欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

一个糟糕的消息,Paradise勒索病毒又上新了

来源:本站整理 作者:佚名 时间:2020-03-12 TAG: 我要投稿

Paradise勒索病毒,至少从2017年流行到现在,近日研究人员再次捕捉到了它的新踪迹。

据Lastline研究人员表示,Paradise勒索病毒最近以亚洲某组织为目标,疑为测试最新变种,该变种利用合法的Internet查询文件(IQY)绕过企业防御系统。也就是时隔半年未见,Paradise勒索病毒又找到了新宿主藏身。
而新版Paradise勒索病毒的特别之处远不止这一点,这就相当有趣了。下面,零日给大家介绍一下这个尚在“测试版”的Paradise勒索病毒变种。
 
特点1:合法的IQY文件
以合法IQY文件为保护壳,说实话零日看了这招,一方面觉得有点“鬼才”,另一方面也想看看,Paradise究竟是如何利用IQY文件的?
这就要从IQY文件本身说起了,IQY文件是Microsoft Excel读取的简单文本文件,可以从Internet下载数据,是可武器化的Microsoft Office文件格式中不常见的那个。
为什么说是“可武器化的文件”?因为该公式可能会滥用系统进程,例如PowerShell、cmd、mshta或任何其他LoLBins(非现场二进制文件)。大家都知道,这是合法的Excel文件类型,因此许多网络管理设备不会阻止或过滤该文件,于是,Paradise病毒的机会就来了。
简单来说,IQY文件为攻击者提供了一种渗透网络的快捷方式,其利用过程如下:
先通过Necurs僵尸网络分发IQY附件,来传播与Paradise勒索病毒绑定的程序,FlawedAmmyy 远控木马。
然后,接下来要做的是诱使用户打开恶意IQY附件,该附件会从攻击者的C2服务器中检索恶意脚本。

包含远程恶意脚本位置的恶意IQY附件
此恶意脚本包含一个用于运行PowerShell命令的命令,该命令将下载并调用可执行文件。

恶意脚本
成功利用IQY文件躲过防御系统后,Paradise勒索病毒还利用了自动注入技术,直接将原始进程的内存替换为勒索病毒的执行代码。
 
特点2:特定的语言白名单
如下图所示,在勒索病毒开始后、执行语言检查之前,还包含一次动态代码解析过程,通过手动PEB遍历动态地获取了WinAPI。

PEB遍历/ API解析
然后,我们就会发现Paradise勒索病毒的语言检查功能。这个新变种会检查机器的语言ID是俄语、哈萨克语、白俄罗斯语、乌克兰语,还是塔塔尔语。

检查特定语言
正如我们看到的那样,如果目标语言是上述选项之一,则勒索病毒会停止攻击。

杀死进程
很好,在这里我们不妨大胆推测,新版Paradise勒索病毒的真实攻击者,就在藏那份语言白名单之中。
 
特点3:更难检测的加密算法
接下来,就是Paradise勒索病毒的攻击加密过程。和大多数勒索病毒一样,新变种加密函数在遍历文件系统的同时,也会注意避开可能破坏系统运行的文件。

在这里要强调的是,该病毒的隐匿特性不止藏在IQY文件中一点,还有它所利用的Salsa20加密算法。使用此算法的好处很明显,攻击者可以将其实现到源代码中,而不是调用系统函数。

文件加密步骤
也就是说,使用Salsa20加密算法可让检测加密例程更加困难。

可执行文件加密之前/之后
加密后,我们看到,每个加密文件的扩展名变为:“ _decryptor_ {unique_id} .tor”。

更改加密文件的扩展名
然后,病毒会释放标题为“ — ==%$$$ OPEN_ME_UP $$$ == —。txt ”的勒索信息,并在加密例程完成后自动打开。该赎金记录要求受害者访问一个在线聊天页面,以接收有关如何解密文件的说明。

勒索信息
看到这里,我们基本上弄清楚了Paradise勒索病毒新变种是怎么回事了。
 
特点4:特殊的时间格式
按照勒索信息指示,研究人员尝试和勒索者沟通,聊天登录页面如下。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载