恶意文件家族:
GhostLocker
威胁类型:
勒索病毒
简单描述:
GhostLocker 自称是一款突破性的企业级锁定软件,将安全性和有效性放在首位。GhostLocker 采用“勒索即服务”的业务模式 最初对前 15 家附属机构的定价为 999 美元,预计将来会将这一费用提高到 4,999 美元。
恶意文件描述
深信服深盾终端实验室在近期的运营工作中,发现了一种新的勒索软件GhostLocker ,GhostLocker 由 GhostSec 领导的多个黑客组织建立。这些黑客组织试图从事网络犯罪活动以求生存,而GhostLocker 似乎是他们的新选择之一。一些勒索软件组织如 Stormous 已经开始使用 GhostLocker 勒索软件,而不是其原始恶意软件。在 10 月 9 日,包括 SiegedSec、GhostSec 和 The Five Families Collective 在内的多个黑客组织宣布推出 GhostLocker。
恶意文件分析
此次攻击事件似乎包含两个阶段。第一个阶段是一个 C/C++ 编译而来的 64 位释放器程序,存放目录为“C:UsersJohnAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup”。这意味着该程序将在系统启动时自动运行。第二个阶段是一个 Python 编译而来的勒索程序。这个勒索程序会加密文件,并要求支付赎金才能恢复文件。
第一阶段程序分析:
根据程序的 PID(进程标识符)和执行时的时间戳,在 %TEMP% 目录下创建一个文件夹,文件夹名称为 “onefile_%PID%_%TIME%”。这个文件夹的路径类似于 C:UsersJohnAppDataLocalTemponefile_1234_1634567890,其中 1234 是进程的 PID,1634567890 是时间戳。
将程序中的多个资源文件释到 %TEMP%onefile_%PID%_%TIME目录下的指定文件中。这些资源文件可能包含恶意代码及其他必要的文件,用于后续勒索软件的执行操作。
使用 CreateProcess API 启动释放的 iymjsgyhiotfdswn.exe 程序。CreateProcess 是一个 Windows API 函数,用于创建一个新的进程并执行指定的可执行文件。在这种情况下,iymjsgyhiotfdswn.exe 是被释放的程序中的一个可执行文件,通过调用 CreateProcess 来启动它。
勒索信 lmao.html 被写入用户的 ~/Documents/lmao.html 目录下,并尝试在浏览器中打开该文件。勒索信中包含了被加密文件的信息和受害者ID。勒索信页面还包含了一些次要通知,解释了文件被加密的原因以及如何联系勒索者以恢复文件。页面底部还包含了一些注意事项,包括不要支付赎金给其他人、不要重命名加密文件、不要尝试使用第三方软件解密数据等。
第二阶段勒索程序分析:
(1) 下载并启动watchdog.exe
从 http://88.218.62.219/download 链接下载文件到 C 盘根目录,并将其重命名为 watchdog.exe,watchdog.exe使用Nuitka 编译,该程序的作用是在勒索程序无法启动时重新启动它,以确保勒索功能能够执行。当勒索功能执行完毕后,看门狗程序会删除勒索程序,以防止安全人员分析。
(2) 勒索软件分析
勒索程序使用 Fernet 加密算法对文件进行加密,并添加 .ghost 后缀。Fernet 是一种基于对称密钥的加密算法,使用 AES 算法和 HMAC 进行加密和签名。在代码中,使用 Fernet.generate_key() 生成一个随机的密钥,然后使用该密钥对文件进行加密。
勒索程序会将受害者ID、加密密钥和受害者计算机名称发送到指定的 URL。它还会对 C 盘下的所有文件进行加密,并将桌面背景设置为空白,以突出勒索信息。
GhostLocker 勒索软件的最新版本采用了Nuitka 编译器,该工具可以优化并将Python代码转换成C语言,然后编译成机器码,以提高性能并创建独立可执行文件。分析表明,新版加密器可能仍在开发中,因为缺乏基本的加密文件等功能。
ATT&CK
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
IOC
MD5
dfbaa667c07fdd5ad2543ce98d097027
bdc119efae38ea528c10adbd4c9000e4
bea3d03f686c73622f08b1f0f8ec5b43
cd906ad0553a176d8737b4b85109687c
074beb2b62147a4a037577e985fff913
81a136029d29d26920c0287faf778776
dfb5e2963e9bc48c904f4ac5978fe9ea
9c66d8fde4e6d395558182156e6fe298
00c69252bc0e896e2a8b0a9a3d68e41e
4119af0c5a12d6153e19514b4be993c4
8506b32ea38dc3a844e72051750a75d9
e6ec894f69899d14e3e8581939fe0685
URL
http://88[.]218.62[.]219/download
http://88[.]218.62[.]219/
https://88[.]218.62[.]219/download/
http://88[.]218.62[.]219/downloadp
http://88[.]218.62[.]219/downloadastatus_codel
http://88[.]218.61[.]141/addaCrypticMastera__main__a__module__auserConfiga__qualname__uchrome.exeaproces
http://88[.]218.61[.]141/adda__main__a__module__auserConfiga__qualname__uchrome.exeaprocessesuC:/Users/%25
http://88[.]218.61[.]141/
http://88[.]218.61[.]141/addp
http://88[.]218.61[.]141/incrementLaunchesT
http://88[.]218.61[.]141/incrementLaunches
http://88[.]218.61[.]141/add
http://195[.]2[.]79[.]117/
解决方案
处置建议
1. 为本地和域账户设置强密码策略,定期更改账号密码
2. 及时更新操作系统和软件,使用杀毒软件定期查杀。
深信服解决方案
【深信服统一端点安全管理系统aES】已支持查杀拦截此次事件使用的病毒文件,aES全新上线“动静态双AI引擎”,静态AI能够在未知勒索载荷落地阶段进行拦截,动态AI则能够在勒索载荷执行阶段进行防御,通过动静态AI双保险机制可以更好地遏制勒索蔓延。不更新也能防护;但建议更新最新版本,取的更好防护效果。
原文始发于微信公众号(深信服千里目安全技术中心):【勒索防护】巴以冲突背景下的网络安全威胁