思科Talos持續(xù)監(jiān)控電子郵件威脅環(huán)境,緊密跟蹤出現(xiàn)的新威脅和現(xiàn)有威脅的變化。我們最近觀察到幾次大規(guī)模的電子郵件攻擊活動(dòng),它們?cè)噲D傳播一種名為“Jaff”的全新勒索軟件變種。有意思的是,我們?cè)诖舜喂艋顒?dòng)中發(fā)現(xiàn)了幾個(gè)曾在Dridex和Locky攻擊活動(dòng)中使用過的特征。我們?cè)诙唐趦?nèi)觀察到多項(xiàng)攻擊活動(dòng),他們均大肆傳播惡意垃圾電子郵件,每一封電子郵件均帶有一個(gè)PDF附件,其中內(nèi)嵌了Microsoft Word文檔,用于觸發(fā)下載Jaff勒索軟件。雖然思科客戶已能夠?qū)@一威脅自動(dòng)免疫,但我們還是決定深入剖析一下這一威脅,以及它將會(huì)對(duì)整個(gè)威脅環(huán)境產(chǎn)生的影響。在下文中,您將可以了解到感染流程的概要信息,以及有關(guān)此威脅的更多相關(guān)信息。
感染流程
盡管每一個(gè)攻擊活動(dòng)的特定要素均有略微差異,包括使用不同的XOR密鑰值等,但它們都具有一些共同的特性。試圖傳播此惡意軟件的電子郵件攻擊活動(dòng)均具備標(biāo)準(zhǔn)的垃圾郵件特征。它們的主題行均使用“Copy_”或“Document_”作為開頭,后面附帶一串隨機(jī)數(shù)字進(jìn)行偽裝,如“Copy_30396323”和“Document_3758”等。在我們監(jiān)控這些攻擊活動(dòng)的同時(shí),我們也注意到又出現(xiàn)了更多的攻擊活動(dòng),每一個(gè)均采用了略微不同的主題。首輪攻擊活動(dòng)相關(guān)的電子郵件的正文沒有任何內(nèi)容,僅帶有名為“nm.pdf”的附件。這一攻擊活動(dòng)的電子郵件示例如下。
正如我們?cè)谏厦娴钠聊豢煺罩锌吹降?,攻擊者在生成與這些攻擊活動(dòng)相關(guān)的電子郵件時(shí)并未花費(fèi)很大的心思。不久以后,我們注意到在后續(xù)的攻擊活動(dòng)中,電子郵件正文開始包含以下文本:
“Image data in PDF format has been attached to this email.(這一電子郵件的附件包含PDF格式的圖像數(shù)據(jù)。)”
在所有情況中,附件文件都是一個(gè)惡意PDF文檔,內(nèi)嵌了Microsoft Word文檔。當(dāng)受害者打開PDF時(shí),在PDF正文中將會(huì)顯示一段內(nèi)容,然后試圖打開內(nèi)嵌的Microsoft Word文檔。
與我們?cè)谧罱腖ocky攻擊活動(dòng)中觀察到的現(xiàn)象類似,當(dāng)PDF試圖打開內(nèi)嵌的Microsoft Word文檔時(shí),系統(tǒng)會(huì)提示受害者批準(zhǔn)這一操作。此處繼續(xù)感染流程需要用戶的交互,以逃過組織可能部署的自動(dòng)檢測(cè)機(jī)制。此時(shí)在用戶批準(zhǔn)之前,將不會(huì)發(fā)生惡意活動(dòng)。在未配置模擬這一審批活動(dòng)的沙盒環(huán)境中,感染可能永遠(yuǎn)不會(huì)發(fā)生,并可能會(huì)導(dǎo)致沙盒環(huán)境判定此文件為正常文件,偏離其惡意本質(zhì)的事實(shí),而這主要是因?yàn)楦腥疚幢挥|發(fā)。
該P(yáng)DF附件包含以下Javascript,用于打開內(nèi)嵌的Microsoft Word文檔:
單擊“OK(確定)”按鈕會(huì)導(dǎo)致PDF打開惡意Microsoft Word文檔,整個(gè)行為與我們?cè)谄渌艋顒?dòng)中看到的行為基本類似。毫無意外的是,用戶還將會(huì)被提示啟用編輯,以查看Word文檔的內(nèi)容。需要指出的是,該惡意Microsoft Word文檔包含兩頁(yè),而不像大多數(shù)惡意Word文檔一樣只有一頁(yè)。
