大家好,我是零日情报局。
Paradise勒索病毒,至少从2017年流行到现在,近日研究人员再次捕捉到了它的新踪迹。
据Lastline研究人员表示,Paradise勒索病毒最近以亚洲某组织为目标,疑为测试最新变种,该变种利用合法的Internet查询文件(IQY)绕过企业防御系统。也就是时隔半年未见,Paradise勒索病毒又找到了新宿主藏身。
而新版Paradise勒索病毒的特别之处远不止这一点,这就相当有趣了。下面,零日给大家介绍一下这个尚在“测试版”的Paradise勒索病毒变种。
以合法IQY文件为保护壳,说实话零日看了这招,一方面觉得有点“鬼才”,另一方面也想看看,Paradise究竟是如何利用IQY文件的?
这就要从IQY文件本身说起了,IQY文件是Microsoft Excel读取的简单文本文件,可以从Internet下载数据,是可武器化的Microsoft Office文件格式中不常见的那个。
为什么说是“可武器化的文件”?因为该公式可能会滥用系统进程,例如PowerShell、cmd、mshta或任何其他LoLBins(非现场二进制文件)。大家都知道,这是合法的Excel文件类型,因此许多网络管理设备不会阻止或过滤该文件,于是,Paradise病毒的机会就来了。
简单来说,IQY文件为攻击者提供了一种渗透网络的快捷方式,其利用过程如下:
先通过Necurs僵尸网络分发IQY附件,来传播与Paradise勒索病毒绑定的程序,FlawedAmmyy 远控木马。
然后,接下来要做的是诱使用户打开恶意IQY附件,该附件会从攻击者的C2服务器中检索恶意脚本。
包含远程恶意脚本位置的恶意IQY附件
此恶意脚本包含一个用于运行PowerShell命令的命令,该命令将下载并调用可执行文件。
恶意脚本
成功利用IQY文件躲过防御系统后,Paradise勒索病毒还利用了自动注入技术,直接将原始进程的内存替换为勒索病毒的执行代码。
如下图所示,在勒索病毒开始后、执行语言检查之前,还包含一次动态代码解析过程,通过手动PEB遍历动态地获取了WinAPI。
PEB遍历/ API解析
然后,我们就会发现Paradise勒索病毒的语言检查功能。这个新变种会检查机器的语言ID是俄语、哈萨克语、白俄罗斯语、乌克兰语,还是塔塔尔语。
检查特定语言
正如我们看到的那样,如果目标语言是上述选项之一,则勒索病毒会停止攻击。
杀死进程
很好,在这里我们不妨大胆推测,新版Paradise勒索病毒的真实攻击者,就在藏那份语言白名单之中。
接下来,就是Paradise勒索病毒的攻击加密过程。和大多数勒索病毒一样,新变种加密函数在遍历文件系统的同时,也会注意避开可能破坏系统运行的文件。
在这里要强调的是,该病毒的隐匿特性不止藏在IQY文件中一点,还有它所利用的Salsa20加密算法。使用此算法的好处很明显,攻击者可以将其实现到源代码中,而不是调用系统函数。
文件加密步骤
也就是说,使用Salsa20加密算法可让检测加密例程更加困难。
可执行文件加密之前/之后
加密后,我们看到,每个加密文件的扩展名变为:“<文件名> _decryptor_ {unique_id} .tor”。
更改加密文件的扩展名
然后,病毒会释放标题为“ — ==%$$$ OPEN_ME_UP $$$ == —。txt ”的勒索信息,并在加密例程完成后自动打开。该赎金记录要求受害者访问一个在线聊天页面,以接收有关如何解密文件的说明。
勒索信息
看到这里,我们基本上弄清楚了Paradise勒索病毒新变种是怎么回事了。
按照勒索信息指示,研究人员尝试和勒索者沟通,聊天登录页面如下。
勒索病毒聊天登录页面
然后我们看到的是,一条自动消息以及聊天室的相关规则。
勒索病毒聊天页面
尽管攻击者尚未在聊天中有所回复,但是有一个细节值得大家注意,那就是聊天页面的时间日期格式与许多欧洲国家/地区中使用的格式匹配。
我们重新审视该恶意病毒的静态特征,其编译时间戳为“2019-12-08 18:42:38(UTC)”,在欧洲大约在晚上7:42左右落入。再结合上文的语言白名单来看,新变种的“出生地”不是俄罗斯,就是乌克兰。
