建议投诉 | 联系我们 | 关注微信 安全虎 - 专注于互联网信息安全的科技新媒体!
你的位置:首页 > 业界动态 » 正文

勒索攻击开启“双枪炮”模式: Locky 和 FakeGlobe 轮流感染受害主机

来源:2017-09-20 | 人围观 | 评论:暂无评论

 

2017年九月初,趋势科技在大规模的垃圾邮件活动中发现了最新的Locky变种。Locky是一个臭名昭著的勒索软件,最初是在2016年初被发现的,一直在持续的进化中,通过不同的方式进行传播,尤其是垃圾邮件。在最近的攻击活动提取样本进行透彻的分析,结果表明网络犯罪分子使用了更复杂的分发方法,影响范围覆盖了70多个国家的用户。

分析发现,攻击者专门设计轮流分发两种勒索软件:Locky 和 FakeGlobe。本文将对最新的攻击活动进行具体的分析。

活动特征概述

活动中分发了两类勒索软件:Locky和FakeGlobe, 但这两个勒索软件是轮流出现的。受害者点击垃圾邮件中的链接,有时被分发Locky勒索软件,但1个小时后会被分发FakeGlobe勒索软件,两者交替出现,这是攻击背后的网络犯罪分子估计设计的,这样做可能会造成重新感染,因为感染了一个勒索软件的受害者仍然是脆弱的,极可能再次被感染。

全球分布和垃圾邮件活动的分析

图1:初始垃圾邮件活动的分布

图2:发送的垃圾邮件的一个示例

这一波垃圾邮件活动中受影响的用户很大程度上集中在日本、中国和美国;45%的垃圾邮件被发送到其他70多个国家。总的来说,一共阻断了多达298000封垃圾邮件,并且分发活动在2017年9月4日上午10点达到高峰(UTC + 4)。

图3:第二次垃圾邮件活动的分布

图4:第二次垃圾邮件活动中的垃圾有件的一个示例

这一波垃圾邮件活动的影响范围主要在日本、中国和美国;46%的垃圾邮件被发送到其他70多个国家。分发活动在2017年9月4日下午4点达到高峰(UTC + 4),一共阻止了284000封垃圾邮件。

分发时间与正常的工作时间一致,这是垃圾邮件活动常见的特征之一,因为这段时间内可能有更多的用户会检查他们的电子邮件。基于时间轴、受影响国家和电子邮件的相似性,我们可以假定这两个示例的发送源是相同的。

追踪这个垃圾邮件的发送者的IP,发现大部分来自印度、越南和伊朗。总共有185个国家参与了这两个样本的传播,如此一来,对分销渠道的规模就有了一个概念。

垃圾邮件轮流分发两种勒索软件

垃圾邮件中包含有一个链接和附件(当下是.7z或7-Zip,之前是.zip),内容是伪装成合法的发票或票据。从链接中下载的脚本和附件中的脚本相似,但垃圾邮件的下载链接关联了不同的URL。

电子邮件正文的链接的下载的脚本里,包含以下URL:

  • geolearner[.]com/JIKJHgft?

  • naturofind[.]org/p66/JIKJHgft

  • cabbiemail[.]com/JIKJHgft?

邮件附件中包含的URLs:

  • m-tensou[.]net/JIKJHgft?

  • naturofind[.]org/p66/JIKJHgft

对脚本进行分析,发现会下载两个不同的二进制文件。一个脚本连接到geolearner[.]com/JIKJHgft?,下载了一个.lukitus(Locky的变种),携带一个代销商的ID号“3”。代销商ID和受害者ID的信息被传送Locky的C&C服务器,允许威胁演员来决定如何分配支付赎金。

图5-1、5-2:Locky背景图和赎金界面

图6 Locky支付赎金的页面

第二个脚本连接到m-tensou[.]net/JIKJHgft?,下载FakeGlobe 或 “Globe Imposter”勒索。FakeGlobe是一种今年六月才被发现的勒索软件,另外,邮件还使用虚假的发票作为诱饵。加密文件使用了.txt后缀名,还提供了一个支持页面,用于指示受害者支付赎金。

图7 :FakeGlobe的赎金提示页面

图8-1、8-2:FakeGlobe的支持页面

几个小时后,我们试图从m-tensou[.]net/JIKJHgft?再次下载的时候发现,下载的文件从fFakeGlobe 变为 Locky,这表明从这些URL下载了不同的勒索软件,正在轮流感染受害者的主机。

推送Locky和FakeGlobe的其他活动

8月30日就有一篇详细的报告,描述了一个大规模的垃圾邮件活动中,试图推送Locky变种和FakeGlobe勒索软件。那次活动中垃圾邮件在刚开始时分发Locky变种,之后变为FakeGlobe。9月5日发现了新一轮活动。