圖D:惡意Word文檔示例
一旦惡意內(nèi)容被啟用,該Microsoft Word文檔將會(huì)執(zhí)行一個(gè)VBA宏,它的作用就是充當(dāng)勒索軟件下載程序,試圖獲取勒索軟件二進(jìn)制文件以感染系統(tǒng)。
該VBA宏包含多個(gè)下載域名,使用大寫字母“V”隔開。這就給該惡意軟件提供了多個(gè)機(jī)會(huì)來嘗試從多個(gè)來源下載惡意載荷。
用于下載Jaff二進(jìn)制文件的URL與我們?cè)贚ocky攻擊活動(dòng)中觀察到的URL非常類似。
以上下載的二進(jìn)制blob之后會(huì)使用惡意Word文檔中內(nèi)嵌的XOR密鑰進(jìn)行XOR處理,我們?cè)谶@一攻擊活動(dòng)中觀察到多個(gè)XOR密鑰。下面的屏幕快照是我們?cè)赩BA宏的Module3中發(fā)現(xiàn)的,其中XOR密鑰為“d4fsO4RqQabyQePeXTaoQfwRCXbIuS9Q”
當(dāng)這一XOR流程完成后,惡意軟件將使用以下的命令行語(yǔ)法,使用Windows Command Processor啟動(dòng)實(shí)際的勒索軟件PE32可執(zhí)行程序:
勒索軟件會(huì)重復(fù)對(duì)系統(tǒng)上存儲(chǔ)的文件夾進(jìn)行加密,這一特定勒索軟件附加到每個(gè)文件的文件擴(kuò)展名為“jaff”。它會(huì)在受害者的“My Documents(我的文檔)”目錄下寫入一個(gè)名為ReadMe.txt的文件,其中包含了勒索聲明。
它同時(shí)還會(huì)修改桌面背景,如下所示:
需要指出的有趣一點(diǎn)是,上面的說明并未指示用戶使用Tor2Web等Tor代理服務(wù),相反它指示用戶安裝整個(gè)Tor瀏覽器軟件包,以訪問贖金付費(fèi)系統(tǒng)。樣本和攻擊活動(dòng)中使用的Tor地址也似乎沒有變化。訪問贖金付費(fèi)系統(tǒng)時(shí),受害者將會(huì)看到以下信息,要求他們輸入在被感染系統(tǒng)上的勒索聲明中列出的解密ID。
在此網(wǎng)站中輸入正確的ID值后,受害者將會(huì)看到完整的說明頁(yè),列出了攻擊者要索取的贖金金額,以及具體的付費(fèi)說明。
值得一提的是,贖金付費(fèi)系統(tǒng)的外觀與我們?cè)贚ocky中看到的系統(tǒng)非常相似。在這一案例中,被索取的贖金金額為2.01117430個(gè)比特幣,按當(dāng)下價(jià)格計(jì)算相當(dāng)于約3700美元,大幅高于其他勒索軟件活動(dòng)所索取的金額。通過查看贖金付費(fèi)服務(wù)器指定的比特幣錢包,我們確定這一錢包當(dāng)前處于零成交狀態(tài)。
攻擊活動(dòng)傳播/規(guī)模
截至目前為止,思科Talos觀察到超過10萬封電子郵件與這些新Jaff攻擊活動(dòng)有關(guān)。相對(duì)于一種新攻擊而言,這種通過垃圾郵件傳播的勒索軟件規(guī)??芍^極其龐大。它們與Necurs的緊密關(guān)系使得其垃圾郵件攻擊活動(dòng)能夠在短期內(nèi)達(dá)到超大規(guī)模。首輪垃圾郵件攻擊活動(dòng)開始于2017年5月11日UTC時(shí)間上午8點(diǎn),包含約35,768封電子郵件,均帶有附件“nm.pdf”。在這一垃圾郵件攻擊活動(dòng)中,思科Talos觀察到約184個(gè)獨(dú)特的樣本。
思科Talos還觀察到第二輪攻擊活動(dòng)于第二天開始,包含約72,798封電子郵件。這一輪的攻擊活動(dòng)開始于2017年5月12日UTC上午9點(diǎn),傳播了約294個(gè)獨(dú)特樣本。該輪攻擊活動(dòng)使用的附件文件名為“201705*.pdf”,其作用與我們?cè)谑纵喒艋顒?dòng)中觀察到的附件完全相同。
這是一種新的LOCKY攻擊嗎?
