惡意軟體分析之——勒索即服務

一、簡介

多年來，暗網的傳播創造了新的非法商業模式。除了毒品和支付卡數據等典型的非法商品外，地下黑市還出現了其他服務，包括黑客服務和惡意軟體開發。新平台允許沒有任何技術的騙子創建自己的勒索軟體並將其傳播。

勒索軟體是感染受害者的機器並鎖定文件或加密文件的惡意代碼，要求支付贖金。當勒索軟體安裝在受害者機器上時，它會搜索並定位敏感文件和數據，包括財務數據，資料庫和個人文件。勒索軟體可以讓受害者的機器無法使用。用戶只有兩種選擇：在沒有獲取原始文件的保證的情況下支付贖金或將PC從互聯網斷開。

二、歷史

第一起勒索軟體誕生於1989年，當時20,000張軟盤被派發為「艾滋病信息介紹軟盤」，在90次重啟後，該軟體隱藏了目錄，並在客戶的計算機上加密了文件名，聲稱要支付189美元的贖金。所要求的足額贖金必須存入巴拿馬郵政信箱。

歷經多年，2005年5月，GpCode，TROJ.RANSOM.A，Archiveus，Krotten等紛紛湧現， 隨著2008年底比特幣等新的匿名支付方式的出現，勒索軟體採用了新的支付方式。

許多勒索軟體家族如CryptoLocker，TeslaCrypt和Locky都在全球範圍內攻陷了大量系統，但WannaCry目前被認為是所有網路攻擊中最具破壞性的。

在發現後的幾個小時內，利用SMB協議中的漏洞，惡意軟體感染了超過23萬台機器。除了它出乎意料的類似蠕蟲的行為，WannaCry繼續使用傳統方法對用戶文件進行加密，但要求支付300美元。

過去十年來的攻擊樣本可以分為兩類：

·鎖定型勒索軟體：將用戶鎖定在設備外的勒索軟體

·加密型勒索軟體：是加密文件、目錄和硬碟的勒索軟體

第一種類型是在2008年至2011年間使用的。它被棄用是因為在沒有支付贖金的情況下清除感染非常簡單。事實上，鎖定型勒索軟體有一個弱點。它顯示了一個拒絕訪問計算機的窗口，但很容易繞過。

第二種類型沒有這個問題，因為加密型惡意軟體直接影響用戶的文件並拒絕受害者使用系統。顯然，用戶不能訪問加密文件中包含的信息。

之後下一代勒索軟體使用第二種勒索軟體的加密方法，但它們組合了高級分發、規避和反分析技術，如Locky和WannaCry。

顯然，勒索軟體的創建需要特定的先進技術，但是犯罪組織對這種惡意軟體所實施的勒索模式的巨大興趣推動了新服務的創建，使得騙子無需具體知識即可創建勒索軟體。歡迎來到RaaS（勒索軟體即服務）商業模式。

三、勒索軟體即服務

RaaS商業模式的興起使得從業者無需任何專業技術知識就可以毫不費力地發起網路敲詐活動，這也是導致新的勒索軟體市場泛濫的原因。

勒索軟體即服務是惡意軟體銷售商及其客戶的盈利模式。使用這種方法的惡意軟體銷售商可以獲取新的感染媒介，並有可能通過傳統方法（如電子郵件垃圾郵件或受感染網站）接觸到無法接觸的新受害者。RaaS客戶可以通過RaaS輕鬆獲取勒索軟體，只需配置一些功能並將惡意軟體分發給不知情的受害者即可。

當然，RaaS平台不能在正常網路上找到，它們隱藏在互聯網的黑暗面——暗網中。

通過非傳統搜索引擎瀏覽暗網，可以找到幾個提供RaaS的網站。每個都為勒索軟體提供不同的功能，允許用戶選擇加密階段的文件擴展名;向受害者要求的贖金以及惡意軟體將實施的其他功能。

此外，除了使用RaaS平台之外，可以通過犯罪論壇或網站購買自定義惡意軟體，可以僱用黑客來創建專屬惡意軟體。從歷史上看，這種商業一直存在，但它專門用於網路攻擊，如間諜活動，賬戶黑客攻擊和網站攻擊。只有當黑客明白它可以盈利時，他們才開始提供這種特定的服務。

這類服務的供應主要通過兩種方式提供：僱用某人根據客戶定義的要求編寫惡意軟體或使用RaaS平台。

（一）RaaSberry

RaaSberry提供了可隨時分發的定製勒索軟體包。這些軟體包預先編譯了一個由客戶提供的比特幣地址，平台創建者不會從受害者處獲得任何形式的付款。

一旦勒索軟體在受害者的計算機上執行，它將加密客戶創建時指定的每種文件類型。檢查所有本地驅動器和映射的網路驅動器，並使用即時生成的唯一256位AES密鑰對文件進行加密。然後使用客戶擁有的唯一的RSA密鑰對AES密鑰進行加密並上傳。

完成後，桌面壁紙將更改為帶有付款指示的圖像。每個文件夾中都有一個文本文件，其中包含帶指令的加密文件。說明文檔有英文、西班牙文、普通話、印地文、阿拉伯文、葡萄牙文、俄文、日文、德文、義大利文、越南文、韓文、法文、泰米爾文和旁遮普文。

