新型攻击接踵而来,思科Talos解析Jaff勒索软件

2017-05-15 14:49:00 作者:Nick Biasini等 分类 : 比特网

  摘要

  思科Talos持续监控电子邮件威胁环境,紧密跟踪出现的新威胁和现有威胁的变化。我们最近观察到几次大规模的电子邮件攻击活动,它们试图传播一种名为“Jaff”的全新勒索软件变种。有意思的是,我们在此次攻击活动中发现了几个曾在Dridex和Locky攻击活动中使用过的特征。我们在短期内观察到多项攻击活动,他们均大肆传播恶意垃圾电子邮件,每一封电子邮件均带有一个PDF附件,其中内嵌了Microsoft Word文档,用于触发下载Jaff勒索软件。虽然思科客户已能够对这一威胁自动免疫,但我们还是决定深入剖析一下这一威胁,以及它将会对整个威胁环境产生的影响。在下文中,您将可以了解到感染流程的概要信息,以及有关此威胁的更多相关信息。

  感染流程

  尽管每一个攻击活动的特定要素均有略微差异,包括使用不同的XOR密钥值等,但它们都具有一些共同的特性。试图传播此恶意软件的电子邮件攻击活动均具备标准的垃圾邮件特征。它们的主题行均使用“Copy_”或“Document_”作为开头,后面附带一串随机数字进行伪装,如“Copy_30396323”和“Document_3758”等。在我们监控这些攻击活动的同时,我们也注意到又出现了更多的攻击活动,每一个均采用了略微不同的主题。首轮攻击活动相关的电子邮件的正文没有任何内容,仅带有名为“nm.pdf”的附件。这一攻击活动的电子邮件示例如下。

  /private/var/mobile/Containers/Data/Application/B06873CA-8730-429C-A57A-E37A3E46156A/tmp/WebArchiveCopyPasteTempFiles/image11.png图A:电子邮件示例

  正如我们在上面的屏幕快照中看到的,攻击者在生成与这些攻击活动相关的电子邮件时并未花费很大的心思。不久以后,我们注意到在后续的攻击活动中,电子邮件正文开始包含以下文本:

  “Image data in PDF format has been attached to this email.(这一电子邮件的附件包含PDF格式的图像数据。)”

  在所有情况中,附件文件都是一个恶意PDF文档,内嵌了Microsoft Word文档。当受害者打开PDF时,在PDF正文中将会显示一段内容,然后试图打开内嵌的Microsoft Word文档。

  /private/var/mobile/Containers/Data/Application/B06873CA-8730-429C-A57A-E37A3E46156A/tmp/WebArchiveCopyPasteTempFiles/image13.png图B:PDF附件示例

  与我们在最近的Locky攻击活动中观察到的现象类似,当PDF试图打开内嵌的Microsoft Word文档时,系统会提示受害者批准这一操作。此处继续感染流程需要用户的交互,以逃过组织可能部署的自动检测机制。此时在用户批准之前,将不会发生恶意活动。在未配置模拟这一审批活动的沙盒环境中,感染可能永远不会发生,并可能会导致沙盒环境判定此文件为正常文件,偏离其恶意本质的事实,而这主要是因为感染未被触发。

  该PDF附件包含以下Javascript,用于打开内嵌的Microsoft Word文档:

  /private/var/mobile/Containers/Data/Application/B06873CA-8730-429C-A57A-E37A3E46156A/tmp/WebArchiveCopyPasteTempFiles/image9.png图C:PDF中的Javascript

  单击“OK(确定)”按钮会导致PDF打开恶意Microsoft Word文档,整个行为与我们在其他攻击活动中看到的行为基本类似。毫无意外的是,用户还将会被提示启用编辑,以查看Word文档的内容。需要指出的是,该恶意Microsoft Word文档包含两页,而不像大多数恶意Word文档一样只有一页。

/private/var/mobile/Containers/Data/Application/B06873CA-8730-429C-A57A-E37A3E46156A/tmp/WebArchiveCopyPasteTempFiles/image4.png

  图D:恶意Word文档示例

  一旦恶意内容被启用,该Microsoft Word文档将会执行一个VBA宏,它的作用就是充当勒索软件下载程序,试图获取勒索软件二进制文件以感染系统。

  该VBA宏包含多个下载域名,使用大写字母“V”隔开。这就给该恶意软件提供了多个机会来尝试从多个来源下载恶意载荷。

  /private/var/mobile/Containers/Data/Application/B06873CA-8730-429C-A57A-E37A3E46156A/tmp/WebArchiveCopyPasteTempFiles/image5.png图E:VBA下载程序