這兩輪攻擊活動(dòng)使用了一些共同的特征來傳播Jaff,其使用的C2流量模式與我們?cè)贚ocky和Dridex等活動(dòng)中已經(jīng)習(xí)以為常的模式相似。然而,我們相信這并非是Locky勒索軟件的一個(gè)新版本或改頭換面的版本。兩種攻擊的代碼庫(kù)間的相似度非常低,雖然曾使用Necurs傳播Locky的攻擊者與現(xiàn)在傳播Jaff的攻擊者可能是同一批人,但該惡意軟件本身還是存在著明顯的區(qū)別,應(yīng)被區(qū)別看待,并劃分到不同的勒索軟件家族中。
如果要將其視作一種“新的”Locky,原因可能包括其肆無忌憚的風(fēng)格、與Locky一樣橫空出世、主要通過惡意垃圾電子郵件傳播、以及利用惡意Word文檔等,但攻擊活動(dòng)自身的特點(diǎn)不應(yīng)用于判斷惡意軟件是否相同。這是一種新的勒索軟件,攻擊者在代碼庫(kù)、基礎(chǔ)設(shè)施和規(guī)模方面都開展了大量的工作。然而,它不是Locky 2.0。它是另一種攻擊性非常強(qiáng)的向最終用戶推送勒索軟件產(chǎn)品的全新惡意軟件,目前應(yīng)與Locky分開看待。
我們注意到攻擊者已開始使用Necurs來通過多個(gè)大規(guī)模垃圾郵件活動(dòng)的形式傳播Jaff。我們將會(huì)繼續(xù)監(jiān)控此攻擊活動(dòng),我們會(huì)對(duì)每一封電子郵件進(jìn)行威脅分析,以確定這是一次曇花一現(xiàn)的攻擊,還是這一勒索軟件家族將會(huì)繼續(xù)感染未得到可靠保護(hù)的組織。
IOCS
電子郵件主題
Copy_數(shù)字串
Document_數(shù)字串
Scan_數(shù)字串
PDF_數(shù)字串
File_數(shù)字串
Scanned Image
附件文件名:
nm.pdf
String of Digits.pdf(示例:20170511042179.pdf)
附件哈希值:
與這一攻擊活動(dòng)相關(guān)的附件列表可以在此處找到。
Word文檔哈希值:
與PDF內(nèi)嵌的Microsoft Word文檔相關(guān)的哈希值列表可以在此處找到。
二進(jìn)制哈希值:
03363f9f6938f430a58f3f417829aa3e98875703eb4c2ae12feccc07fff6ba47
C2服務(wù)器IP:
108.165.22[.]125
27.254.44[.]204
傳播域名:
與這些攻擊活動(dòng)相關(guān)的傳播域名列表可以在此處找到。
結(jié)論
這是全球掀起的新惡意軟件變種的又一示例。這一攻擊現(xiàn)在很常見,它向我們揭示出為何此類攻擊對(duì)于犯罪分子極具吸引力。其市場(chǎng)價(jià)值高達(dá)數(shù)百萬美元,每個(gè)人都想從中分一杯羹。Jaff通過基于Necurs的常見垃圾郵件機(jī)制進(jìn)行傳播。然而,它勒索的贖金非常高,此處的問題在于,當(dāng)贖金達(dá)到多高時(shí),用戶就將不會(huì)付費(fèi)。未來,我們很可能會(huì)看到攻擊者不斷嘗試找到合理的價(jià)位,以在確保能夠收到贖金的同時(shí)最大化利潤(rùn)。
在當(dāng)今的威脅環(huán)境中,勒索軟件開始占據(jù)主流地位,并被傳播到全球幾乎所有系統(tǒng)上。隨著漏洞利用套件活動(dòng)的大規(guī)模減少,它可能會(huì)繼續(xù)主要通過電子郵件傳播,或在攻擊者嘗試通過Samsam等威脅進(jìn)入網(wǎng)絡(luò)或系統(tǒng)時(shí),通過次要載荷傳播。
規(guī)避辦法
下方列出了客戶可以檢測(cè)并阻止此威脅的其他辦法。
高級(jí)惡意軟件防護(hù)(AMP)能夠有效避免執(zhí)行這些攻擊者使用的惡意軟件。
CWS或WSA網(wǎng)絡(luò)掃描能夠阻止訪問惡意網(wǎng)站,并發(fā)現(xiàn)這些攻擊中使用的惡意軟件。
Email Security可以阻止攻擊者在其攻擊活動(dòng)中發(fā)送的惡意電子郵件。
IPS和NGFW的網(wǎng)絡(luò)安全防護(hù)功能可以提供最新的簽名,用來檢測(cè)攻擊者發(fā)起的惡意網(wǎng)絡(luò)活動(dòng)。
AMP Threat Grid能夠幫助發(fā)現(xiàn)惡意軟件二進(jìn)制文件,并在所有思科安全產(chǎn)品中建立防護(hù)措施。
Umbrella能夠阻止對(duì)與惡意活動(dòng)相關(guān)的域名進(jìn)行DNS解析。
思科Talos介紹
思科Talos團(tuán)隊(duì)由業(yè)界領(lǐng)先的網(wǎng)絡(luò)安全專家組成,他們分析評(píng)估黑客活動(dòng),入侵企圖,惡意軟件以及漏洞的最新趨勢(shì)。包括ClamAV團(tuán)隊(duì)和一些標(biāo)準(zhǔn)的安全工具書的作者中最知名的安全專家,都是思科Talos的成員。這個(gè)團(tuán)隊(duì)同時(shí)得到了Snort、ClamAV、Senderbase.org和Spamcop.net社區(qū)的龐大資源支持,使得它成為網(wǎng)絡(luò)安全行業(yè)最大的安全研究團(tuán)隊(duì)。也為思科的安全研究和安全產(chǎn)品服務(wù)提供了強(qiáng)大的后盾支持。
京公網(wǎng)安備 11010502049343號(hào)