新版病毒“强”在哪里?看完上面串起整个攻击过程的四个特性就知道了,那肯定是隐匿性和针对性更强。奇怪的是,研究人员只发现了该变种针对亚洲某一组织的攻击活动,不过,如果把这次攻击当做是一次新版本测试那就很好解释了。
受攻击组织提供IQY的SMTP流量
Paradise勒索病毒绝对称得上是“老熟人”了,偏偏它还十分狡猾,总是在“攻击-解密-新变种-再解密”的循环中不断自我创新。
2018年7月,Paradise勒索病毒开始大规模入侵我国,加密除系统以及部分浏览器文件夹内部文件以外的所有文件,加密后生成“超长后缀+勒索声明+定制用户ID”三连套餐。
2019年3月,Paradise勒索病毒再度袭来,改头换面以UPX加壳、借用了CrySiS家族的勒索信息,代码结构也区别于早期版本。
2019年8月,最新Paradise变种病毒再次被截获,将自身主体代码在内存中解密后执行,靠Flash漏洞传播,专攻FlashPlayer版本较低的用户。
2019年10月,Paradise勒索家族KimChinIm、Support两大病毒变种接连涌现,与以往已知的Paradise病毒仍有较大差异,这里就不一一细说了。
看看,这就是Paradise勒索病毒的狡猾之处:每一次变种都搭载不同的技术或算法,与此前存在巨大差异。
千言万语还是一句话,零日认为应警惕新一轮的Paradise勒索攻击,并建议企业:
1. 赶紧对重要数据文件进行非本地备份,时刻注意;
2. 千万要及时修复漏洞、打补丁,升级登录口令并避免使用同一口令;
3. 警惕不明来源的邮件及网站,不要乱下载不明来源的附件文件;
4. 一定要减少/关闭不必要的文件共享权限。
勒索病毒的逃避技术远超我们想象,它们想尽办法利用新方式或技术超越基本防御措施,而大家对它们的了解却并不广泛。今天,我们了解了一种Paradise勒索病毒新变种,但这只是其庞大家族的冰山一角,勒索病毒更新迭代千变万化,却仍是网络安全的重要杀手。
零日情报局作品
微信公众号:lingriqingbaoju
筑牢安全防线:安企神企业助力特种设备机械企业数据防泄密解决方案
西安苛菲特机械设备有限公司 西安苛菲特机械设备有限公司致力于特种设备的发展,专业从事特种设备的研发、制造和销售。目前已成为有色冶金特种设备、大型船舶特种设备、煤化工特种设备的领军品牌,并在业内得到了“ 特种设备专家”的称号。公司以打造国内一流特种设备为使命,主要产品定型为高品质特种(高温、高压、高合金)流量控...
安企神软件——为中国铁道建筑集团有限公司筑牢数据防泄密系统
01公司介绍中国铁建是中国乃至全球最具实力、最具规模的特大型综合建设集团之一,入选世界500强企业、全球225家最大承包商之一等荣誉。公司以工程承包为主业,集勘察、设计、投融资、施工、设备安装、工程监理、技术咨询、外经外贸于一体,经营业务遍及除台湾省外全国31个省市(自治区)、世界20多个国家和地区,企业总资产820亿...
强化终端安全,安企神软件与涂料制造企业共创安全未来
西安经建油漆有限责任公司规模化、专业化、现代化涂料制造企业西安经建油漆有限责任公司,年涂料生产能力20万吨,为中国中西部实力较强、产能较大的涂料制造企业。公司成立伊始便积极承担起重点建设项目及国防军事工业、航空航天工业提供配套涂料科研开发及生产任务。多次受到中国航天科技集团总公司的通令嘉奖,为我国航天事业跻身世界前列做...
全球著名减震器制造商——天纳克携手安企神共筑安全制造新防线
天纳克(北京)汽车减振器有限公司天纳克(北京)汽车减振器有限公司成立于1995年,是天纳克在中国最早投资的合资企业。公司集设计、开发、生产及销售汽车减振器于一身。作为天纳克全球网络的一部分,能充分享受天纳克全球的技术积累经验和国际领先的设计理念,加之先进的生产设备和工艺技术。天纳克(北京)汽车减振器有限公司完全能保证为...
强强联合!安企神软件携手瀚颐共筑汽车行业终端安全防线
瀚颐上海汽车电子科技有限公司EAST瀚颐中国团队成立于2015年。是国际AUTOSAR软件联盟的研发伙伴单位。具备汽车电子硬件设计、软件开发、CAN网络集成、系统集成测试以及项目管理的全面研发能力。专注于汽车电子以及相关产业并拥有25年以上的专业经验,拥有来自于德国和中国业内专家和高管组成的顾问团队,并向全球汽车行业客...