內文概要
思科Talos持續監控電子郵件威脅環境,緊密跟踪出現的新威脅和現有威脅的變化。我們最近觀察到幾次大規模的電子郵件攻擊活動,它們試圖傳播一種名為“Jaff”的全新勒索軟體變種。有意思的是,我們在此次攻擊活動中發現了幾個曾在Dridex和Locky攻擊活動中使用過的特徵。我們在短期內觀察到多項攻擊活動,他們均大肆傳播惡意垃圾電子郵件,每一封電子郵件均帶有一個PDF附件,其中內嵌了Microsoft Word文檔,用於觸發下載Jaff勒索軟體。雖然思科客戶已能夠對這一威脅自動免疫,但我們還是決定深入剖析一下這一威脅,以及它將會對整個威脅環境產生的影響。在下文中,您將可以了解到感染流程的概要信息,以及有關此威脅的更多相關信息。
感染流程
儘管每一個攻擊活動的特定要素均有略微差異,包括使用不同的XOR密鑰值等,但它們都具有一些共同的特性。試圖傳播此惡意軟體的電子郵件攻擊活動均具備標準的垃圾郵件特徵。它們的主題行均使用“Copy_”或“Document_”作為開頭,後面附帶一串隨機數字進行偽裝,如“Copy_30396323”和“Document_3758”等。在我們監控這些攻擊活動的同時,我們也注意到又出現了更多的攻擊活動,每一個均採用了略微不同的主題。首輪攻擊活動相關的電子郵件的正文沒有任何內容,僅帶有名為“nm.pdf”的附件。這一攻擊活動的電子郵件示例如下。
圖A:電子郵件示例
正如我們在上面的屏幕快照中看到的,攻擊者在生成與這些攻擊活動相關的電子郵件時並未花費很大的心思。不久以後,我們注意到在後續的攻擊活動中,電子郵件正文開始包含以下文本:“Image data in PDF format has been attached to this email.(這一電子郵件的附件包含PDF格式的圖像數據。)”
在所有情況中,附件文件都是一個惡意PDF文檔,內嵌了Microsoft Word文檔。當受害者打開PDF時,在PDF正文中將會顯示一段內容,然後試圖打開內嵌的Microsoft Word文檔。
圖B:PDF附件示例
與我們在最近的Locky攻擊活動中觀察到的現像類似,當PDF試圖打開內嵌的Microsoft Word文檔時,系統會提示受害者批准這一操作。此處繼續感染流程需要用戶的交換,以逃過組織可能部署的自動檢測機制。此時在用戶批准之前,將不會發生惡意活動。在未配置模擬這一審批活動的沙盒環境中,感染可能永遠不會發生,並可能會導致沙盒環境判定此文件為正常文件,偏離其惡意本質的事實,而這主要是因為感染未被觸發。
該PDF附件包含以下Javascript,用於打開內嵌的Microsoft Word文檔:
圖C:PDF中的Javascript
單擊“OK(確定)”按鈕會導致PDF打開惡意Microsoft Word文檔,整個行為與我們在其他攻擊活動中看到的行為基本類似。毫無意外的是,用戶還將會被提示啟用編輯,以查看Word文檔的內容。需要指出的是,該惡意Microsoft Word文檔包含兩頁,而不像大多數惡意Word文檔一樣只有一頁。
圖D:惡意Word文檔示例
一旦惡意內容被啟用,該Microsoft Word文檔將會執行一個VBA宏,它的作用就是充當勒索軟體下載程序,試圖獲取勒索軟體二進製文件以感染系統。
該VBA宏包含多個下載域名,使用大寫字母“V”隔開。這就給該惡意軟體提供了多個機會來嘗試從多個來源下載惡意載荷。
圖E:VBA下載程序
用於下載Jaff二進製文件的URL與我們在Locky攻擊活動中觀察到的URL非常類似。
圖F:下載URL
以上下載的二進制blob之後會使用惡意Word文檔中內嵌的XOR密鑰進行XOR處理,我們在這一攻擊活動中觀察到多個XOR密鑰。下面的屏幕快照是我們在VBA宏的Module3中發現的,其中XOR密鑰為“d4fsO4RqQabyQePeXTaoQfwRCXbIuS9Q”
圖G:XOR密鑰
當這一XOR流程完成後,惡意軟體將使用以下的命令行語法,使用Windows Command Processor啟動實際的勒索軟體PE32可執行程序:
圖H:啟動可執行程序
勒索軟體會重複對系統上存儲的文件夾進行加密,這一特定勒索軟體附加到每個文件的文件擴展名為“jaff”。它會在受害者的“My Documents(我的文檔)”目錄下寫入一個名為ReadMe.txt的文件,其中包含了勒索聲明。
圖I:文本格式的勒索聲明
它同時還會修改桌面背景,如下所示:
圖J:修改的桌面壁紙
需要指出的有趣一點是,上面的說明並未指示用戶使用Tor2Web等Tor代理服務,相反它指示用戶安裝整個Tor瀏覽器軟體包,以訪問贖金付費系統。樣本和攻擊活動中使用的Tor地址也似乎沒有變化。訪問贖金付費系統時,受害者將會看到以下信息,要求他們輸入在被感染系統上的勒索聲明中列出的解密ID。
圖K:指定解密ID
在此網站中輸入正確的ID值後,受害者將會看到完整的說明頁,列出了攻擊者要索取的贖金金額,以及具體的付費說明。
圖L:贖金付費系統
值得一提的是,贖金付費系統的外觀與我們在Locky中看到的系統非常相似。在這一案例中,被索取的贖金金額為2.01117430個比特幣,按當下價格計算相當於約3700美元,大幅高於其他勒索軟體活動所索取的金額。通過查看贖金付費服務器指定的比特幣錢包,我們確定這一錢包當前處於零成交狀態。
圖M:比特幣錢包交易情況
攻擊活動傳播/規模
截至目前為止,思科Talos觀察到超過10萬封電子郵件與這些新Jaff攻擊活動有關。相對於一種新攻擊而言,這種通過垃圾郵件傳播的勒索軟體規模可謂極其龐大。它們與Necurs的緊密關係使得其垃圾郵件攻擊活動能夠在短期內達到超大規模。首輪垃圾郵件攻擊活動開始於2017年5月11日UTC時間上午8點,包含約35,768封電子郵件,均帶有附件“nm.pdf”。在這一垃圾郵件攻擊活動中,思科Talos觀察到約184個獨特的樣本。
思科Talos還觀察到第二輪攻擊活動於第二天開始,包含約72,798封電子郵件。這一輪的攻擊活動開始於2017年5月12日UTC上午9點,傳播了約294個獨特樣本。該輪攻擊活動使用的附件文件名為“201705*.pdf”,其作用與我們在首輪攻擊活動中觀察到的附件完全相同。
這是一種新的LOCKY攻擊嗎?
