感染流程
尽管每一个攻击活动的特定要素均有略微差异,包括使用不同的XOR密钥值等,但它们都具有一些共同的特性。试图传播此恶意软件的电子邮件攻击活动均具备标准的垃圾邮件特征。它们的主题行均使用“Copy_”或“Document_”作为开头,后面附带一串随机数字进行伪装,如“Copy_30396323”和“Document_3758”等。在我们监控这些攻击活动的同时,我们也注意到又出现了更多的攻击活动,每一个均采用了略微不同的主题。首轮攻击活动相关的电子邮件的正文没有任何内容,仅带有名为“nm.pdf”的附件。这一攻击活动的电子邮件示例如下。
图A:电子邮件示例
正如我们在上面的屏幕快照中看到的,攻击者在生成与这些攻击活动相关的电子邮件时并未花费很大的心思。不久以后,我们注意到在后续的攻击活动中,电子邮件正文开始包含以下文本:
“Image data in PDF format has been attached to this email.(这一电子邮件的附件包含PDF格式的图像数据。)”
在所有情况中,附件文件都是一个恶意PDF文档,内嵌了Microsoft Word文档。当受害者打开PDF时,在PDF正文中将会显示一段内容,然后试图打开内嵌的Microsoft Word文档。
图B:PDF附件示例
与我们在最近的Locky攻击活动中观察到的现象类似,当PDF试图打开内嵌的Microsoft Word文档时,系统会提示受害者批准这一操作。此处继续感染流程需要用户的交互,以逃过组织可能部署的自动检测机制。此时在用户批准之前,将不会发生恶意活动。在未配置模拟这一审批活动的沙盒环境中,感染可能永远不会发生,并可能会导致沙盒环境判定此文件为正常文件,偏离其恶意本质的事实,而这主要是因为感染未被触发。
该PDF附件包含以下Javascript,用于打开内嵌的Microsoft Word文档:
图C:PDF中的Javascript
单击“OK(确定)”按钮会导致PDF打开恶意Microsoft Word文档,整个行为与我们在其他攻击活动中看到的行为基本类似。毫无意外的是,用户还将会被提示启用编辑,以查看Word文档的内容。需要指出的是,该恶意Microsoft Word文档包含两页,而不像大多数恶意Word文档一样只有一页。
图D:恶意Word文档示例
一旦恶意内容被启用,该Microsoft Word文档将会执行一个VBA宏,它的作用就是充当勒索软件下载程序,试图获取勒索软件二进制文件以感染系统。
该VBA宏包含多个下载域名,使用大写字母“V”隔开。这就给该恶意软件提供了多个机会来尝试从多个来源下载恶意载荷。
图E:VBA下载程序
用于下载Jaff二进制文件的URL与我们在Locky攻击活动中观察到的URL非常类似。
图F:下载URL
以上下载的二进制blob之后会使用恶意Word文档中内嵌的XOR密钥进行XOR处理,我们在这一攻击活动中观察到多个XOR密钥。下面的屏幕快照是我们在VBA宏的Module3中发现的,其中XOR密钥为“d4fsO4RqQabyQePeXTaoQfwRCXbIuS9Q”
图G:XOR密钥
当这一XOR流程完成后,恶意软件将使用以下的命令行语法,使用Windows Command Processor启动实际的勒索软件PE32可执行程序:
图H:启动可执行程序
勒索软件会重复对系统上存储的文件夹进行加密,这一特定勒索软件附加到每个文件的文件扩展名为“jaff”。它会在受害者的“My Documents(我的文档)”目录下写入一个名为ReadMe.txt的文件,其中包含了勒索声明。
图I:文本格式的勒索声明
它同时还会修改桌面背景,如下所示:
图J:修改的桌面壁纸
需要指出的有趣一点是,上面的说明并未指示用户使用Tor2Web等Tor代理服务,相反它指示用户安装整个Tor浏览器软件包,以访问赎金付费系统。样本和攻击活动中使用的Tor地址也似乎没有变化。访问赎金付费系统时,受害者将会看到以下信息,要求他们输入在被感染系统上的勒索声明中列出的解密ID。
图K:指定解密ID
在此网站中输入正确的ID值后,受害者将会看到完整的说明页,列出了攻击者要索取的赎金金额,以及具体的付费说明。
图L:赎金付费系统
值得一提的是,赎金付费系统的外观与我们在Locky中看到的系统非常相似。在这一案例中,被索取的赎金金额为2.01117430个比特币,按当下价格计算相当于约3700美元,大幅高于其他勒索软件活动所索取的金额。通过查看赎金付费服务器指定的比特币钱包,我们确定这一钱包当前处于零成交状态。
图M:比特币钱包交易情况
攻击活动传播/规模
截至目前为止,思科Talos观察到超过10万封电子邮件与这些新Jaff攻击活动有关。相对于一种新攻击而言,这种通过垃圾邮件传播的勒索软件规模可谓极其庞大。它们与Necurs的紧密关系使得其垃圾邮件攻击活动能够在短期内达到超大规模。首轮垃圾邮件攻击活动开始于2017年5月11日UTC时间上午8点,包含约35,768封电子邮件,均带有附件“nm.pdf”。在这一垃圾邮件攻击活动中,思科Talos观察到约184个独特的样本。
思科Talos还观察到第二轮攻击活动于第二天开始,包含约72,798封电子邮件。这一轮的攻击活动开始于2017年5月12日UTC上午9点,传播了约294个独特样本。该轮攻击活动使用的附件文件名为“201705*.pdf”,其作用与我们在首轮攻击活动中观察到的附件完全相同。
这是一种新的LOCKY攻击吗?
