直接載入執行程序當中執行，CERBER 就能避開機器學習機制的偵測。此設計對於檔案分析靜態機器學習來說將是一大考驗，因為靜態機器學習只會分析檔案的內容當中是否含有惡意行為，而不管檔案的執行方式如何。不過，若遇到多層式惡意程式防護產品，這類勒索病毒依然只能束手就擒，因為多層式防護並非只仰賴機器學習技術。

假冒公共事業機構名義發送電子郵件，內含 Dropbox 連結

一般來說，勒索病毒大多經由電子郵件散布，這個新的 CERBER 家族亦不例外。它曾假冒多家公共事業機構名義發送電子郵件，這些電子郵件內含 Dropbox 網站連結，點選之後會下載一個自我解壓縮檔案，提供該檔案的應該是駭客的 Dropbox 帳號。一旦受害者點選郵件內的連結，就會下載檔案，使系統遭到感染。下圖顯示該程式的感染過程。

圖 1：Cerber 的感染過程。

受害者下載的自我解壓縮檔案解開之後會出現三個檔案：一個是 Visual Basic 腳本、另一個是 DLL 檔案、最後一個是看似設定檔的二進位檔案。在趨勢科技所發現的其中一個樣本當中，這三個檔案的名稱分別為：「38oDr5.vbs」、「8ivq.dll」以及「x」，不過並非每個樣本都一樣。繼續閱讀

企業成勒索病毒的金礦：Cerber是如何加密資料庫檔案?

2016 年 12 月 09 日2016 年 12 月 09 日趨勢科技 TrendMicro

或許是為了讓Cerber開發者及其同夥可以賺到最多的錢，這隻勒索病毒 Ransomware (勒索軟體/綁架病毒)增加了對企業造成更大威脅的動作：加密資料庫檔案。這些組織資料的儲藏庫讓企業儲存、檢索、排序、分析和管理資料。有效使用就能夠助於維持組織效率，所以拿這些關鍵資料作人質無疑可以影響公司業務，觸及了底線。

作為提供服務給網路犯罪新手的勒索病毒，Cerber經歷過無數次的改版。它會利用更多技巧，包括整合DDoS元件、使用雙重壓縮的Windows腳本檔案以及利用雲端生產力平台，甚至與資料竊取木馬聯手犯案。

Cerber開發者對下游抽取40%的佣金，光是今年7月就賺進近20萬美元。

勒索病毒的不斷更新反映出其開發者的活躍程度及下游如何將其當作是有利可圖的生意。比方說，前一個版本在一天內就更新到4.1.5。Cerber開發者對下游抽取40%的佣金，光是今年7月就賺進近20萬美元。

為了讓受害者即刻付贖,資料庫檔案成綁匪肉票

加密資料庫檔案並非Cerber獨有的行為。2016上半年所出現的家族像rypJOKER（RANSOM_CRYPJOKER.A）、SURPRISE（RANSOM_SURPRISE.A）、PowerWare（RANSOM_POWERWARE.A）和Emper（Ransom_EMPER.A）等都將資料庫相關副檔名加入加密列表。包括了dBASE（.dbf）、Microsoft Access（.accdb）、Ability Database（.mdb）和OpenOffice（.odb）等檔案。想想看資料庫檔案對於企業來說有多麼重要，開發者讓它們成為Cerber的加密檔案類型可以說是為了讓受害者更急切與願意付錢的手段。

自動避開俄羅斯等語系

Cerber 4.1.0、4.1.4和4.1.5就跟其它變種（Ransom_CERBER.CAD、Ransom_CERBER.A）一樣，設計成會避開某些語系的設備和系統。它使用API – GetKeyboardLayoutList來取得語言設定，勒索病毒偵測到下列語系就會終止自己：俄羅斯、烏克蘭、白俄羅斯、塔吉克語、亞美尼亞、阿澤里語、格魯吉亞語、哈薩克語、克里吉斯斯拉夫語、土庫曼語、烏茲別克語拉丁語、韃靼語、羅馬尼亞摩爾多瓦語、俄羅斯摩爾多瓦語、阿塞里斯拉夫語和烏茲別克斯拉夫語。趨勢科技從今年3月到11月中在美國、台灣、德國、日本、澳大利亞、中國、法國、義大利、加拿大和韓國所觀察到的大部分Cerber 樣本都能夠看到此一行為。

繼續閱讀