0
雷鋒網發現,最近,一種與 Ryuk 勒索病毒有著千絲萬縷聯系的新型惡意軟件被人揪了出來。據悉,這種惡意軟件胃口可不小,它盯上的都是各種金融、軍事和執法機關的機密文檔。當然,它與 Ryuk 還不太相同,因為 Ryuk 勒索病毒僅僅是將文檔加密而后索要贖金,它可不會從被感染的電腦上盜取機密文檔。
據 Bleeping Computer 美國時間 9 月 11 日報道,發現這種新型惡意軟件的 MalwareHunterTeam 團隊指出,該惡意軟件由背后的攻擊者全權控制,他們會引導其搜索敏感文檔,竊取成功后就上傳至指定的 FTP 站點。
為什么說這個病毒與 Ryuk 勒索病毒有著千絲萬縷的聯系?因為這個“數據提取機”的代碼中留有許多 Ryuk 的影子。
這種新惡意軟件是如何盜取機密文檔的?逆向工程與安全研究人員 Vitali Kremez 給我們解釋了一番。
原來,在執行任務時,這個“數據提取機”會先對電腦上的文檔進行遞歸掃描,尋找值得盜取的 Word 與 Excel 文檔。
在搜尋文檔時,如果它遇到任何符合標準的文件夾或文檔,就會停下來對其進行檢查。有用的話就照單全收,沒用就繼續尋找下一個目標,這樣的手法與勒索病毒如出一轍。
如果你想知道哪些文件夾或文檔的命名“最安全”(上了黑客的黑名單),可以參考下圖中的清單。
除了這些上了黑名單,一看就沒什么價值的文檔,那些與 Ryuk 有關的文檔(比如 RyukReadMe.txt 或帶有 .RYK 后綴的文檔)“數據提取機”也會自動繞著走。
Tu 1:“數據提取機”懶得看一眼的文檔
如果文檔不在黑名單上,“數據提取機”緊接著就會檢查它是不是 .docx 或 .xlsx 文檔。
Tu 2:“數據提取機”在搜索 .docx 和 .xlsx 文檔
定位到 .docx 或 .xlsx 文檔后,惡意軟件會使用 libzip 的 zip_open 和 zip_trace 功能驗證它們的目標是不是有效的 Word 或 Excel 文檔。驗證方法也不難,“數據提取機”只需對 word/document.xml 或 xl/worksheets/sheet(分別歸屬于 Word 和 Excel)進行檢查和驗證即可。
Tu3:驗證 Word 文檔
如果文檔有效,“數據提取機”會再次將其放在內置的“天平”上稱量,如果文檔的名字中有那 77 個熱詞(如下圖所示),馬上就會被選中。
Tu 4:“數據提取機”最感興趣的熱詞
從這些熱詞中我們就能得出一個結論,“數據提取機”要找的是與軍事機密、銀行信息、欺詐/犯罪調查文件和其它敏感信息相關的文檔。
詭異而是,除了上面這些指向性非常明確的熱詞,“數據提取機”的詞庫居然還非常關照類似 Emma、Olivia、Noah、Logan 和 James 等人名,要知道這可是 2018 年美國最常用的嬰兒名字,隨便一抓就一大把。
一旦引起了“數據提取機”的注意,文檔就會通過 FTP 被上傳到 66.42.76.46/files_server/a8-5 服務器(如下圖)。
Tu 5:被盜的文檔會上傳到 FTB 服務器
掃描了計算機后,惡意軟件還會從 ARP 表中拿到一個 IP 地址清單。借助該清單,它會開始下一輪嗅探,以尋找新的“獵物”。
Tu 6:提取 ARP 表
雷鋒網注意到,眼下,研究人員還沒搞清楚該惡意軟件是如何安裝的,但專家們推斷認為,在感染機器前“數據提取機”就已經動起來了。
上面我們說過,在搜索機密文檔時“數據提取機”會故意跳過與 Ryuk 有關的部分。除此之外,它與 Ryuk 還共享了一部分代碼。舉例來說,“數據提取機”就有新建文檔并用 .RYK 后綴為其命名的功能,但事實上它并沒有用到這個文檔加密的功能。
Tu 7:“數據提取機”居然還有類似 Ryuk 的功能
除此之外,“數據提取機”還會檢查文檔名中是否有“Ahnlab”的字樣(如下圖)。
Tu 8:“數據提取機”會特別關照“Ahnlab”這個關鍵詞
巧合的是,Ryuk 也會搜索帶有該關鍵詞的文檔。
Tu 9:Ryuk 勒索病毒在搜索“Ahnlab”
顯然,這兩大病毒肯定有聯系,只是我們不知道它們是否出自同一組織之手,或者說有人將 Ryuk 的代碼用在了“數據提取機”中。也許那個手邊有 Ryuk 代碼的人只是玩了把復制粘貼呢。
當然,兩者也有不同。Ryuk 的運行就沒有任何依存性,而“數據提取機”需要許多 DLL 的支持。也就是說,“數據提取機”可能是被手動安裝在電腦上的(或者是個帶有全部組件的程序包)。
隨著研究的深入,相信未來其安裝過程會逐步大白于天下。
雷鋒網編譯自 Bleeping Computer。
雷峰網版權文章,未經授權禁止轉載。詳情見轉載須知。
