一次對惡意郵件分析並拿下其贖金伺服器的溯源

在這個案例裡面，我們通過分析垃圾郵件，進而劫持其贖金伺服器，並且告知每個人關於發現的這一威脅。然後我會嘗試尋找攻擊者身份，並且將有關信息告訴執法部門。不過這一部分就不在文章中公開了。

對這一附件解壓縮之後發現裡面有一個vbs腳本文件，這就比較有趣了，通過雙擊vbs腳本文件，受害者將會通過微軟wscript.exe來運行它，這樣就會啟動感染進程。郵件是通過一個複雜的垃圾郵件集群進行發布的，這一集群經常在美國活動，前幾天目標對準了歐洲。

vb腳本是是經過混淆處理的，不過混淆程度是非常弱的，你可以在下圖中看到腳本的內容。實際上，代碼只進行了一次包裝，而且明文字元串都是可以看到的。

這一後門引入了一個比較有意思的技術，首先，為了讓逆向的過程變得困難，它在代碼中加了很多無害的內容。非常有趣的是這樣一串代碼很顯然是從後門代碼的一部分，但是它並沒有和要分析的代碼相關聯。另外一處很有意思的是"user-agent"的值是對是否下載真實惡意payload的關鍵因素。後門本身沒有什麼好分析的，它會通過wscript.exe執行 MZ 文件從受感染的網站中被下載到本地。這一後門文件會直接在http返回包顯示，並且保存到用戶臨時文件夾中，以saToHxy.exe命名。然後對vb對象以及函數進行重命名，使溯源變得困難起來。

獲取到後門網址如下:

castillodepalazuelos.es/rf734rgf?2010.sggt-wh.de/rf734rgf?ctt.gr/rf734rgf?

啟動IDA，通過異或操作會顯示小部分攻擊載荷內容，並且它採用了一些反調試的技巧，比如時間控制，以及性能監控.如下圖所示：

在分析之後，它的設計邏輯變得清楚了，採用了使用了安全處理器異常鏈技術。攻擊者通過觸發異常調用修改過的異常處理函數，然後會對攻擊載荷進行解碼，並且將其分配到新的內存中，最後執行"call eax"部分，下圖展示了解碼過程中的循環:

通過動態分析可以看到勒索軟體的攻擊載荷。實際上，通過解碼後的內存，我們可以看到勒索頁面，如下圖，我將他提取了出來，而不是通過16進位進行展示，文件hash:(sha256: cdb3fef976270ab235db623d6a4a97ea93c41dd1)

特別有趣的是，攻擊者在勒索頁面中將TOR瀏覽器寫成了TOP瀏覽器，所以我就將這個勒索軟體叫做TOP勒索木馬。2333,TOP勒索軟體會對機器上的文件進行加密，並且修改文件的拓展名，通常是三個字元(為什麼是通常，因為在攻擊者的資料庫中發現大部分都是3個字元)。修改後的拓展名作為勒索頁面的一個隱藏的參數，下方圖片就展示了攻擊者用於將信息發送到服務端的隱藏參數:

隱藏的輸入類型名稱為"FB",就像稍帶兩個信息到命令行以及控制器中。比如將拓展名名以及一些十六進位包含在精心設置的標籤中。通過點擊"Yes I want to buy"這一按鈕的用戶會發送之前的數據，並且提示到下方地址支付0.18BTC,以便對文件進行解密：

通過更改FB類中第一個隱藏變數，你會觀察到不同的比特幣錢包地址，並且勒索金額不等。如下是不同的勒索頁面:

這就使得這一系統具有一定的漏洞。事實上，我可以對比特幣錢包進行枚舉，如果不存在，就新建一個新的比特幣錢包，填補攻擊者為剩餘錢包保留的空間。這樣可能會阻止攻擊者進行新感染。所以，我寫了一個比較邪惡的python腳本去強制創建新的錢包，和金錢映射：

接下來通過FB參數進行進一步分析，我發現這一參數很容易受到sql注入攻擊，簡直了！！

注入點是被叫做

的一個標籤，如下圖:

所以我們試試攻擊這一網站，像上圖中，你會發現一個Mysql爆出來的不是拉丁字元的錯誤，google翻譯提示這是俄語，現在我們可以推斷出攻擊者有非常大的可能性是俄羅斯人。只有用TOR瀏覽器才可以訪問到資料庫，並且速度還非常非常慢，不過我發現了一些自動化的進程，請查看增量ids，試圖想像一下這個網路到底有多大。

另外一個有趣的話題就是攻擊者是誰呢？換句話說，使用這一勒索平台的用戶就是攻擊者，因為這看起來像一台勒索伺服器，所以我下一個目標就是看看攻擊者已經獲得了多少錢。下圖我展示了我發現的用戶名以及密碼，和用於收錢的錢包。

錢包類型有兩種:

一種是公共錢包，這種錢包會將受害者的錢存起來，每個人都可以訪問到這一錢包，這些錢包用於受害者支付他們的贖金。

另外一種是私人錢包，攻擊者會將公共錢包得到的贖金轉移到這類錢包裡面，這個過程中，交易平台會收取一定的費用。

在交易記錄中可以看到在2017-4-23和2017-4-20號從此錢包中轉出了81.87個比特幣。再加上我們目前了解到的勒索數量13個比特幣，加起來已經接近了100比特幣。在4月份你還記得爆發了什麼勒索攻擊了嗎？這一攻擊者看起來是一個慣犯，從事這種勒索活動肯定不只一次。通過對電子郵件的調查，發現這一郵箱和https://vlmi.su/這一出售攻擊工具，信息的俄羅斯市場有密切的聯繫。

通過sql注入，我提取除了"inst"表的內容，欄位名稱如下：

ID, IP, FB, OS, TIMED, TIMEIN. COUNTRY, BRWSER

表中記錄的是受害者的信息，讓我們看看能不能幫助他們！

從目前來看，就這一個簡單的資料庫中包含的受害者信息是2000多個，受害者分布來自世界各地。到目前未知，提取出的受害者國家分布如下:

我不會透露受害者的ip地址，不過另外一個有趣的事情是用戶使用瀏覽器的種類比例，奇怪的是chrome竟然占絕大部分。不過惡意軟體是通過雙擊打開vbs腳本，然後利用wscript.exe進行感染的，這和瀏覽器關係並不大，難道是巧合？

在這篇文章中，我一直在描述從電子郵件附件中獲取惡意軟體，將整個攻擊者的資料庫放在我稱為TOPransom的服務平台上。我試圖枚舉攻擊者的收入，並通過寫一個快速和持久的python腳本填充每個用戶的錢包，阻止新的勒索錢包創建，進而阻止勒索軟體的蔓延。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！