新的恶意软件——Rakhni,可以用勒索软件或加密货币矿工来感染系统
导语:卡巴斯基实验室的安全研究人员发现了一种新的Rakhni恶意软件,它可以用勒索软件或加密货币矿工来感染系统。
早在2013年,我们的恶意软件分析人员就发现了与Trojan-Ransom.Win32.Rakhni家族相关的第一批恶意样本。这是这个长期存在的,并且至今仍在运作的特洛伊木马家族的起点。在此期间,恶意软件作者作出了一些改变:
· 特洛伊木马获取密钥的方式(从本地生成到从C&C收到)
· 使用的算法(仅使用对称算法,到常用的对称+非对称方案,到同时使用18种对称算法)
· 加密库(LockBox,AESLib,DCPcrypt)
· 分发方法(从垃圾邮件到远程执行)
现在,犯罪分子已经决定为他们的作品添加一个新功能——挖矿功能。在本文中,我们描述了一个downloader,它决定如何感染受害者:使用加密器cryptor或使用矿工miner。
一、分发
1.攻击的地理分布
Trojan-Downloader.Win32.Rakhni分布图
被Trojan-Downloader.Win32.Rakhni攻击的前五个国家(按攻击用户的百分比排名):
2.感染向量
据我们所知,垃圾邮件仍然是分发此恶意软件的主要方式。
携带恶意附件的Email
打开邮件附件后,系统会提示受害者保存文档并启用编辑。
Word文档附件
受害者预计将双击嵌入的PDF文件。但是,受害者打开的不是PDF而是启动了恶意可执行文件。
特洛伊木马程序启动前显示的UAC窗口
二、Downloader
1.一般信息
Downloader是用Delphi编写的可执行文件。为了使分析复杂化,恶意软件内的所有字符串都使用简单的代替密码进行加密。
执行后,Downloader会显示一个带有错误文本的消息框。此消息的目的是向受害者解释为什么没有打开PDF文件。
假错误信息
为了隐藏系统中恶意软件的存在,恶意软件开发人员让他们的作品看起来像Adobe Systems的产品。这反映在图标、可执行文件的名称以及使用Adobe Systems Incorporated的虚假数字签名中。此外,在安装有效载荷之前,Downloader会向地址www.adobe.com发送HTTP请求。
2.环境检测
消息框关闭后,恶意软件会对受感染的计算机执行多项检查:
(1)自我检查
· 名称应包含子字符串AdobeReader
· 路径应包含以下子字符串之一:
\TEMP
\TMP
\STARTUP
\CONTENT.IE
· 注册表检查
检查注册表中有没有HKCU\Software\Adobe\DAVersion,如果没有,则恶意软件创建HKCU\Software\Adobe\DAVersion = True并继续其工作。
(2)运行进程检查
· 检查正在运行的进程数是否大于26
· 检查下表中列出的所有进程是否都不存在
(3)计算机名检查
· 计算机名不应包含以下任何子字符串:
-MALTEST
AHNLAB
WILBERT-
FIREEYES-
CUCKOO
RSWT-
FORTINET-
GITSTEST
· 以小写形式计算计算机名的MD5,并将其与一百个列入黑名单的值进行比较
(4)IP地址检查
获取计算机的外部IP地址,并将其与硬编码值进行比较。
(5)虚拟机检查
· 检查以下注册表项是否不存在:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions
HKLM\SOFTWARE\Oracle\VirtualBox Guest Additions
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Sandboxie
HKLM\SYSTEM\ControlSet002\Enum\VMBUS
HKLM\HARDWARE\ACPI\DSDT\VBOX
HKLM\HARDWARE\ACPI\DSDT\VirtualBox
HKLM\HARDWARE\ACPI\DSDT\Parallels Workstation
HKLM\HARDWARE\ACPI\DSDT\PRLS
HKLM\HARDWARE\ACPI\DSDT\Virtual PC
HKLM\HARDWARE\ACPI\SDT\AMIBI
HKLM\HARDWARE\ACPI\DSDT\VMware Workstation
HKLM\HARDWARE\ACPI\DSDT\PTLTD
HKLM\SOFTWARE\SandboxieAutoExec
HKLM\SOFTWARE\Classes\Folder\shell\sandbox
· 检查以下注册表值是否不存在:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\OpenGLDrivers\VBoxOGL\Dll=VBoxOGL.dll
HKLM\\SYSTEM\CurrentControlSet\services\Disk\Enum\0=Virtual
HKLM\\SYSTEM\ControlSet001\Control\SystemInformation\SystemProductName=VirtualBox
· 检查下表中列出的所有进程是否都不存在
如果至少一个检查失败,则downloader结束该过程。
3.证书安装
