圖A:電子郵件示例
正如我們在上面的屏幕快照中看到的�,攻擊者在生成與這些攻擊活動相關(guān)的電子郵件時并未花費很大的心思。不久以后����,我們注意到在后續(xù)的攻擊活動中,電子郵件正文開始包含以下文本:
“Image data in PDF format has been attached to this email.(這一電子郵件的附件包含PDF格式的圖像數(shù)據(jù)����。)”
在所有情況中����,附件文件都是一個惡意PDF文檔����,內(nèi)嵌了Microsoft Word文檔。當受害者打開PDF時��,在PDF正文中將會顯示一段內(nèi)容���,然后試圖打開內(nèi)嵌的Microsoft Word文檔���。
圖B:PDF附件示例
與我們在最近的Locky攻擊活動中觀察到的現(xiàn)象類似�����,當PDF試圖打開內(nèi)嵌的Microsoft Word文檔時����,系統(tǒng)會提示受害者批準這一操作。此處繼續(xù)感染流程需要用戶的交互�����,以逃過組織可能部署的自動檢測機制。此時在用戶批準之前����,將不會發(fā)生惡意活動。在未配置模擬這一審批活動的沙盒環(huán)境中�,感染可能永遠不會發(fā)生,并可能會導致沙盒環(huán)境判定此文件為正常文件�,偏離其惡意本質(zhì)的事實,而這主要是因為感染未被觸發(fā)����。
該PDF附件包含以下Javascript,用于打開內(nèi)嵌的Microsoft Word文檔:
圖C:PDF中的Javascript
單擊“OK(確定)”按鈕會導致PDF打開惡意Microsoft Word文檔��,整個行為與我們在其他攻擊活動中看到的行為基本類似�。毫無意外的是,用戶還將會被提示啟用編輯����,以查看Word文檔的內(nèi)容。需要指出的是�,該惡意Microsoft Word文檔包含兩頁,而不像大多數(shù)惡意Word文檔一樣只有一頁��。
圖D:惡意Word文檔示例
一旦惡意內(nèi)容被啟用,該Microsoft Word文檔將會執(zhí)行一個VBA宏��,它的作用就是充當勒索軟件下載程序����,試圖獲取勒索軟件二進制文件以感染系統(tǒng)。
該VBA宏包含多個下載域名�,使用大寫字母“V”隔開。這就給該惡意軟件提供了多個機會來嘗試從多個來源下載惡意載荷�����。
圖E:VBA下載程序
用于下載Jaff二進制文件的URL與我們在Locky攻擊活動中觀察到的URL非常類似�。
圖F:下載URL
以上下載的二進制blob之后會使用惡意Word文檔中內(nèi)嵌的XOR密鑰進行XOR處理,我們在這一攻擊活動中觀察到多個XOR密鑰�����。下面的屏幕快照是我們在VBA宏的Module3中發(fā)現(xiàn)的���,其中XOR密鑰為“d4fsO4RqQabyQePeXTaoQfwRCXbIuS9Q”
圖G:XOR密鑰
當這一XOR流程完成后,惡意軟件將使用以下的命令行語法�,使用Windows Command Processor啟動實際的勒索軟件PE32可執(zhí)行程序:
圖H:啟動可執(zhí)行程序
勒索軟件會重復對系統(tǒng)上存儲的文件夾進行加密,這一特定勒索軟件附加到每個文件的文件擴展名為“jaff”����。它會在受害者的“My Documents(我的文檔)”目錄下寫入一個名為ReadMe.txt的文件�����,其中包含了勒索聲明��。
圖I:文本格式的勒索聲明
它同時還會修改桌面背景���,如下所示:
圖J:修改的桌面壁紙
需要指出的有趣一點是,上面的說明并未指示用戶使用Tor2Web等Tor代理服務(wù)�����,相反它指示用戶安裝整個Tor瀏覽器軟件包���,以訪問贖金付費系統(tǒng)���。樣本和攻擊活動中使用的Tor地址也似乎沒有變化。訪問贖金付費系統(tǒng)時����,受害者將會看到以下信息,要求他們輸入在被感染系統(tǒng)上的勒索聲明中列出的解密ID�。
圖K:指定解密ID
在此網(wǎng)站中輸入正確的ID值后���,受害者將會看到完整的說明頁,列出了攻擊者要索取的贖金金額�,以及具體的付費說明。
圖L:贖金付費系統(tǒng)
值得一提的是�����,贖金付費系統(tǒng)的外觀與我們在Locky中看到的系統(tǒng)非常相似��。在這一案例中�,被索取的贖金金額為2.01117430個比特幣,按當下價格計算相當于約3700美元����,大幅高于其他勒索軟件活動所索取的金額。通過查看贖金付費服務(wù)器指定的比特幣錢包����,我們確定這一錢包當前處于零成交狀態(tài)。
圖M:比特幣錢包交易情況
攻擊活動傳播/規(guī)模
截至目前為止�,思科Talos觀察到超過10萬封電子郵件與這些新Jaff攻擊活動有關(guān)。相對于一種新攻擊而言����,這種通過垃圾郵件傳播的勒索軟件規(guī)模可謂極其龐大��。它們與Necurs的緊密關(guān)系使得其垃圾郵件攻擊活動能夠在短期內(nèi)達到超大規(guī)模���。首輪垃圾郵件攻擊活動開始于2017年5月11日UTC時間上午8點��,包含約35,768封電子郵件���,均帶有附件“nm.pdf”。在這一垃圾郵件攻擊活動中�����,思科Talos觀察到約184個獨特的樣本��。
思科Talos還觀察到第二輪攻擊活動于第二天開始�����,包含約72,798封電子郵件��。這一輪的攻擊活動開始于2017年5月12日UTC上午9點�,傳播了約294個獨特樣本。該輪攻擊活動使用的附件文件名為“201705*.pdf”�,其作用與我們在首輪攻擊活動中觀察到的附件完全相同�����。
這是一種新的LOCKY攻擊嗎�����?
