新型攻击接踵而来 思科Talos解析Jaff勒索软件

思科Talos持续监控电子邮件威胁环境,紧密跟踪出现的新威胁和现有威胁的变化。我们最近观察到几次大规模的电子邮件攻击活动,它们试图传播一种名为“Jaff”的全新勒索软件变种。有意思的是,我们在此次攻击活动中发现了几个曾在Dridex和Locky攻击活动中使用过的特征。我们在短期内观察到多项攻击活动,他们均大肆传播恶意垃圾电子邮件,每一封电子邮件均带有一个PDF附件,其中内嵌了Microsoft Word文档,用于触发下载Jaff勒索软件。虽然思科客户已能够对这一威胁自动免疫,但我们还是决定深入剖析一下这一威胁,以及它将会对整个威胁环境产生的影响。在下文中,您将可以了解到感染流程的概要信息,以及有关此威胁的更多相关信息。

感染流程

尽管每一个攻击活动的特定要素均有略微差异,包括使用不同的XOR密钥值等,但它们都具有一些共同的特性。试图传播此恶意软件的电子邮件攻击活动均具备标准的垃圾邮件特征。它们的主题行均使用“Copy_”或“Document_”作为开头,后面附带一串随机数字进行伪装,如“Copy_30396323”和“Document_3758”等。在我们监控这些攻击活动的同时,我们也注意到又出现了更多的攻击活动,每一个均采用了略微不同的主题。首轮攻击活动相关的电子邮件的正文没有任何内容,仅带有名为“nm.pdf”的附件。这一攻击活动的电子邮件示例如下。

图A:电子邮件示例

正如我们在上面的屏幕快照中看到的,攻击者在生成与这些攻击活动相关的电子邮件时并未花费很大的心思。不久以后,我们注意到在后续的攻击活动中,电子邮件正文开始包含以下文本:

“Image data in PDF format has been attached to this email.(这一电子邮件的附件包含PDF格式的图像数据。)”

在所有情况中,附件文件都是一个恶意PDF文档,内嵌了Microsoft Word文档。当受害者打开PDF时,在PDF正文中将会显示一段内容,然后试图打开内嵌的Microsoft Word文档。

图B:PDF附件示例

与我们在最近的Locky攻击活动中观察到的现象类似,当PDF试图打开内嵌的Microsoft Word文档时,系统会提示受害者批准这一操作。此处继续感染流程需要用户的交互,以逃过组织可能部署的自动检测机制。此时在用户批准之前,将不会发生恶意活动。在未配置模拟这一审批活动的沙盒环境中,感染可能永远不会发生,并可能会导致沙盒环境判定此文件为正常文件,偏离其恶意本质的事实,而这主要是因为感染未被触发。

该PDF附件包含以下Javascript,用于打开内嵌的Microsoft Word文档:

图C:PDF中的Javascript

单击“OK(确定)”按钮会导致PDF打开恶意Microsoft Word文档,整个行为与我们在其他攻击活动中看到的行为基本类似。毫无意外的是,用户还将会被提示启用编辑,以查看Word文档的内容。需要指出的是,该恶意Microsoft Word文档包含两页,而不像大多数恶意Word文档一样只有一页。

图D:恶意Word文档示例

一旦恶意内容被启用,该Microsoft Word文档将会执行一个VBA宏,它的作用就是充当勒索软件下载程序,试图获取勒索软件二进制文件以感染系统。

该VBA宏包含多个下载域名,使用大写字母“V”隔开。这就给该恶意软件提供了多个机会来尝试从多个来源下载恶意载荷。

图E:VBA下载程序

用于下载Jaff二进制文件的URL与我们在Locky攻击活动中观察到的URL非常类似。

图F:下载URL

以上下载的二进制blob之后会使用恶意Word文档中内嵌的XOR密钥进行XOR处理,我们在这一攻击活动中观察到多个XOR密钥。下面的屏幕快照是我们在VBA宏的Module3中发现的,其中XOR密钥为“d4fsO4RqQabyQePeXTaoQfwRCXbIuS9Q”