Downloader会安装存储在其资源中的根证书。所有下载的恶意可执行文件都使用此证书签名。我们发现了声称由微软公司和Adobe Systems Incorporated发行的假证书。
假Microsoft Corporation证书
假Adobe Systems Incorporated证书
使用标准实用程序CertMgr.exe安装存储在资源中的证书。
包含在downloader中的资源
在安装证书之前,Downloader会将必要的文件从资源中释放到%TEMP%目录。
假证书和CertMgr.exe
然后执行以下命令:
CertMgr.exe -add -c 179mqn7h0c.cer -s -r localMachine root
4.主决定
下载cryptor或miner的决定取决于文件夹%AppData%/Bitcoin的存在。如果文件夹存在,则Downloader决定下载cryptor。如果文件夹不存在且机器有两个以上的逻辑处理器,则下载miner。如果没有文件夹而只有一个逻辑处理器,则Downloader将跳转到其蠕虫组件,这将在本文的相应部分中进行描述。
Cryptor决定
特洛伊木马程序会下载包含cryptor模块的受密码保护的存档。存档将下载到启动目录(C:\Documents and Settings\username\Start Menu\Programs\Startup),然后Downloader使用命令行WinRAR工具将其解压。cryptor可执行文件命名为taskhost.exe。
执行后,cryptor如同安装程序一样执行环境检查。此外,它将在Downloader决定后检查它是否正在运行(通过检查注册表值HKCU\Software\Adobe\DAVersion是否存在)。
有趣的是,系统闲置至少两分钟,cryptor才会开始工作。在加密文件之前,cryptor会终止以下进程:
此外,如果没有运行avp.exe进程,则cryptor将删除卷影副本。
cryptor使用以下扩展名加密文件:
“.ebd”, “.jbc”, “.pst”, “.ost”, “.tib”, “.tbk”, “.bak”, “.bac”, “.abk”, “.as4”, “.asd”, “.ashbak”, “.backup”, “.bck”, “.bdb”, “.bk1”, “.bkc”, “.bkf”, “.bkp”, “.boe”, “.bpa”, “.bpd”, “.bup”, “.cmb”, “.fbf”, “.fbw”, “.fh”, “.ful”, “.gho”, “.ipd”, “.nb7”, “.nba”, “.nbd”, “.nbf”, “.nbi”, “.nbu”, “.nco”, “.oeb”, “.old”, “.qic”, “.sn1”, “.sn2”, “.sna”, “.spi”, “.stg”, “.uci”, “.win”, “.xbk”, “.iso”, “.htm”, “.html”, “.mht”, “.p7”, “.p7c”, “.pem”, “.sgn”, “.sec”, “.cer”, “.csr”, “.djvu”, “.der”, “.stl”, “.crt”, “.p7b”, “.pfx”, “.fb”, “.fb2”, “.tif”, “.tiff”, “.pdf”, “.doc”, “.docx”, “.docm”, “.rtf”, “.xls”, “.xlsx”, “.xlsm”, “.ppt”, “.pptx”, “.ppsx”, “.txt”, “.cdr”, “.jpe”, “.jpg”, “.jpeg”, “.png”, “.bmp”, “.jiff”, “.jpf”, “.ply”, “.pov”, “.raw”, “.cf”, “.cfn”, “.tbn”, “.xcf”, “.xof”, “.key”, “.eml”, “.tbb”, “.dwf”, “.egg”, “.fc2”, “.fcz”, “.fg”, “.fp3”, “.pab”, “.oab”, “.psd”, “.psb”, “.pcx”, “.dwg”, “.dws”, “.dxe”, “.zip”, “.zipx”, “.7z”, “.rar”, “.rev”, “.afp”, “.bfa”, “.bpk”, “.bsk”, “.enc”, “.rzk”, “.rzx”, “.sef”, “.shy”, “.snk”, “.accdb”, “.ldf”, “.accdc”, “.adp”, “.dbc”, “.dbx”, “.dbf”, “.dbt”, “.dxl”, “.edb”, “.eql”, “.mdb”, “.mxl”, “.mdf”, “.sql”, “.sqlite”, “.sqlite3”, “.sqlitedb”, “.kdb”, “.kdbx”, “.1cd”, “.dt”, “.erf”, “.lgp”, “.md”, “.epf”, “.efb”, “.eis”, “.efn”, “.emd”, “.emr”, “.end”, “.eog”, “.erb”, “.ebn”, “.ebb”, “.prefab”, “.jif”, “.wor”, “.csv”, “.msg”, “.msf”, “.kwm”, “.pwm”, “.ai”, “.eps”, “.abd”, “.repx”, “.oxps”, “.dot”.
