欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

#OpJerusalem 2019——一场“开年不顺”的勒索软件攻击行动

来源:本站整理 作者:佚名 时间:2019-03-12 TAG: 我要投稿

最近几天,一场名为#OpJerusalem的恶意行动正悄然展开,此次行动使用了一种新型的勒索软件,让世界各地的部分用户受到了感染。SI-LAB对该恶意软件分析后发现,此恶意软件所使用的技术并不复杂。恶意软件由Go编写,用UPX加壳,一个被硬编码在恶意软件中的RSA公共证书用以加密受害者的目标文件。每当恶意软件运行时,都会生成一个新的惟一密钥。然而,由于加密目标文件的RSA公钥是静态的,既然只用了一个简单的密钥来加密,那么也意味着可以使用唯一的RSA私钥来进行解密。
该恶意软件被称为JCry(加密文件后会将文件名改写为带有.jcry的拓展名),是OpIsrael 2019计划的一部分,OpIsrael计划是某个黑客团体对以色列政府及私人网站每年都展开网络攻击的攻击计划,其目标是对以色列发起网络攻击以抗议以色列政府在以巴冲突中的举措。
该黑客团伙过去曾使用过一些较为常见的攻击手段,比如污损网站或使用分布式拒绝服务攻击(DDoS)。在2013年4月7日,该团伙利用DoS攻击和数据泄露对大量以色列网站造成了有史以来最严重的破坏。而自那以后,参与者和支持者的数量都在减少。

图1:#OpIsrael参与者的统计数据。
上周末,数百个以色列热门网站成为#OpJerusalem行动的新目标。此次攻击用JCry勒索软件感染Windows用户,而用于传播赎金软件的感染媒介则是遭到破坏的网站。
为了实施这次攻击,黑客们修改了来自nagich[.]com的一个流行的网络功能插件的DNS记录。 当用户使用该插件访问网站时,会加载恶意脚本而不是合法插件。
卡巴斯基实验室首席安全研究员Ido Naor于3月2日星期六在VirusBay分享了这一发现。

然而此次攻击行动并不成功,研究人员表示:
在他们(网络犯罪分子)替换了域名的IP后,只是将流量重定向到一个名为update.html的页面,其中有一个寻找受害者的用户代理的脚本,一旦找到,它就会将其部分与字符串“Windows”进行比较。如果不是Windows,脚本将只显示一个污损页面,是的话则向受害者提供一个伪造的Adobe更新。但由于代码失败(比较if条件),代码始终无法到达下载链接,所以实际上攻击是无效的。
恶意软件的传递过程
在网站遭到入侵后,会放置一个脚本来执行下列任务:
· 如果某个javascript变量与特定的字符串“Windows”相匹配,则会触发恶意Adobe更新消息以传递JCry勒索软件。
· 否则,将显示污损页面。
以色列网站nagish [.] co [.] il遭到入侵被留下了以下信息:#OpJerusalem,耶路撒冷是巴勒斯坦的首都。
网页的源代码发布在GitHub上,可以很容易地看到一个有趣的错误:JCry将永远不会被下载,因为printed的消息条件错误并且始终为真。(代码见此处)

图2:此活动中使用的恶意代码。
为了吸引受害者,下面的图片显示的信息是:“您的Adobe Flash Player版本已经过时,请进行更新”。当用户选择更新时,就会下载恶意文件。

图3:当用户选择更新时,会下载恶意文件。
 

图4:恶意文件“flashplayer_install.exe "从hxxp://185.163.47.134下载。
如果用于访问页面的浏览器用户代理不包含“Windows”,则会显示毁损消息,且不会发生其他任何事情。

图5:当浏览器的用户代理不是Windows设备时的显示页面。
技术分析
SI-LAB通过对这款新型赎金软件的分析,了解其犯罪分子使用的行为和技术。
如果用户下载名为flashplayer_install.exe的exe文件,则会启动感染过程。如图所示,恶意软件图标与常见的Adobe Flash Player可执行文件相同,是诱骗受害者的一种技巧。

图6:勒索软件图标。
第一个.exe是一个Winrar SFX文件Dropper,其中包含了三个档案,即:
 

图7:dropper。
Enc.exe负责加密用户设备上的所有目标文件,是勒索软件的初始阶段;Dec.exe负责在赎金支付后解密所有文件的可执行文件;最后一个msg.vbs,有一个简单的消息编码。两个文件(* .exe)都将复制到用户的Startup文件夹中。
 

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载