這兩輪攻擊活動使用了一些共同的特征來傳播Jaff���,其使用的C2流量模式與我們在Locky和Dridex等活動中已經(jīng)習以為常的模式相似。然而�����,我們相信這并非是Locky勒索軟件的一個新版本或改頭換面的版本���。兩種攻擊的代碼庫間的相似度非常低����,雖然曾使用Necurs傳播Locky的攻擊者與現(xiàn)在傳播Jaff的攻擊者可能是同一批人��,但該惡意軟件本身還是存在著明顯的區(qū)別�����,應(yīng)被區(qū)別看待,并劃分到不同的勒索軟件家族中���。
如果要將其視作一種“新的”Locky,原因可能包括其肆無忌憚的風格��、與Locky一樣橫空出世��、主要通過惡意垃圾電子郵件傳播����、以及利用惡意Word文檔等,但攻擊活動自身的特點不應(yīng)用于判斷惡意軟件是否相同���。這是一種新的勒索軟件���,攻擊者在代碼庫、基礎(chǔ)設(shè)施和規(guī)模方面都開展了大量的工作��。然而����,它不是Locky 2.0。它是另一種攻擊性非常強的向最終用戶推送勒索軟件產(chǎn)品的全新惡意軟件�,目前應(yīng)與Locky分開看待�。
我們注意到攻擊者已開始使用Necurs來通過多個大規(guī)模垃圾郵件活動的形式傳播Jaff��。我們將會繼續(xù)監(jiān)控此攻擊活動����,我們會對每一封電子郵件進行威脅分析,以確定這是一次曇花一現(xiàn)的攻擊�,還是這一勒索軟件家族將會繼續(xù)感染未得到可靠保護的組織。
IOCS
電子郵件主題
Copy_數(shù)字串
Document_數(shù)字串
Scan_數(shù)字串
PDF_數(shù)字串
File_數(shù)字串
Scanned Image
附件文件名:
nm.pdf
String of Digits.pdf(示例:20170511042179.pdf)
附件哈希值:
與這一攻擊活動相關(guān)的附件列表可以在此處找到��。
Word文檔哈希值:
與PDF內(nèi)嵌的Microsoft Word文檔相關(guān)的哈希值列表可以在此處找到��。
二進制哈希值:
03363f9f6938f430a58f3f417829aa3e98875703eb4c2ae12feccc07fff6ba47
C2服務(wù)器IP:
108.165.22[.]125
27.254.44[.]204
傳播域名:
與這些攻擊活動相關(guān)的傳播域名列表可以在此處找到��。
結(jié)論
這是全球掀起的新惡意軟件變種的又一示例����。這一攻擊現(xiàn)在很常見,它向我們揭示出為何此類攻擊對于犯罪分子極具吸引力���。其市場價值高達數(shù)百萬美元��,每個人都想從中分一杯羹�。Jaff通過基于Necurs的常見垃圾郵件機制進行傳播。然而����,它勒索的贖金非常高,此處的問題在于����,當贖金達到多高時�����,用戶就將不會付費����。未來,我們很可能會看到攻擊者不斷嘗試找到合理的價位����,以在確保能夠收到贖金的同時最大化利潤。
在當今的威脅環(huán)境中���,勒索軟件開始占據(jù)主流地位�,并被傳播到全球幾乎所有系統(tǒng)上���。隨著漏洞利用套件活動的大規(guī)模減少�����,它可能會繼續(xù)主要通過電子郵件傳播����,或在攻擊者嘗試通過Samsam等威脅進入網(wǎng)絡(luò)或系統(tǒng)時,通過次要載荷傳播�。
規(guī)避辦法
下方列出了客戶可以檢測并阻止此威脅的其他辦法。
高級惡意軟件防護(AMP)能夠有效避免執(zhí)行這些攻擊者使用的惡意軟件��。
CWS或WSA網(wǎng)絡(luò)掃描能夠阻止訪問惡意網(wǎng)站��,并發(fā)現(xiàn)這些攻擊中使用的惡意軟件�����。
Email Security可以阻止攻擊者在其攻擊活動中發(fā)送的惡意電子郵件����。
IPS和NGFW的網(wǎng)絡(luò)安全防護功能可以提供最新的簽名,用來檢測攻擊者發(fā)起的惡意網(wǎng)絡(luò)活動�。
AMP Threat Grid能夠幫助發(fā)現(xiàn)惡意軟件二進制文件,并在所有思科安全產(chǎn)品中建立防護措施�����。
Umbrella能夠阻止對與惡意活動相關(guān)的域名進行DNS解析。
思科Talos介紹
思科Talos團隊由業(yè)界領(lǐng)先的網(wǎng)絡(luò)安全專家組成�,他們分析評估黑客活動,入侵企圖�,惡意軟件以及漏洞的最新趨勢。包括ClamAV團隊和一些標準的安全工具書的作者中最知名的安全專家���,都是思科Talos的成員�����。這個團隊同時得到了Snort、ClamAV�����、Senderbase.org和Spamcop.net社區(qū)的龐大資源支持����,使得它成為網(wǎng)絡(luò)安全行業(yè)最大的安全研究團隊。也為思科的安全研究和安全產(chǎn)品服務(wù)提供了強大的后盾支持�。