图G:XOR密钥

当这一XOR流程完成后,恶意软件将使用以下的命令行语法,使用Windows Command Processor启动实际的勒索软件PE32可执行程序:

图H:启动可执行程序

勒索软件会重复对系统上存储的文件夹进行加密,这一特定勒索软件附加到每个文件的文件扩展名为“jaff”。它会在受害者的“My Documents(我的文档)”目录下写入一个名为ReadMe.txt的文件,其中包含了勒索声明。

图I:文本格式的勒索声明

它同时还会修改桌面背景,如下所示:

图J:修改的桌面壁纸

需要指出的有趣一点是,上面的说明并未指示用户使用Tor2Web等Tor代理服务,相反它指示用户安装整个Tor浏览器软件包,以访问赎金付费系统。样本和攻击活动中使用的Tor地址也似乎没有变化。访问赎金付费系统时,受害者将会看到以下信息,要求他们输入在被感染系统上的勒索声明中列出的解密ID。

图K:指定解密ID

在此网站中输入正确的ID值后,受害者将会看到完整的说明页,列出了攻击者要索取的赎金金额,以及具体的付费说明。

图L:赎金付费系统

值得一提的是,赎金付费系统的外观与我们在Locky中看到的系统非常相似。在这一案例中,被索取的赎金金额为2.01117430个比特币,按当下价格计算相当于约3700美元,大幅高于其他勒索软件活动所索取的金额。通过查看赎金付费服务器指定的比特币钱包,我们确定这一钱包当前处于零成交状态。

图M:比特币钱包交易情况

攻击活动传播/规模

截至目前为止,思科Talos观察到超过10万封电子邮件与这些新Jaff攻击活动有关。相对于一种新攻击而言,这种通过垃圾邮件传播的勒索软件规模可谓极其庞大。它们与Necurs的紧密关系使得其垃圾邮件攻击活动能够在短期内达到超大规模。首轮垃圾邮件攻击活动开始于2017年5月11日UTC时间上午8点,包含约35,768封电子邮件,均带有附件“nm.pdf”。在这一垃圾邮件攻击活动中,思科Talos观察到约184个独特的样本。

思科Talos还观察到第二轮攻击活动于第二天开始,包含约72,798封电子邮件。这一轮的攻击活动开始于2017年5月12日UTC上午9点,传播了约294个独特样本。该轮攻击活动使用的附件文件名为“201705*.pdf”,其作用与我们在首轮攻击活动中观察到的附件完全相同。

这是一种新的LOCKY攻击吗

这两轮攻击活动使用了一些共同的特征来传播Jaff,其使用的C2流量模式与我们在Locky和Dridex等活动中已经习以为常的模式相似。然而,我们相信这并非是Locky勒索软件的一个新版本或改头换面的版本。两种攻击的代码库间的相似度非常低,虽然曾使用Necurs传播Locky的攻击者与现在传播Jaff的攻击者可能是同一批人,但该恶意软件本身还是存在着明显的区别,应被区别看待,并划分到不同的勒索软件家族中。

如果要将其视作一种“新的”Locky,原因可能包括其肆无忌惮的风格、与Locky一样横空出世、主要通过恶意垃圾电子邮件传播、以及利用恶意Word文档等,但攻击活动自身的特点不应用于判断恶意软件是否相同。这是一种新的勒索软件,攻击者在代码库、基础设施和规模方面都开展了大量的工作。然而,它不是Locky 2.0。它是另一种攻击性非常强的向最终用户推送勒索软件产品的全新恶意软件,目前应与Locky分开看待。

我们注意到攻击者已开始使用Necurs来通过多个大规模垃圾邮件活动的形式传播Jaff。我们将会继续监控此攻击活动,我们会对每一封电子邮件进行威胁分析,以确定这是一次昙花一现的攻击,还是这一勒索软件家族将会继续感染未得到可靠保护的组织。