加密后,文件扩展名将更改为.neitrino。
文件使用RSA-1024加密算法加密。解密文件所需的信息通过电子邮件发送给攻击者。
在每个加密目录中,cryptor创建一个MESSAGE.txt文件,其中包含以下内容:
勒索信息
Miner决定
除了下载文件夹之外,miner的下载过程是相同的——miner被保存到路径%AppData%\ KB <8_random_chars>,其中<8_random_chars>,顾名思义,是由字母数字字符构成的字符串[0 -9a-Z]。
下载并使用解压缩归档后,特洛伊木马会执行以下操作:
(1)首先,它会生成一个VBS脚本,该脚本将在操作系统重启后启动。该脚本的名称为Check_Updates.vbs。此脚本包含两个用于挖矿的命令:
· 第一个命令将启动一个挖掘Monero币的进程;
· 第二个命令将启动一个挖掘加密货币Monero Original的过程。可执行文件所在的子文件夹的名称(cuda)表明此可执行文件将使用GPU功能进行挖掘。
Check_Updates.vbs文件的内容
(2)然后,如果存在名为%AppData%\KB<8_random_chars>\svchost.exe的文件,则特洛伊木马会执行该文件以挖掘Dashcoin币。
挖掘Dashcoin的进程
执行此分析时,Downloader正在接收一个未使用GPU的miner的存档。攻击者使用MinerGate的控制台版本进行挖掘。
检查挖掘程序
为了将miner伪装成可信进程,攻击者使用虚假的Microsoft Corporation证书对其进行签名并调用svchost.exe。
5.禁用Windows Defender
无论是选择了cryptor还是miner,downloaded都会检查是否启动了以下AV进程之一:
如果系统中未找到AV进程,则特洛伊木马将运行几个cmd命令,这些命令将禁用系统中的Windows Defender:
· cmd /C powershell Set-MpPreference -DisableRealtimeMonitoring $true
· cmd /C powershell Set-MpPreference -MAPSReporting 0
· cmd /C powershell Set-MpPreference -SubmitSamplesConsent 2
· taskkill /IM MSASCuiL.exe
· cmd /C REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v HideSCAHealth /t REGDWORD /d 1 /f
· cmd /C REG ADD HKCU\Software\Policies\Microsoft\Windows\Explorer /v DisableNotificationCenter /t REGDWORD /d 1 /f
· cmd /C REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v SecurityHealth /f
· cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender /v DisableAntiSpyware /t REGDWORD /d 1 /f
· cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender /v AllowFastServiceStartup /t REGDWORD /d 0 /f
· cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender /v ServiceKeepAlive /t REGDWORD /d 0 /f
· cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection /v DisableIOAVProtection /t REGDWORD /d 1 /f
· cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection /v DisableRealtimeMonitoring /t REGDWORD /d 1 /f
· cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet /v DisableBlockAtFirstSeen /t REGDWORD /d 1 /f
· cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet /v LocalSettingOverrideSpynetReporting /t REGDWORD /d 0 /f
· cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet /v SubmitSamplesConsent /t REGDWORD /d 2 /f
· cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\UX Configuration /v NotificationSuppress /t REGDWORD /d 1 /f
6.发送统计信息
Downloader和cryptor将带有统计信息的电子邮件发送到硬编码地址。这些消息包含有关当前感染状态的信息以及其他详细信息,例如:
· 计算机名
· IP地址
· 恶意软件在系统中的路径
· 恶意软件创建时间
Downloader发送以下状态:
cryptor发送以下状态:
另一个有趣的事实是,Downloader还具有一些间谍软件功能——其消息包括正在运行的进程列表和带有屏幕截图的附件。
7.蠕虫组件
作为最后一个操作,Downloader尝试将自身复制到本地网络中的所有计算机。为此,它调用系统命令'net view / all'返回所有共享,然后特洛伊木马创建包含具有共享资源的计算机名称的list.log文件。对于文件中列出的每台计算机,特洛伊木马会检查文件夹是否共享,如果是,则恶意软件将自身复制到每个用户都可以访问的文件夹\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 。
8.自删除
在关闭恶意软件之前,会创建一个批处理文件,删除在感染过程中创建的所有“临时”文件。这是恶意软件的常见做法。我们感兴趣的是使用的Goto标签'malner'。也许这是犯罪分子使用“malware”和“miner”的写照。
svchost.bat文件的内容
三、检测判决
我们的产品使用以下判决检测此处描述的恶意软件:
· Downloader: Trojan-Downloader.Win32.Rakhni.pwc
· Miner: not-a-virus:RiskTool.Win32.BitCoinMiner.iauu
· Cryptor: Trojan-Ransom.Win32.Rakhni.wbrf
此外,系统监视器组件检测到所有恶意软件样本。
IoCs
恶意文档: 81C0DEDFA5CB858540D3DF459018172A
Downloader: F4EC1E3270D62DD4D542F286797877E3
Miner: BFF4503FF1650D8680F8E217E899C8F4
Cryptor: 96F460D5598269F45BCEAAED81F42E9B
URLs
hxxp://protnex[.]pw
hxxp://biserdio[.]pw