  用于下载Jaff二进制文件的URL与我们在Locky攻击活动中观察到的URL非常类似。

  /private/var/mobile/Containers/Data/Application/B06873CA-8730-429C-A57A-E37A3E46156A/tmp/WebArchiveCopyPasteTempFiles/image6.png图F:下载URL

  以上下载的二进制blob之后会使用恶意Word文档中内嵌的XOR密钥进行XOR处理,我们在这一攻击活动中观察到多个XOR密钥。下面的屏幕快照是我们在VBA宏的Module3中发现的,其中XOR密钥为“d4fsO4RqQabyQePeXTaoQfwRCXbIuS9Q”

  /private/var/mobile/Containers/Data/Application/B06873CA-8730-429C-A57A-E37A3E46156A/tmp/WebArchiveCopyPasteTempFiles/image1.png图G:XOR密钥

  当这一XOR流程完成后,恶意软件将使用以下的命令行语法,使用Windows Command Processor启动实际的勒索软件PE32可执行程序

  /private/var/mobile/Containers/Data/Application/B06873CA-8730-429C-A57A-E37A3E46156A/tmp/WebArchiveCopyPasteTempFiles/image7.png图H:启动可执行程序

  勒索软件会重复对系统上存储的文件夹进行加密,这一特定勒索软件附加到每个文件的文件扩展名为“jaff”。它会在受害者的“My Documents(我的文档)”目录下写入一个名为ReadMe.txt的文件,其中包含了勒索声明。

  /private/var/mobile/Containers/Data/Application/B06873CA-8730-429C-A57A-E37A3E46156A/tmp/WebArchiveCopyPasteTempFiles/image3.png图I:文本格式的勒索声明

  它同时还会修改桌面背景,如下所示:

  /private/var/mobile/Containers/Data/Application/B06873CA-8730-429C-A57A-E37A3E46156A/tmp/WebArchiveCopyPasteTempFiles/image12.png图J:修改的桌面壁纸

  需要指出的有趣一点是,上面的说明并未指示用户使用Tor2Web等Tor代理服务,相反它指示用户安装整个Tor浏览器软件包,以访问赎金付费系统。样本和攻击活动中使用的Tor地址也似乎没有变化。访问赎金付费系统时,受害者将会看到以下信息,要求他们输入在被感染系统上的勒索声明中列出的解密ID。

  /private/var/mobile/Containers/Data/Application/B06873CA-8730-429C-A57A-E37A3E46156A/tmp/WebArchiveCopyPasteTempFiles/image8.png图K:指定解密ID

  在此网站中输入正确的ID值后,受害者将会看到完整的说明页,列出了攻击者要索取的赎金金额,以及具体的付费说明。

  /private/var/mobile/Containers/Data/Application/B06873CA-8730-429C-A57A-E37A3E46156A/tmp/WebArchiveCopyPasteTempFiles/image10.png图L:赎金付费系统

  值得一提的是,赎金付费系统的外观与我们在Locky中看到的系统非常相似。在这一案例中,被索取的赎金金额为2.01117430个比特币,按当下价格计算相当于约3700美元,大幅高于其他勒索软件活动所索取的金额。通过查看赎金付费服务器指定的比特币钱包,我们确定这一钱包当前处于零成交状态。

  /private/var/mobile/Containers/Data/Application/B06873CA-8730-429C-A57A-E37A3E46156A/tmp/WebArchiveCopyPasteTempFiles/image2.png图M:比特币钱包交易情况

  攻击活动传播/规模

  截至目前为止,思科Talos观察到超过10万封电子邮件与这些新Jaff攻击活动有关。相对于一种新攻击而言,这种通过垃圾邮件传播的勒索软件规模可谓极其庞大。它们与Necurs的紧密关系使得其垃圾邮件攻击活动能够在短期内达到超大规模。首轮垃圾邮件攻击活动开始于2017年5月11日UTC时间上午8点,包含约35,768封电子邮件,均带有附件“nm.pdf”。在这一垃圾邮件攻击活动中,思科Talos观察到约184个独特的样本。

  思科Talos还观察到第二轮攻击活动于第二天开始,包含约72,798封电子邮件。这一轮的攻击活动开始于2017年5月12日UTC上午9点,传播了约294个独特样本。该轮攻击活动使用的附件文件名为“201705*.pdf”,其作用与我们在首轮攻击活动中观察到的附件完全相同。

  这是一种新的LOCKY攻击吗?