IOCS

电子邮件主题

Copy_数字串

Document_数字串

Scan_数字串

PDF_数字串

File_数字串

Scanned Image

附件文件名:

nm.pdf

String of Digits.pdf(示例:20170511042179.pdf)

附件哈希值:

与这一攻击活动相关的附件列表可以在此处找到。

Word文档哈希值:

与PDF内嵌的Microsoft Word文档相关的哈希值列表可以在此处找到。

二进制哈希值:

03363f9f6938f430a58f3f417829aa3e98875703eb4c2ae12feccc07fff6ba47

C2服务器IP:

108.165.22[.]125

27.254.44[.]204

传播域名:

与这些攻击活动相关的传播域名列表可以在此处找到。

结论

这是全球掀起的新恶意软件变种的又一示例。这一攻击现在很常见,它向我们揭示出为何此类攻击对于犯罪分子极具吸引力。其市场价值高达数百万美元,每个人都想从中分一杯羹。Jaff通过基于Necurs的常见垃圾邮件机制进行传播。然而,它勒索的赎金非常高,此处的问题在于,当赎金达到多高时,用户就将不会付费。未来,我们很可能会看到攻击者不断尝试找到合理的价位,以在确保能够收到赎金的同时最大化利润。

在当今的威胁环境中,勒索软件开始占据主流地位,并被传播到全球几乎所有系统上。随着漏洞利用套件活动的大规模减少,它可能会继续主要通过电子邮件传播,或在攻击者尝试通过Samsam等威胁进入网络或系统时,通过次要载荷传播。

规避办法

下方列出了客户可以检测并阻止此威胁的其他办法。

高级恶意软件防护(AMP)能够有效避免执行这些攻击者使用的恶意软件。

CWS或WSA网络扫描能够阻止访问恶意网站,并发现这些攻击中使用的恶意软件。

Email Security可以阻止攻击者在其攻击活动中发送的恶意电子邮件。

IPS和NGFW的网络安全防护功能可以提供最新的签名,用来检测攻击者发起的恶意网络活动。

AMP Threat Grid能够帮助发现恶意软件二进制文件,并在所有思科安全产品中建立防护措施。

Umbrella能够阻止对与恶意活动相关的域名进行DNS解析。

原文发布时间为:2017年5月15日

本文作者:思科Talos安全团队 

时间: 2024-10-14 13:35:55

新型攻击接踵而来 思科Talos解析Jaff勒索软件的相关文章

新型攻击接踵而来,思科Talos解析Jaff勒索软件

感染流程 尽管每一个攻击活动的特定要素均有略微差异,包括使用不同的XOR密钥值等,但它们都具有一些共同的特性.试图传播此恶意软件的电子邮件攻击活动均具备标准的垃圾邮件特征.它们的主题行均使用"Copy_"或"Document_"作为开头,后面附带一串随机数字进行伪装,如"Copy_30396323"和"Document_3758"等.在我们监控这些攻击活动的同时,我们也注意到又出现了更多的攻击活动,每一个均采用了略微不同的主题

网络黑市PaySell与Jaff勒索软件共享同一台服务器

安全研究人员发现勒索软件Jaff的发布者们与名为PaySell的网络犯罪市场共享同一服务器空间. 此次涉事的服务器IP地址为5.101[.]66.85,而根据Heimdal Security公司的发现,该IP被分配给了位于俄罗斯圣彼得堡的一家托管服务供应商.这一关联在VirusTotal网站上也得到明确体现. CSIS安全集团创始人兼前Heimdal Security公司专家彼得·克鲁斯在推特上写道,这种关联绝非单纯只是共享服务器这么简单,但其并未提供更多细节信息. 安全各方早对这种关联有所猜测

思科Talos深度解析“WannaCry"勒索软件

要点综述 据报道称,全球多家组织遭到了一次严重的勒索软件攻击,西班牙的Telefonica.英国的国民保健署.以及美国的FedEx等组织纷纷中招.发起这一攻击的恶意软件是一种名为"WannaCry"的勒索软件变种. 该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金. 此外,Talos还注意到WannaCry样本使用了DOUBLEPULSAR,这是一个

