您当前的位置:首页 > 电脑百科 > 安全防护 > 数据安全

探秘新型勒索软件“PureLocker”,已被多个黑客组织用于发起攻击

时间:2019-11-28 10:41:56  来源:  作者:
探秘新型勒索软件“PureLocker”,已被多个黑客组织用于发起攻击

 

最近,Intezer和IBM X-Force IRIS研究团队发现了一种此前从未被公开披露过的新型勒索软件——PureLocker,能够同时攻击windowslinux操作系统。

据称,PureLocker与后门恶意软件“more_eggs”存在部分代码重叠,并且已经被Cobalt Gang和FIN6等多个黑客组织使用过。

初步分析

这里分析的PureLocker样本是一个适用于Windows操作系统的版本,伪装成一个名为“Crypto++”的C++加密库:

探秘新型勒索软件“PureLocker”,已被多个黑客组织用于发起攻击

 

分析表明,该文件并不是一个C++加密库,而是一个可能与Cobalt Gang有关存在关联的恶意二进制文件,但代码经过了大幅修改。

深入观察

样本是采用PureBasic编写的,这是一种不太常用的编程语言,也就导致恶意软件能够顺利绕过某些杀毒软件的检测。此外,PureBasic代码还可以在Windows、Linux和OS-X之间移植,这就使得开发适用于不同平台的恶意软件更加容易。

PureLocker被设计为由regsrv32.exe作为COM服务器DLL执行,它将调用DllRegisterServer导出,恶意软件的代码驻留在导出中。

字符串被编码并存储为Unicode十六进制字符串,通过调用字符串解码函数,可以根据需要对每个字符串进行解码。

探秘新型勒索软件“PureLocker”,已被多个黑客组织用于发起攻击

 

代码首先会检查它是否正在按照攻击者的意图执行,以及是否正在被分析或调试。有任何一项检查不符,恶意软件就会立即退出,但不会删除自身:

探秘新型勒索软件“PureLocker”,已被多个黑客组织用于发起攻击

 

一旦有效载荷执行,恶意软件就会立即删除自身。

PureLocker很可能只是完整攻击链的一部分

有几个迹象表明,PureLocker很有可能只是一个高针对性、多阶段攻击的一部分。恶意软件首先会检查其自身是否是使用“/s/i”参数执行的,这个参数的作用是指示regsrv32.exe安装DLL组件而不引发任何对话(静默):

探秘新型勒索软件“PureLocker”,已被多个黑客组织用于发起攻击

 

稍后,恶意软件会验证它是否确实由“regsrv32.exe”执行,并验证其文件扩展名是否为“.dll”或“.ocx”、计算机上的当前年份是否为“2019”,以及是否具有管理员权限。有任何一项检查不符,恶意软件就将在不执行任何恶意活动的情况下退出。

这种行为在勒索软件中并不常见,勒索软件通常倾向于感染尽可能多的受害者,以便获取得尽可能多的收益。此外,被设计为以非常规方式执行的DLL文件的行为也表明,该勒索软件是多阶段攻击的后期组件。

规避和反分析技术

与其他勒索软件不同,该恶意软件通过手动加载“ ntdll.dll”的另一个副本来使用反钩挂技术,并从此处手动解析API地址,这么做的目的是逃避用户模式下ntdll函数的挂钩。尽管这是一个已知的技巧,但很少在勒索软件中使用。

导入本身被存储为32位哈希值,PureLocker使用了常规的哈希解析方法来获取函数地址。

探秘新型勒索软件“PureLocker”,已被多个黑客组织用于发起攻击

 

同样值得注意的是,PureLocker使用的是ntdll.dll中的低级别Windows API函数来实现其大部分功能(kernel32.dll和advapi32.dll除外),尤其是用于文件操作。

除了利用advapi32.dll(RtlGenRandom)的SystemFunction036进行伪随机数生成外,它并不使用Windows Crypto API函数,而是依赖于内置的purebasic加密库来满足其加密需求。

