简述
近期奇安信病毒响应中心在云端检测到TellYouThePass勒索家族存在异常活动,此家族启用了新c2,黑客通过业务漏洞(通常是OA系统漏洞)获取权限,并最终调用msiexec.exe执行从c2:
-
hxxp://74[.]119[.]194[.]37/css.png
-
hxxp://74[.]119[.]194[.]37/a.png
-
hxxp://74[.]119[.]194[.]37/b.png
下载的恶意msi文件。
新变种由C#或Golang语言编写而成,下图为此次检测到的攻击链示意图:
基于云端大数据观测到的C2活跃趋势:
由于新C2前期均无活动,因此奇安信病毒响应中心认为这是此家族背后团伙重新开始活动的重要征兆。
事件涉及样本分析
以C#编写的32位平台样本为例,Msi文件的CustomAction绑定了勒索模块,msiexec调用msi文件的时候会触发 source._D7D112F049BA1A655B5D9A1D0702DEE5 update 执行:
病毒会先创建互斥体WindowsUpdateProcess,保证程序单例运行。
然后会判断C:ProgramData目录下是否存在pubkey.txt和show.txt这两个文件,均不存在则生成这两个文件并开启勒索
生成一对RSA密钥,用自带的RSA公钥加密生成的RSA私钥,将生成的公钥和加密后的私钥分别写入pubkey.txt和show.txt。遍历文件进行加密,生成的公钥使用RSA算法加密随机生成的AES密钥,加密后的aes密钥被保存在加密文件的开始部分,然后使用AES算法加密文件。
加密文件后缀包括:“1cd”,”3dm”,”3ds”,”3fr”,”3g2″,”3gp”,”3pr”,”602″,”7z”,”ps1″,”7zip”,”aac”,”ab4″,”accdb”,”accde”,”accdr”,”accdt”,”ach”,”acr”,”act”,”adb”,”adp”,”ads”,”aes”,”agdl”,”ai”,”aiff”,”ait”,”al”,”aoi”,”apj”,”arc”,”arw”,”asc”,”asf”,”asm”,”asp”,”aspx”,”asx”,”avi”,”awg”,”back”,”backup”,”backupdb”,”bak”,”bank”,”bat”,”bay”,”bdb”,”bgt”,”bik”,”bin”,”bkp”,”blend”,”bmp”,”bpw”,”brd”,”c”,”cdf”,”cdr”,”cdr3″,”cdr4″,”cdr5″,”cdr6″,”cdrw”,”cdx”,”ce1″,”ce2″,”cer”,”cfg”,”cgm”,”cib”,”class”,”cls”,”cmd”,”cmt”,”conf”,”config”,”contact”,”cpi”,”cpp”,”cr2″,”craw”,”crt”,”crw”,”cs”,”csh”,”csl”,”csr”,”css”等
自带的RSA公钥如下:
由于缺少RSA私钥,被加密的文件暂时无法解密。
加密前会调用控制台关闭一些软件
在加密和运行过程中,病毒会把一些信息与字符串拼接,上传到c2:74.119.194.37。
勒索信
被加密文件的后缀名会被加上.locked,在每一个文件夹下会创建勒索信READ_ME.html,勒索信如下:
产品查杀能力
目前奇安信两个自主引擎QOWL、QDE均可对此病毒及其未知变种形成有效查杀:
IOCs:
1ea6e5f4951fbb6a5f7d350cb96b88f9
2cacbad0ac43a93ee80050d4ebd37a60
43054aa09c2a7be9d01a9a9d3ab77a03
71c872aee0b76f02f70c8b52543dc335
83e6d42b1cd006a9caeb02ccb55a9999
e023aa8398ffa257e71f52d96324c0f4
hxxp://74[.]119[.]194[.]37/css.png
hxxp://74[.]119[.]194[.]37/a.png
hxxp://74[.]119[.]194[.]37/b.png
附录: 奇安信病毒响应中心
奇安信病毒响应中心是北京奇安信科技有限公司(奇安信集团)旗下的病毒鉴定及响应专业团队,背靠奇安信核心云平台,拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验,基于集团自主研发的QOWL和QDE(人工智能)引擎,形成跨平台木马病毒、漏洞的查杀与修复能力,并且具有强大的大数据分析以及实现全平台安全和防护预警能力。
奇安信病毒响应中心负责支撑奇安信全线安全产品的病毒检测,积极响应客户侧的安全反馈问题,可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒事件、参与重大活动安全保障工作,受到客户的高度认可,提升了奇安信在业内的品牌影响力。
原文始发于微信公众号(奇安信病毒响应中心):TellYouThePass 勒索再度来袭