图9:推送Locky和FakeGlobe的垃圾邮件样本

垃圾邮件有一个DOC格式的附件,其中包含了一个恶意宏负载,这是一种典型的、广泛使用的战术,诱骗用户启用宏,因为默认情况下系统是禁用宏函数的。

图10:诱骗用户启用宏的DOC文件的内容

这个下载器利用了自动关闭VBA宏的功能。当受害人关闭DOC文件时,宏负载被执行。

DOC文件关联以下下载URLs:

  • hxxp://qolseaboomdog[.]top/support[.]php?f=1

  • hxxp://newhostrcm[.]top/admin[.]php?f=1

第一次分析时,它们下载的了.lukitus(一种Locky变种),分销商ID是“24”。然后我们尝试将下载URL中的f参数从1改为2:

  • hxxp://qolseaboomdog[.]top/support[.]php?f=2

  • hxxp://newhostrcm[.]top/admin[.]php?f=2

这一次,它下载FakeGlobe恶意软件。这种变体向加密文件后边追加了.911扩展名,并下发了一个名为“!SOS!.HTML”的赎金提示页面。

几个小时后,参数(F = 1,F=2)切换到推送Locky的设置,这种行为也在另一些垃圾邮件活动中被观察到过,FakeGlobe勒索软件的推送也是通过修改参数来完成的。另外还发现,support.php和admin.php是可以互换的。

结论和建议

这不是我们第一次观察到下载URLs在轮流的下发不同的恶意软件。然而,通常情况下,所使用的恶意软件的类型不同,例如一个勒索软件搭配一个盗取信息的银行木马。现在我们看到,网络罪犯分子只是轮流下发不同的勒索软件,这对用户而言是相当危险的。由于Locky 和 FakeGlobe被交替推送,文件被不同的勒索软件加密,受害者将不得不支付两次赎金,更糟糕的是,可能会永久地失去他们的数据。

勒索软件是一种不断发展的网络威胁类型,企业和终端用户可以遵循一套最佳实践来提高自己的防御勒索软件的能力。

对企业而言,需要采取多层次的、循序渐进的方式来提高防御能力,以最大程度地减轻垃圾邮件带来的风险。使用专业的电子邮件安全和Web安全网关的解决方案,及时阻止垃圾邮件、恶意软件、网络钓鱼、勒索勒索和先进的针对性攻击入侵网络,尽量阻止勒索软件到达终端用户。此外,在端点安全方面,应加强行为监控和应用控制等方面的防护,最大限度地减少勒索软件威胁可能造成的潜在影响。

相关信息

检测到的VBScript文件,被标识为VBS_NEMUCOD.ELDSAUO

39256f126bba17770310c2115586b9f22b858cf15c43ab36bd7cfb18ad63a0c2

a299f3de0c9277c0ce7dd3f7dc9aee57a7abe78b155919b1ecced1896c69653b

0f6ae637a9d15503a0af42be649388f01f8637ca16b15526e318a94b7f34bf6e

4d4a0e1d7218180452e22e6b52a7f9a0db1e0c0aa51a48f9a79c600b51030050

从VBS中检测到的LOCKY样本,被标识为 RANSOM_FAKEGLOBE.ASUUB

bb1df4a93fc27c54c78f84323e0ea7bb2b54469893150e3ea991826c81b56f47

从VBS中检测到的FAKEGLOBE样本,被标识为RANSOM_LOCKY.TH905

e75e5d374f20c386b1114252647cca7bd407190cafb26c6cfbd42c5f9223fe6c

DOC文件,被标识为W2KM_POWLOAD.AUSJST

067eb2754a823953a6efa1dfe9353eeabf699f171d21ffbff8e2303f7f678139检测

6bdf46209fda582d7af5b74770b0eccf6abd3dbeabce3bdfb88db2f252ee778a

DOC文件,被标识为W2KM_POWLOAD.AUSJSP

efb154bccff1e9a0f090a6afd7a08bf2c1fffea745b575a0bf31f22998688973

从 DOC中检测到的LOCKY 样本,被标识为 RANSOM_LOCKY.TH908

3cb4484976676ac043fae870addaa57e858c1286cdb17d01ef8c973c5ec5b015

从 DOC中检测到的FAKEGLOBE样本,被标识为 RANSOM_FAKEGLOBE.ASUUG

12e75bdbc3f0b489a89104c646aee10a71277c22b6abbc6e346d1ba6f17edf6d

标签:

相关内容推荐:

Top