加入收藏 | 设为首页 |

国宝档案-MYEC团伙新增敛财利器,无文件勒索已趋大势

海外新闻 时间: 浏览:254 次

概述

奇安信病毒呼应中心在日常的样本监控中发现,M抽油烟机YEC团伙新增了敛财利器,开端朝着依据无文件落地型的勒索软件方向开展,经过伪装成马来西亚税务局的钓饵Word文档履行宏代码,宏履行powershell,从长途服务器上下载powershell加密模块并调用,最终弹出勒索框,因为其履行全过程没有二进制文件落地,给取证剖析溯源带来了极大的困难。

为避免国内企业中招,结合相关头绪,咱们将其命名为“MYEC”黑客团伙,并对其进行发表。

详细剖析

样本概要

MD5 2ad6ed0c04e522b60721dc46b2381a9f 文件名 Panduan_Kemaskini.doc 文件类型 Doc 创立时刻 2019-10-07 02:54:00 保存用户名 Soo, Zing Zhao

捕获的样本(Panduan_Kemaskini.doc)经过鱼叉邮件的方法投递,文档内容伪装成马来西亚税务局免费个人资料攻略诱导用户启用宏。内容如下:

从钓饵文件中提取到宏,履行经过混杂的powershell指令

从C2下载下一阶段的payload脚本

hxxp://ec2-52-220-60-155.ap-southeast-1.compute.amazonaws.com/kk.ps1,power shell脚本免杀作用如下:

中心逻辑被混杂:

解混杂运转之后,寻觅固定目录下的指定后缀文件:

*.doc,*.docx,*.xls,*xlsx,*.ppt,*.pptx,*.pdf,y0uR_D@ta.txt

接着从微软的TechNet库中(https://gallery.technet.microsoft.com/Encrypt国宝档案-MYEC团伙新增敛财利器,无文件勒索已趋大势Decrypt-files-use-65e7ae5d/file/165403/14/FileCryptography.psm1)下载powershell加密模块,保存到C:\Users\Public\ll.psm1,ll.psm1如下:

导出函数功用如下

New-CryptographyKey 依据指令行参数随机生成加密算法(AES,DES,RC2)的key Protect-File 加密文件 Unprotect-File 解密文件

接着生成AESkey,加密文件,文件后缀取决于履行什么算法,该样本运用AES加密文件,则加密后缀为.AES,拼接URL并拜访

hxxp://ec2-52-220-60-155.ap-southeast-1.compute.amazonaws.com\本机用户名\Base64加密后的key,所以理论上讲假如安装了类似于天眼的流量监控体系的话,能够捕捉到AESkey明文,而且解密文件。一起下载勒索信以及生成勒索框的图片。

生成勒索框

勒索框内容如下,中心为勒索信的内容

勒索信内容如下

同源剖析

经过相关剖析,咱们发现了该团伙的两个同源样本。

MD5 f7354b15e4fa981d770de4cfb6f0149e 文件名 WpfApp1.exe 创立时刻 2019-07-15 10:12:18

样本经过Boxedapp加壳,里边实际上是一个.net写的勒索病毒,经过剖析.net样本修改自开源勒索项目Hidden-tear

该样本同样会向长途服务器上传AES的密钥

其间salt和password在加密文件时被运用

而salt和password都是经过GenerateRandomSalt函数生成随机数进行处理的

同理,假如能捕捉到流量,则能够进行解密。该样本同样会弹出相应的勒索框

风趣的是在另一个同源样本的PDB中

C:\Users\Illegear\Desktop\svchost\obj\x86\Debug\$safeprojectname$.pdb

Illegear是马来西亚的一个笔记本品牌,阐明该团伙很有或许坐落马来西亚。

经过深度的发掘,咱们发现上一年从前呈现过一款名为blank的勒索软件,其加密算法、解密算法和随机数生成代码以及函数名与同源样本高度类似,左为blank,右为同源样本

FileEncrypt函数比较:

FileDecrypt函数比较

GenerateRandomSalt函数比较

Blank勒索病毒的PDB:

C:\Users\Lenovo\source\repos\Blank\Blank\obj\Debug\Blank.pdb

C:\Users\Lenovo\source\repos\Blank\Blank\obj\Debug\Blank.pdb

其PDB结构上与同源样本也有类似之处。可是还无法彻底承认Blank勒索病毒是MYEC团伙所为,也有或许该团伙抄袭了Blank勒索的相关代码。国宝档案-MYEC团伙新增敛财利器,无文件勒索已趋大势这儿咱们只提供一个思路供社区参阅。

总结

MYEC团伙本次运用的无文件落地型勒索的代码并不如大火的FTCODE勒索老练,但这无疑代表着勒索病毒往无文件落地方向开展的一个大趋势:脚本免杀作用好,可复用性高,摆脱了以往依据可履行文件的运转方法。随之而来的便是廉价和轻量化,外加当今歹国宝档案-MYEC团伙新增敛财利器,无文件勒索已趋大势意软件投进服务越来越老练,除了传统的投进服务(僵尸网络),第三方投进服务的鼓起必将会促进一些脚本小子参加该职业。能够预见将来依据脚本的勒索病毒会越来越多,不同勒索彼此代码复用率也会越来越高,这无疑加大了安全研究人员的剖析和溯源难度。

现在奇安信集团全线产品,包含天眼、SOC、态势感知、要挟情报渠道,支撑对触及MYEC黑客团伙的进犯活动检测。奇安信天擎终端防护产品内置的EDR检测机制经过歹意代码的行为剖析,支撑对该安排此类非落地样本的检测和查杀。

IOC 文件MD5

2ad6ed0c04e522b60721dc46b2381a9f

f7354b15e4fa981d770de4cfb6f0149e

c8a597d2ff2a5dc475949e2c223399e4

b5c259af5eb7b4eca8d131ffc6866bdd

9f570a53629d10aaa6aa97b71b4e8b70

2ad6ed0c04e522b60721dc46b2381a9f

f7354b15e4fa981d770de4cfb6f0149e

c8a597d2ff2a5dc475949e2c223399e4

b5c259af5eb7b4eca8d131ffc6866bdd

9f570a53629d10aaa6aa97b71b4e8b70

52.220.60.155:80

HOST

ec2-52-220-60-155.ap-southeast-1.compute.amazonaws.com

52.220.60.155:80

HOST

ec2-52-220-60-155.ap-southeast-1.compute.amazonaws.com

邮箱:naned@mail-card.net

邮箱:naned@mail-card.net

Q43hBguYNfRCSyEBLMKhJwXxunvMahTMFC

s4C6MPmpk4AXNVVUWtfG6JWvjPfENVv8k5

Q43hBguYNfRCSyEBLMKhJwXxunvMahTMFC

s4C6MPmpk4AXNVVUWtfG6JWvjPfENVv8k5

*本文作者:奇安信要挟情报中心,转载请注明来自FreeBuf.COM

国宝档案-MYEC团伙新增敛财利器,无文件勒索已趋大势