  这两轮攻击活动使用了一些共同的特征来传播Jaff,其使用的C2流量模式与我们在Locky和Dridex等活动中已经习以为常的模式相似。然而,我们相信这并非是Locky勒索软件的一个新版本或改头换面的版本。两种攻击的代码库间的相似度非常低,虽然曾使用Necurs传播Locky的攻击者与现在传播Jaff的攻击者可能是同一批人,但该恶意软件本身还是存在着明显的区别,应被区别看待,并划分到不同的勒索软件家族中。

  如果要将其视作一种“新的”Locky,原因可能包括其肆无忌惮的风格、与Locky一样横空出世、主要通过恶意垃圾电子邮件传播、以及利用恶意Word文档等,但攻击活动自身的特点不应用于判断恶意软件是否相同。这是一种新的勒索软件,攻击者在代码库、基础设施和规模方面都开展了大量的工作。然而,它不是Locky 2.0。它是另一种攻击性非常强的向最终用户推送勒索软件产品的全新恶意软件,目前应与Locky分开看待。

  我们注意到攻击者已开始使用Necurs来通过多个大规模垃圾邮件活动的形式传播Jaff。我们将会继续监控此攻击活动,我们会对每一封电子邮件进行威胁分析,以确定这是一次昙花一现的攻击,还是这一勒索软件家族将会继续感染未得到可靠保护的组织。

  IOCS

  电子邮件主题

  Copy_数字串

  Document_数字串

  Scan_数字串

  PDF_数字串

  File_数字串

  Scanned Image

  附件文件名:

  nm.pdf

  String of Digits.pdf(示例:20170511042179.pdf)

  附件哈希值:

  与这一攻击活动相关的附件列表可以在此处找到。

  Word文档哈希值:

  与PDF内嵌的Microsoft Word文档相关的哈希值列表可以在此处找到。

  二进制哈希值:

  03363f9f6938f430a58f3f417829aa3e98875703eb4c2ae12feccc07fff6ba47

  C2服务器IP:

  108.165.22[.]125

  27.254.44[.]204

  传播域名:

  与这些攻击活动相关的传播域名列表可以在此处找到。

  结论

  这是全球掀起的新恶意软件变种的又一示例。这一攻击现在很常见,它向我们揭示出为何此类攻击对于犯罪分子极具吸引力。其市场价值高达数百万美元,每个人都想从中分一杯羹。Jaff通过基于Necurs的常见垃圾邮件机制进行传播。然而,它勒索的赎金非常高,此处的问题在于,当赎金达到多高时,用户就将不会付费。未来,我们很可能会看到攻击者不断尝试找到合理的价位,以在确保能够收到赎金的同时最大化利润。

  在当今的威胁环境中,勒索软件开始占据主流地位,并被传播到全球几乎所有系统上。随着漏洞利用套件活动的大规模减少,它可能会继续主要通过电子邮件传播,或在攻击者尝试通过Samsam等威胁进入网络或系统时,通过次要载荷传播。

  规避办法

  下方列出了客户可以检测并阻止此威胁的其他办法。

/private/var/mobile/Containers/Data/Application/B06873CA-8730-429C-A57A-E37A3E46156A/tmp/WebArchiveCopyPasteTempFiles/image08.png

  高级恶意软件防护(AMP)能够有效避免执行这些攻击者使用的恶意软件。

  CWS或WSA网络扫描能够阻止访问恶意网站,并发现这些攻击中使用的恶意软件。

  Email Security可以阻止攻击者在其攻击活动中发送的恶意电子邮件。

  IPS和NGFW的网络安全防护功能可以提供最新的签名,用来检测攻击者发起的恶意网络活动。

  AMP Threat Grid能够帮助发现恶意软件二进制文件,并在所有思科安全产品中建立防护措施。

  Umbrella能够阻止对与恶意活动相关的域名进行DNS解析。

芥末视频

最近更新
科普

科普图集
带着朋友和机器人上月亮散步

带着朋友和机器人上月亮散步>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。