這兩輪攻擊活動使用了一些共同的特徵來傳播Jaff,其使用的C2流量模式與我們在Locky和Dridex等活動中已經習以為常的模式相似。然而,我們相信這並非是Locky勒索軟體的一個新版本或改頭換面的版本。兩種攻擊的代碼庫間的相似度非常低,雖然曾使用Necurs傳播Locky的攻擊者與現在傳播Jaff的攻擊者可能是同一批人,但該惡意軟體本身還是存在著明顯的區別,應被區別看待,並劃分到不同的勒索軟體家族中。
如果要將其視作一種“新的”Locky,原因可能包括其肆無忌憚的風格、與Locky一樣橫空出世、主要通過惡意垃圾電子郵件傳播、以及利用惡意Word文檔等,但攻擊活動自身的特點不應用於判斷惡意軟體是否相同。這是一種新的勒索軟體,攻擊者在代碼庫、基礎設施和規模方面都開展了大量的工作。然而,它不是Locky 2.0。它是另一種攻擊性非常強的向最終用戶推送勒索軟體產品的全新惡意軟體,目前應與Locky分開看待。
我們注意到攻擊者已
開始使用Necurs來通過多個大規模垃圾郵件活動的形式傳播Jaff。我們將會繼續監控此攻擊活動,我們會對每一封電子郵件進行威脅分析,以確定這是一次曇花一現的攻擊,還是這一勒索軟體家族將會繼續感染未得到可靠保護的組織。
IOCS
電子郵件主題:
Copy_String of Digits
Document_String of Digits
Scan_String of Digits
PDF_String of Digits
File_String of Digits
Scanned Image
附件文件名:
nm.pdf
String of Digits.pdf(示例:20170511042179.pdf)
附件Hashes值:
與這一攻擊活動相關的附件列表可以在此處找到。
Word文檔Hashes值:
與PDF內嵌的Microsoft Word文檔相關的Hash值列表可以在此處找到。
二進制Hashes值:
03363f9f6938f430a58f3f417829aa3e98875703eb4c2ae12feccc07fff6ba47
C2服務器IP:
108.165.22[.]125
27.254.44[.]204
傳播域名:
與這些攻擊活動相關的傳播域名列表可以在此處找到。
結論
這是全球掀起的新惡意軟體變種的又一示例。這一攻擊現在很常見,它向我們揭示出為何此類攻擊對於犯罪分子極具吸引力。其市場價值高達數百萬美元,每個人都想從中分一杯羹。 Jaff通過基於Necurs的常見垃圾郵件機制進行傳播。然而,它勒索的贖金非常高,此處的問題在於,當贖金達到多高時,用戶就將不會付費。未來,我們很可能會看到攻擊者不斷嘗試找到合理的價位,以在確保能夠收到贖金的同時最大化利潤。
在當今的威脅環境中,勒索軟體開始佔據主流地位,並被傳播到全球幾乎所有系統上。隨著漏洞利用套件活動的大規模減少,它可能會繼續主要通過電子郵件傳播,或在攻擊者嘗試通過Samsam等威脅進入網路或系統時,通過次要載荷傳播。
規避辦法
下方列出了客戶可以檢測並阻止此威脅的其他辦法。
高級惡意軟體防護(AMP)能夠有效避免執行這些攻擊者使用的惡意軟體。
CWS或WSA網路掃描能夠阻止訪問惡意網站,並發現這些攻擊中使用的惡意軟體。
Email Security可以阻止攻擊者在其攻擊活動中發送的惡意電子郵件。
IPS和NGFW的網路安全防護功能可以提供最新的簽名,用來檢測攻擊者發起的惡意網路活動。
AMP Threat Grid能夠幫助發現惡意軟體二進製文件,並在所有思科安全產品中建立防護措施。
Umbrella能夠阻止對與惡意活動相關的域名進行DNS解析。
Talos介紹
Talos團隊由業界領先的網路安全專家組成,他們分析評估駭客活動,入侵企圖,惡意軟體以及漏洞的最新趨勢。包括ClamAV團隊和一些標準的安全工具書的作者中最知名的安全專家,都是Talos的成員。這個團隊同時得到了Snort、ClamAV、Senderbase.org和Spamcop.net社區的龐大資源支援,使得它成為網路安全行業最大的安全研究團隊。也為思科的安全研究和安全產品服務提供了強大的後盾支援。