Trend Micro研究人员发现一起7月25日起利用Rig利用套件传播加密货币挖矿恶意软件和GandCrab勒索软件的恶意广告活动。8月1日，研究人员发现Rig流量释放了一个当时未知的勒索软件。研究人员分析该勒索软件，在Tor网络上检查了其勒索赎金的地址，名为Princess Evolution，是2016年出现的Princess Locker勒索软件的变种。基于近期地下论坛的广告活动，看起来Princess Evolution的运营者将Princess Evolution作为勒索软件即服务（ransomware as a service，RaaS）出售。

这起攻击活动值得注意的一点是传播的恶意软件还包括Coinhive (COINMINER_MALXMR.TIDBF)。即使用户没有感染漏洞利用工具和勒索软件，网络犯罪分子仍然可以通过加密货币挖矿获利。该攻击活动的另一个特点是将恶意广告页存放在免费的网络托管服务上，并使用域名系统规范名字（DNS CNAME）将广告域名映射到服务的恶意网页上。

 

图1. 支付站点上的Princess Evolution logo

 

图2. 通过rig传播Princess Evolution的恶意广告流量

图3. 恶意广告域名的DNS响应

Princess Evolution

Princess Evolution的勒索注释与Princess Locker相同。Princess Evolution会加密系统上的文件并将原来的文件扩展名变成随机字符串。恶意软件会释放含有指令的勒索注释，比如在哪里和如何支付赎金，赎金的金额为0.12比特币，合773美元，约5300元。

研究人员发现Princess Locker的开发者7月31日在地下论坛发布了新创建的Princess Evolution的分销联盟计划。在这种商业模式下，合作商可以分得勒索赎金的60%，剩下40%是恶意软件开发者的佣金。根据论坛的广告，开发者在开发Princess Evolution上花费了不少时间。

下面是地下论坛Princess Evolution的广告原文，俄语书写：

翻译为：

盛夏快乐，朋友们！几个月前，我们不得不暂停我们的活动来审视我们在许多方面的立场/处境，并开始一段新的旅程。这是一段观察、开发、测试、长时间等待和论证的时期。这是一个进步的关键点，我们很高兴能用新版本的产品来回馈你们。**Princess Evolution**

技术分析

恶意软件的加密过程为使用XOR和AES算法对数据的第一个块进行加密，同时使用AES来加密文件数据的剩余部分。Princess Evolution在Princess Locker的改进包括使用UDP协议替换了原来的HTTP Post来进行C2通信。原因可能是因为UDP传输和发送数据的速度更快，而且开销较小，比如发送数据前无需建立连接。

Princess Evolution会用AES-128算法生成了一个随机的XOR密钥（0x80字节）和另一个密钥，然后将密钥和下面的信息通过UDP协议发送到167[.]114[.]195[.]0/23[:]6901。发送的信息包括：

· 受感染计算机的用户名

· 活跃网络接口名称

· 系统的区域设置ID（LCID）

· 操作系统版本（OS）

· 受害者ID

· Windows中安装的安全软件

· 程序启动时的时间戳

Princess Evolution的C2通信方式与Cerber的通信方式类似。而且，Princess Locker的支付页面与Cerber的支付页面也很相似。Princess Evolution的支付页面现在已经采用了全新的设计。

 

图4. Princess Evolution在UDP上的C2通信

 

图5. 支付网站

利用套件对用户和企业来说是一种提示，即需要及时对系统进行更新和打补丁。勒索软件的发展逐渐平稳，在一些地区的数量还有所下降，但仍然是一种重要的威胁。

最佳实践

研究人员建议遵循以下最佳实践：

· 在点击链接之前先思考；

· 保持系统和应用及时更新；

· 实施深度防御。

主动和分层防御方法是应对漏洞利用威胁的关键，同时可以保护网关、终端、网络和服务器。

IoCs

哈希值(SHA-256):

1408a24b74949922cc65164eea0780449c2d02bb6123fd992b2397f1873afd21 — RANSOM_PRINCESSLOCKER.B

981cf7d1b1b2c23d7717ba93a50fc1889ae78ee378dbb1cbfff3fd0fe11d0cbc — RANSOM_PRINCESSLOCKER.B

8fc9353cc0c15704f016bc1c1b05961ab267b6108cfa26725df19a686ec2ad28 – RANSOM_GANDCRAB.TIAOBH

6502e8d9c49cc653563ea75f03958900543430be7b9c72e93fd6cf0ebd5271bc — COINMINER_MALXMR.TIDBF

域名:

greatchina[.]ga

princessno1[.]tk

smokeweedeveryday[.]tk

IP地址:

hxxp://188[.]225[.]34[.]86/ （Rig exploit kit的IP地址）

hxxp://178[.]32[.]201[.]161/ （与加密货币挖矿相关的C2 IP地址）