觀點

RansomExx 勒索病毒分析,新變種專門攻擊 Linux 伺服器

2021 / 01 / 22
編輯部
RansomExx 勒索病毒分析,新變種專門攻擊 Linux 伺服器
曾導致巴西最高法院慘暫停開庭、攻擊日本影像及光學大廠柯尼卡美能達(Konica Minolta)的RansomExx 勒索病毒,在 2020 年製造了多起知名攻擊事件,本文分析它所使用的技巧,包括:運用木馬化軟體來散播惡意檔案,以及又快又猛的攻擊方式。
 
RansomExx 勒索病毒在 2020 年製造了多起知名的攻擊事件,目前有跡象顯示它仍在持續發展當中,並且相當活躍。最新的報告顯示,它開發了新的變種來專門攻擊 Linux 伺服器,而這等於是將攻擊範圍拓展到 Windows 伺服器之外。

根據監測資料顯示,RansomExx 正在攻擊美國、加拿大和巴西的企業,並且持續發現 Linux 變種的活動足跡。

RansomExx 勒索病毒的背後是一個  SecureWorks 命名為「GOLD DUPONT」的駭客集團,該集團從 2018 年活躍至今。根據其最新的攻擊顯示,該集團入侵企業的手法相當迅速有效。他們會使用 Vatet、PyXie、Trickbot 和 RansomExx 等惡意程式,以及像 Cobalt Strike 這類駭客工具,都是該集團常用的攻擊武器。
 

調查過程:從一封有密碼保護的 ZIP 文件檔案開始

此攻擊本首先利用 IcedID 惡意程式來入侵企業,成功之後再使用 Vatet 來載入 Pyxie 和 Cobalt Strike。經由這整套工具,駭客約只需五小時的時間就能完成整個入侵到植入勒索病毒的程序。

此勒索病毒之所以值得注意,是因為它運用了 2020 年勒索病毒攻擊常見的技巧,包括運用木馬化軟體來散播惡意檔案,以及又快又猛的攻擊方式。 
 
我們觀察到這起攻擊時,一開始是發現一封網路釣魚郵件,郵件內隨附一個密碼保護的 ZIP 檔案,裡面是一個含有惡意巨集的 Word 文件 (趨勢科技命名為  Trojan.W97M.SHATHAK.A)。它會顯示一個訊息來引誘使用者啟用巨集,文件內的巨集一旦啟用,就會試圖從某個惡意網址下載  IcedID 木馬程式 (趨勢科技命名為  TrojanSpy.Win32.ICEDID.BP)。如果下載成功,就使用 regsvr32.exe 來執行木馬程式。

Linux 變種: 專攻 VMware 環境

在交叉分析過更多 RansomExx 相關的攻擊之後,駭客使用了一個新的 Linux 版 RansomExx 變種來攻擊 Linux 伺服器。惡意程式是如何進入 Linux 伺服器尚未查明,但它被發現大體上是攻擊 VMware 環境,尤其是負責儲存 VMware 檔案的機器。利用趨勢科技的 Telfhash 工具歸納出三個 Linux 版的 RansomExx 變種,三個樣本都擁有相同的行為。趨勢科技從這三個當中挑出來分析的樣本是一個 64 位元 ELF 執行檔,內含一個開放原始碼加密程式庫「mbedtls」。此程式是一個多執行緒程式,一啟動就直接開始執行加密動作,沒有網路活動、沒有反制分析技巧、也沒有任何其他主要功能以外的活動。
 
RansomExx 除錯資訊。

此樣本執行之後,會開始呼叫一個名為「GeneratePreData」的函式來建立一個 256 位元 AES 金鑰,使用 Linux 內建函式以及 mbedtls 所產生的半隨機值 (pseudo-random value)。這個 AES 金鑰會再用一個寫死的 RSA-4096 公開金鑰來加密,加密後的結果會寫到一個全域變數。這個全域變數的內容會隨附到每個檔案的末端,以方便未來使用 AES 的 ECB 模式來執行檔案加密。
 
GeneratePreData 函式會在一個惡意程式建立的無限迴圈執行緒內一直跑,每 0.18 秒產生一次加密金鑰,該執行緒會一直執行到惡意程式結束為止。
 
惡意程式唯有在使用者在指令列指定了一個目錄作為參數時才會執行,加密準備工作從一個名為「list_dir」的函式開始,list_dir 函式所做的第一件事就是檢查指令列參數是否指定了一個目錄。如果有,就呼叫負責產生勒索訊息的函式。

資安建議

這起攻擊告訴我們,使用者應該只從信賴的來源下載檔案,以防止惡意檔案進入自己的系統。此外,也應該避免啟用巨集功能,而且要特別小心那些要求您啟用巨集的文件。
一般來說,實施更嚴格的資安措施有助於預防勒索病毒和其他威脅對系統造成危害,例如採取最低授權原則,以及確保系統隨時保持更新。至於一些已經無法更新的老舊系統,可以採用所謂的虛擬修補解決方案來防範漏洞攻擊。



本文轉載自資安趨勢部落格。