这两轮攻击活动使用了一些共同的特征来传播Jaff,其使用的C2流量模式与我们在Locky和Dridex等活动中已经习以为常的模式相似。然而,我们相信这并非是Locky勒索软件的一个新版本或改头换面的版本。两种攻击的代码库间的相似度非常低,虽然曾使用Necurs传播Locky的攻击者与现在传播Jaff的攻击者可能是同一批人,但该恶意软件本身还是存在着明显的区别,应被区别看待,并划分到不同的勒索软件家族中。
如果要将其视作一种“新的”Locky,原因可能包括其肆无忌惮的风格、与Locky一样横空出世、主要通过恶意垃圾电子邮件传播、以及利用恶意Word文档等,但攻击活动自身的特点不应用于判断恶意软件是否相同。这是一种新的勒索软件,攻击者在代码库、基础设施和规模方面都开展了大量的工作。然而,它不是Locky 2.0。它是另一种攻击性非常强的向最终用户推送勒索软件产品的全新恶意软件,目前应与Locky分开看待。
我们注意到攻击者已开始使用Necurs来通过多个大规模垃圾邮件活动的形式传播Jaff。我们将会继续监控此攻击活动,我们会对每一封电子邮件进行威胁分析,以确定这是一次昙花一现的攻击,还是这一勒索软件家族将会继续感染未得到可靠保护的组织。
IOCS
电子邮件主题
Copy_数字串
Document_数字串
Scan_数字串
PDF_数字串
File_数字串
Scanned Image
附件文件名:
nm.pdf
String of Digits.pdf(示例:20170511042179.pdf)
附件哈希值:
与这一攻击活动相关的附件列表可以在此处找到。
Word文档哈希值:
与PDF内嵌的Microsoft Word文档相关的哈希值列表可以在此处找到。
二进制哈希值:
03363f9f6938f430a58f3f417829aa3e98875703eb4c2ae12feccc07fff6ba47
C2服务器IP:
108.165.22[.]125
27.254.44[.]204
传播域名:
与这些攻击活动相关的传播域名列表可以在此处找到。
结论
这是全球掀起的新恶意软件变种的又一示例。这一攻击现在很常见,它向我们揭示出为何此类攻击对于犯罪分子极具吸引力。其市场价值高达数百万美元,每个人都想从中分一杯羹。Jaff通过基于Necurs的常见垃圾邮件机制进行传播。然而,它勒索的赎金非常高,此处的问题在于,当赎金达到多高时,用户就将不会付费。未来,我们很可能会看到攻击者不断尝试找到合理的价位,以在确保能够收到赎金的同时最大化利润。
在当今的威胁环境中,勒索软件开始占据主流地位,并被传播到全球几乎所有系统上。随着漏洞利用套件活动的大规模减少,它可能会继续主要通过电子邮件传播,或在攻击者尝试通过Samsam等威胁进入网络或系统时,通过次要载荷传播。
规避办法
下方列出了客户可以检测并阻止此威胁的其他办法。
高级恶意软件防护(AMP)能够有效避免执行这些攻击者使用的恶意软件。
CWS或WSA网络扫描能够阻止访问恶意网站,并发现这些攻击中使用的恶意软件。
Email Security可以阻止攻击者在其攻击活动中发送的恶意电子邮件。
IPS和NGFW的网络安全防护功能可以提供最新的签名,用来检测攻击者发起的恶意网络活动。
AMP Threat Grid能够帮助发现恶意软件二进制文件,并在所有思科安全产品中建立防护措施。
Umbrella能够阻止对与恶意活动相关的域名进行DNS解析。