加密和赎金票据

在完成了所有的反分析和完整性测试之后,PureLocker将继续使用硬编码的RSA密钥,通过标准AES + RSA组合对受害者计算机上的文件进行加密并添加“.CR1”扩展名。(主要加密数据文件,并会根据特定文件的扩展名跳过对可执行文件的加密。)

然后,它会删除原始文件,以防止恢复。

完成加密后,PureLocker会在用户桌面上留下一个名为“YOUR_FILES.txt”的赎金票据。

探秘新型勒索软件“PureLocker”,已被多个黑客组织用于发起攻击

 

代码重叠和溯源

对代码的分析表明,PureLocker与Cobalt Gang在其攻击链中使用的特定组件存在代码重叠——“more_eggs”JScript后门(也称为“SpicyOmelette”)的加载器组件。

不仅如此,“more_eggs”还被其他两个黑客组织使用过,包括黑客组织FIN6。

研究人员再将PureLocker与最近的“more_eggs”加载器组件样本进行对比后发现,它们极有可能是同一伙人创建的,因为它们存在很多相似之处:

  • COM Server DLL组件都是使用PureBasic编写的;
  • 载入有效载荷前,函数和代码几乎相同,且使用的是相同的逃避和反分析方法;
  • 相同的字符串编码和解码方法。
探秘新型勒索软件“PureLocker”,已被多个黑客组织用于发起攻击

 

结论

PureLocker并不是一种常规的勒索软件,它没有试图感染尽可能多的受害者,而是尽可能地隐藏其意图和功能。用于实现逃避和反分析的代码似乎是直接从“more_eggs”加载器组件中复制过来的,这使得它能够避开自动分析系统而不被发现。

由于PureLocker是作为一种恶意软件即服务(MaaS)出售的,基于目前掌握的线索,还很难判定它是出自Cobalt Gang或FIN6,还是一个新的黑客组织之手。