Petya勒索软件攻击预警更新:赛门铁克进一步解析Petya勒索软件

2017年6月27日,一个名为Petya的勒索软件开始大肆传播,导致多个国家的大型企业受到Petya勒索软件攻击的影响 图1. 企业受到攻击数量最多的国家(Top 20) 与WannaCry勒索病毒类似,Petya同样利用"永恒之蓝"漏洞进行传播.但除此之外,Petya还使用了传统SMB网络传播技术,这意味着即便企业已经安装"永恒之蓝"补丁,Petya依然能够在企业内部进行传播. 初始感染方式 赛门铁克已经证实,网络攻击者在最初Petya入侵企业网络的过程中,使用了

Petya勒索软件变种Nyetya全球爆发,思科Talos率先响应

自2017年5月份经历勒索软件WannaCry的大规模爆发后,思科Talos团队在6月27日发现了最新的勒索软件变种,暂命名为Nyetya.目前已经在多个国家发现了这个勒索软件的感染事件,思科Talos团队正在积极分析并不断更新最新的防护信息. 原文链接:http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html 勒索软件Nyetya概述 基于新勒索软件变种的样本分析显示,勒索软件借助了之前被多次利用的永

Petya勒索软件变种Nyetya全球爆发

本文讲的是 Petya勒索软件变种Nyetya全球爆发,自2017年5月份经历勒索软件WannaCry的大规模爆发后,思科Talos团队在6月27日发现了最新的勒索软件变种,暂命名为Nyetya.目前已经在多个国家发现了这个勒索软件的感染事件,思科Talos团队正在积极分析并不断更新最新的防护信息. 勒索软件Nyetya概述勒索软件Nyetya概述 基于新勒索软件变种的样本分析显示,勒索软件借助了之前被多次利用的永恒之蓝(EternalBlue)攻击工具和Windows系统的WMI进行传播.与之

思科发布针对勒索软件TeslaCrypt的解密工具

这是一个真实的案例:就在上个月,小编的朋友,一位银行高管不慎点开了一封邮件的附件,真真切切的遭遇了原本以为只有在FreeBuf上看到的"新鲜玩意"--勒索软件.如同本文的主角TeslaCrypt一样,他的电脑被彻底加密,只有依照软件提示交付赎金才能恢复,这让我的朋友欲哭无泪-- Cisco(思科)公司在对勒索软件TeslaCrypt经过长期的分析后,近日发布了一款解密工具,这款工具能够解密被TeslaCrypt勒索而加密的文件. 百科:勒索木马 勒索软件是一种近年来愈发流行的木马,这些

解密勒索软件 遭到疯狂报复 Enjey勒索软件在攻击 cloudflare防护在等待

勒索软件Enjey对ID Ransomware在线服务实施了DDoS攻击, 因为 ID Ransomware索引了勒索软件作者刚发布的软件,而且居然还发现了方法,解密他的勒索软件. ID Ransomware服务宕机了4个小时 勒索软件Enjey在Twitter上声明对此次攻击负责,随后在跟媒体的沟通中提供了一段攻击ID Ransomware的代码.随后他发动了第二次DDoS攻击,证明那确实是他.但这个时候已经引起了ID Ransomware的注意,并且到现场应对第二次攻击.在这次攻击期间,服务

Hadoop集群遭遇勒索软件攻击 据称中国有8300多个Hadoop集群暴露在互联网上

继上周绿盟科技发布 ElasticSearch专项报告 以来,又监测到勒索软件正在攻击Hadoop集群,这再次表明黑客正在尝试从"大数据"中获利,绿盟科技给出的建议是关闭端口.启用安全认证机制.使用WVSS Web应用漏洞扫描等方式进行安全扫描.绿盟科技发布的专项报告全文如下: 勒索软件攻击Hadoop事件综述 最近,部分黑客组织针对几款特定产品展开了勒索攻击.截止到上周,已有至少34000多台MongoDB数据库被黑客组织入侵,数据库中的数据被黑客擦除并索要赎金.随后,在2017年1