受害者付費後，AES密鑰被提供給程序用於解密。許多勒索軟體程序要求受害者下載一個單獨的解密器，但是一旦C2伺服器提供AES密鑰，RaaSberry就會內置解密。如果沒有訂閱C2服務，仍然可以提供解密服務，通過電子郵件手動解密受害者提供的AES密鑰。該網站由幾個部分組成：關於、登錄、註冊和支持。 「關於」部分介紹了如何創建個人勒索軟體。

關於勒索軟體活動的一系列統計數據、感染次數、付費人數和相關收入可在用戶的個人部分中找到。

在此儀錶板中，可以購買新軟體包，其中包含針對每個計劃的相同勒索軟體、不同時長的C2。如下圖所示，有幾種計劃：

·Plastic: 1個月C2訂閱—$ 60

·Bronze: 3個月C2訂閱—$ 150

·Silver: 6個月C2訂閱—$ 250

·Gold: 1年C2訂閱—$ 400

·Platinum: 3年C2訂閱—$ 650

一旦用戶在平台註冊併購買了新的軟體包，平台會為他們分配一個個人比特幣地址。用戶可以控制勒索軟體活動的統計數據並檢查收入。

此外，可以發送特別的電子郵件向該平台的創建者尋求幫助。

（二）Ranion

另一個提供類似服務的平台是Ranion。新穎之處在於，Ranion團隊宣稱他們「完全不可檢測」勒索軟體的C2建在Darknet中。此網站由其運營商不斷更新。

在他們的網站上，Ranion團隊展示了一個C2儀錶板的例子。在下一個圖中，可以查看訂閱時間，何時到期，以及按計算機ID分類的受感染機器、受害者的用戶名、操作系統、IP地址、感染日期、加密文件的數量以及相關加密密鑰。

在這個儀錶板中，用戶可以購買新的軟體包，其中每個計劃都包含相同的勒索軟體，但C2的訂閱時間不同。如下圖所示，有兩個計劃中勒索軟體是相同的，但訂閱C2儀錶板的時間不同，顯然價格也有所不同。

下圖顯示了明確的比特幣地址，軟體包的價格，以及需要進一步信息聯繫的電子郵件：

下圖顯示了勒索軟體解密器。受害者使用這種方法來解密犯罪分子在支付贖金後發送的密鑰。按下「decrypt my files」按鈕，文件解密開始。

（三）EarthRansomware

另一個RaaS平台是earthRansomware。下圖顯示了該網站的主頁。客戶在購買他們的個人勒索軟體後，可以通過電子郵件與EarthRansomware團隊聯繫，登錄該平台。

該網站包括了一個提供服務的詳細教程。

與之前的RaaS不同，這款服務的固定價格為0.3 BTC。當客戶向郵件中指定的比特幣地址付款後，就會獲得憑證進入個人版塊。

在該網站的這個區域，用戶可以自定義勒索軟體設置：

·需要的比特幣數量

·電子郵件地址

·第一次付款截止日期——最後付款截止日期

·比特幣地址

一旦系統受到感染，惡意軟體將顯示贖金通知，通知受害者付款的截止日期以及支付贖金的說明。

（四）Redfox

Redfox是獨一無二的Raas平台。與其他平台不同，它是在Clearnet上託管的。根據開發團隊的描述，這種勒索軟體是最先進並且可定製。RedFox使用BlowFish演算法加密所有用戶文件和共享驅動器。

該網頁稱託管於Tor網路的C2系統允許用戶選擇贖金金額、付款方式、付款截止日期、個性化贖金記錄和其他技術特徵。RaaS允許客戶選擇binder，加殼類型以及加密器，以保證對樣品進行反分析。

該網站不包含有關C2使用的示例或教程。但是，用戶可以付費和下載構建犯罪基礎架構所需的所有內容。

（五）Createyourownransomware

在暗網中找到的完全免費的平台是Createyourownransomware，該網站允許用戶下載隨時可用的勒索軟體，只需填寫三個表格：

·比特幣地址。

·贖金金額

·一個簡單的驗證碼.

「Money cut」相當於贖金金額的90％，剩餘金額是RaaS管理員的服務費。

一旦用戶填寫完表單，平台將立即構建新樣本並顯示下載惡意軟體的鏈接。此外，第二個網頁顯示了有關勒索軟體活動的一些統計數據，例如受感染機器數量和付費贖金數量。

與之前的平台不同，該RaaS的用戶界面非常小巧，並且只提供少量功能。

（六）Datakeeper

Datakeeper與GandCrab和Saturn一起是威脅領域出現的最新RaaS平台之一。在2018年初，通過這些平台創建的勒索軟體感染了許多機器，這表明攻擊者對使用RaaS平台的興趣越來越大。目前，只有Datakeeper服務沒有被執法部門封鎖。

當用戶在網站上註冊時，他們可以通過選擇一組功能來配置勒索軟體。這個平台似乎是一個更完整的平台，因為它允許指定要加密的文件的擴展名。

Datakeeper團隊為每次感染收取0.5比特幣的服務費。

在「Additional files」部分，用戶可以下載該程序來解密加密文件。

下圖顯示了在受害者機器上投放的示例。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！