病毒合伙人?勒索病毒Princess Evolution合夥計劃,了解一下?
近日,亞信安全監測到大量惡意廣告利用Rig漏洞攻擊套件來傳播挖礦病毒及勒索病毒,並在Rig網路流量中還發現了新型的勒索病毒Princess Evolution,亞信安全已將其命名為RANSOM_PRINCESSLOCKER.B,這是2016年出現的Princess Locker勒索病毒的新變種。通過進一步調查發現,該病毒的作者還在地下論壇打起了廣告,似乎要將Princess Evolution以「勒索病毒服務」的方式經營,並以高返點的形式在尋找合作夥伴。
多年以來,「網路犯罪服務」(Cybercrime as aService,簡稱CaaS)已在「深網」論壇當掀起一股風潮。一些缺乏經驗的網路犯罪分子,只要向一些老手購買CaaS工具和服務,就能輕輕鬆鬆發動一些惡意程序、垃圾郵件(SPAM)、網路釣魚或其他惡意攻擊行動,一切只需點點滑鼠即可。這些現成的工具套件使用起來幾乎不費力氣、也不需花大錢、更不需經驗,就連只會寫寫腳本的初階黑客也能上手,但卻可以帶來高報酬。
而」勒索病毒服務」(Ransomware as a Service,簡稱RaaS),更是使勒索病毒攻擊大幅增長。這些原本大多由專業黑客發起的勒索攻擊,隨著這種「新模式」的興起,也讓越來越多的「小白」攻擊者加入其中,技術門檻大幅降低。
在本次惡意廣告活動中,亞信安全網路監測實驗室還發現了另一個值得注意的地方,那就是活動中還交付了Coinhive(COINMINER_MALXMR.TIDBF)。這意味著用戶即使沒有被Rig漏洞利用工具包分發的勒索軟體感染,網路犯罪分子仍然可以通過挖掘加密貨幣來獲取非法收益。這場新活動的另一個特徵是,其運營商將他們的惡意廣告網頁託管在免費的網路託管服務上,並使用域名系統規範名字(DNS CNAME)將他們的廣告域名映射到惡意網頁上。
【支付網站上的Princess Evolution標誌】
【透過Rig漏洞攻擊套件交付Princess Evolution的惡意流量(上),以及惡意廣告網域DNS響應(下)】
亞信安全詳解:Princess Evolution勒索病毒
Princess Evolution與Princess Locker有著相同的勒索通知。Princess Evolution會加密系統上的文件,並將其原始文件擴展名變更成隨機產生的字串。它還會產生一個勒索通知,包含如何支付0.12比特幣贖金的說明。
亞信安全網路監測實驗室發現,Princess Locker作者在7月31日在深網論壇貼出了一篇文章,宣傳他們新建Princess Evolution的合作計劃。根據其商業模式,合作夥伴獲得60%的贖金,其餘的是病毒作者的抽佣。根據他們的廣告,似乎作者花了些時間來開發Princess Evolution。
Princess Evolution的加密方式會用XOR和AES演算法來處理文件的第一塊數據,同時用AES加密文件其餘部分的數據。我們所看到Princess Locker到Princess Evolution的一個重大改變,就是從使用HTTPPOST換成UDP來進行命令和控制(C&C)通信。這可能是因為UDP發送數據速度更快,在發送數據前不需要先建立聯機。
Princess Evolution會產生一個隨機的XOR密鑰(0x80字元),另一個則用AES-128演算法產生,並將這些密鑰及以下信息用UDP送到網路「167.114.195.0/23:6901」:
中毒電腦的使用者名稱
使用中網路界面的名稱
系統的區域ID(LCID)
操作系統版本(OS)
受害者ID
Windows註冊的安全軟體
程序啟動的時間戳記
Princess Evolution與C&C建立聯機的方法跟Cerber類似。另一個值得注意的是Princess Locker的支付網站跟Cerber的相似。Princess Evolution的支付頁面現在採用了新設計。
【Princess Evolution使用UDP的C&C聯機(上)及其支付網站(下)】
漏洞攻擊套件提醒了使用者和企業更新修補程序的重要性。回顧以往,勒索病毒的活動可謂愈演愈烈,雖然近期在某些地區有所下降,但鑒於其破壞性強大,它仍然是個重大威脅。關於如何防範,首先保持系統及應用程序更新,或是在企業環境和老舊系統與網路的情況下考慮使用虛擬修補技術,其次還要實施縱深防禦的策略。
當然,主動、多層次的安全防護是抵禦漏洞攻擊(來自網關、端點、網路和伺服器)的關鍵。亞信安全OfficeScan可針對Vulnerability Protection漏洞進行防護,可以在修補程序部署前防護端點免於已知和未知的漏洞攻擊。
※亞信安全出席2018年VMware大中華區合作夥伴領導人峰會
※亞信安全發布《2018年第二季度安全威脅報告》
TAG:亞信安全 |