Tags:勒索软件   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
应对勒索软件的步骤如果您怀疑自己受到了勒索软件的攻击,那么此时快速地采取响应动作起着至关重要的作用。您可以采取以下几个步骤,尽可能减少损失,并尽快恢复正常业务。 隔离...【详细内容】
2020-12-09  Tags: 勒索软件  点击:(124)  评论:(0)  加入收藏
一种名为Try2Cry的新勒索软件正在尝试通过感染USB闪存驱动器并使用Windows快捷方式(LNK文件)作为目标文件诱使它们感染自己,从而将其传播到其他Windows计算机上。当数据分析未...【详细内容】
2020-07-04  Tags: 勒索软件  点击:(123)  评论:(0)  加入收藏
1.药物测试公司HMR遭到勒索软件Maze攻击 药物测试公司HMR遭到勒索软件Maze攻击,并且部分志愿者信息被盗。该攻击发生在3月14日,Maze攻击者窃取了HMR网络上托管的数据并对其...【详细内容】
2020-04-13  Tags: 勒索软件  点击:(114)  评论:(0)  加入收藏
最近,Intezer和IBM X-Force IRIS研究团队发现了一种此前从未被公开披露过的新型勒索软件——PureLocker,能够同时攻击Windows和Linux操作系统。据称,PureLocker与后...【详细内容】
2019-11-28  Tags: 勒索软件  点击:(144)  评论:(0)  加入收藏
转自HELPNETSECURITY,作者马克·洛曼,蓝色摩卡译,侵转删根据最新的Sophos报告,勒索软件试图通过滥用受信任的合法程序来疏忽过去的安全控制措施,然后利用内部系统加密最大...【详细内容】
2019-11-20  Tags: 勒索软件  点击:(100)  评论:(0)  加入收藏
如果您收到一封声称来自微软的电子邮件,并要求安装所谓的关键更新,那么请立即删除这封邮件。安全公司Trustwave近日发现了新的恶意程序活动踪迹,它们利用电子邮件方式进行传播,...【详细内容】
2019-11-20  Tags: 勒索软件  点击:(152)  评论:(0)  加入收藏
安全业者Emsisoft上周释出了勒索软件Stop(又名Djvu)的解密金钥,Stop是近来最常见的勒索软件,估计市场上总计有160种变种,而Emsisoft的解密金钥,则能解锁其中148种变种的加密档案,对...【详细内容】
2019-10-22  Tags: 勒索软件  点击:(322)  评论:(0)  加入收藏
在过去的两个月里,我一直在研究采用GO语言编写的恶意软件。Go,又称Golang,是谷歌公司开发的一种编程语言,如今正在被越来越多的恶意软件开发者所使用的。在这篇文章中,我就将针...【详细内容】
2019-10-18  Tags: 勒索软件  点击:(242)  评论:(0)  加入收藏
▌简易百科推荐
众所周知,Windows系统流氓软件众多,其中不乏出身大厂的产品。这些带有流氓性质的软件,很多都会偷偷扫描系统数据,读取用户文件,造成电脑卡顿拖慢不说,还严重侵害了个人隐私,造成巨...【详细内容】
2021-12-06  趣玩APPS    Tags:流氓软件   点击:(16)  评论:(0)  加入收藏
前言目标是一大学,在一次挖洞过程中遇到个sql注入,尝试进一步利用扩大危害,漏洞已报送平台进行了修复私信我获取网络安全学习资料 1.2000多本网络安全系列电子书 2.网络安全标...【详细内容】
2021-11-26  IT野涵    Tags:sql注入   点击:(21)  评论:(0)  加入收藏
互联网时代,不论是个人还是组织,都将数据视为一项重要的资产。为了便于存储、管理,企业常常会为各项数据建立一个数据库,如果没有做好安全风险防护,一旦数据库被攻占,企业将迎来很...【详细内容】
2021-10-28  快快网络   企鹅号  Tags:数据库   点击:(50)  评论:(0)  加入收藏
前言(可能思路狭隘,有缺有错,师傅们多带带)【查看资料】Author: 0ne本篇文章数据来源于18+省市级别HVV,90+单位失陷报告。(一部分是笔者的参与,一部分是薅的公司其他师傅的报告...【详细内容】
2021-10-28  IT野涵    Tags:缺口   点击:(46)  评论:(0)  加入收藏
本人也是小白一枚,大佬请绕过,这个其实是六月份的时候做的,那时候想多点实战经验,就直接用谷歌搜索找了一些网站,这个是其中一个1、目标网站 2、发现有WAF防护 3、判断存在注入...【详细内容】
2021-10-19    博客园  Tags:SQL注入   点击:(52)  评论:(0)  加入收藏
一 前言本文将针对开发过程中依旧经常出现的SQL编码缺陷,讲解其背后原理及形成原因。并以几个常见漏洞存在形式,提醒技术同学注意相关问题。最后会根据原理,提供解决或缓解方案...【详细内容】
2021-09-17  woaker    Tags:SQL注入漏洞   点击:(67)  评论:(0)  加入收藏
前言本人ctf选手一名,在最近做练习时遇到了一些sql注入的题目,但是sql注入一直是我的弱项之一,所以写一篇总结记录一下最近学到的一些sql注入漏洞的利用。可回显注入联合注入在...【详细内容】
2021-08-26  合天网安实验室    Tags:sql注入   点击:(60)  评论:(0)  加入收藏
“放纵自己的欲望是最大的祸害,窥探别人的隐私是最大的罪恶,不知自己的过失是最大的病痛”。 上文咱们知道了目前互联网的数据安全存在隐患,数据安全的问题,每天都在发生,只不过...【详细内容】
2021-08-13  小陶子矿工    Tags:IPFS   点击:(79)  评论:(0)  加入收藏
前言最近挖edusrc的时候遇到有注入点但是有waf绕不过,头疼。 可以看到还是phpstudy建站的,太熟悉了这个,不知道这个什么waf各位师傅知道的可以评论一下,所以写这篇文章是供各位...【详细内容】
2021-08-13  IT影子    Tags:sql注入   点击:(66)  评论:(0)  加入收藏
1. 使用 Burpsuite: 1. Capture the request using burpsuite. 2. Send the request to burp scanner. 3. Proceed with active scan. 4. Once the scan is finished, l...【详细内容】
2021-08-04  李志宽    Tags:SQL注入   点击:(74)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条