冒牌勒索病毒化身“數據提取機”:專偷軍事機密文檔

冒牌勒索病毒化身“數據提取機”:專偷軍事機密文檔

最近,一种与Ryuk勒索病毒有着千丝万缕联系的新型恶意软件被人揪了出来。据悉,这种恶意软件胃口可不小,它盯上的都是各种金融、軍事和执法机关的機密文档。vPC顯卡之家

当然,它与Ryuk还不太相同,因为Ryuk勒索病毒仅仅是将文档加密而后索要赎金,它可不会从被感染的电脑上盗取機密文档。vPC顯卡之家

据Bleeping Computer美国时间9月11日报道,发现这种新型恶意软件的Malware Hunter Team团队指出,该恶意软件由背后的攻击者全权控制,他们会引导其搜索敏感文档,窃取成功后就上传至指定的FTP站点。vPC顯卡之家

爲什麽說這個病毒與Ryuk勒索病毒有著千絲萬縷的聯系?因爲這個“數據提取機”的代碼中留有許多Ryuk的影子。vPC顯卡之家

嗅探機密文档vPC顯卡之家

这种新恶意软件是如何盗取機密文档的?逆向工程与安全研究人员Vitali Kremez给我们解释了一番。vPC顯卡之家

原來,在執行任務時,這個“數據提取機”會先對電腦上的文檔進行遞歸掃描,尋找值得盜取的Word與Excel文檔。vPC顯卡之家

在搜尋文檔時,如果它遇到任何符合標准的文件夾或文檔,就會停下來對其進行檢查。有用的話就照單全收,沒用就繼續尋找下一個目標,這樣的手法與勒索病毒如出一轍。vPC顯卡之家

如果你想知道哪些文件夾或文檔的命名“最安全”(上了黑客的黑名單),可以參考下圖中的清單。vPC顯卡之家

除了這些上了黑名單,一看就沒什麽價值的文檔,那些與Ryuk有關的文檔(比如RyukReadMe.txt或帶有.RYK後綴的文檔)“數據提取機”也會自動繞著走。vPC顯卡之家

冒牌勒索病毒化身“數據提取機”:專偷軍事機密文檔vPC顯卡之家
Tu1:“數據提取機”懶得看一眼的文檔vPC顯卡之家

如果文檔不在黑名單上,“數據提取機”緊接著就會檢查它是不是.docx或 .xlsx 文檔。vPC顯卡之家

冒牌勒索病毒化身“數據提取機”:專偷軍事機密文檔vPC顯卡之家
Tu2:“數據提取機”在搜索.docx和 .xlsx 文檔vPC顯卡之家

定位到.docx或 .xlsx 文檔後,惡意軟件會使用libzip的zip_open和 zip_trace功能驗證它們的目標是不是有效的Word或Excel文檔。vPC顯卡之家

驗證方法也不難,“數據提取機”只需對word/document.xml 或xl/worksheets/sheet(分別歸屬于Word和Excel)進行檢查和驗證即可。vPC顯卡之家

冒牌勒索病毒化身“數據提取機”:專偷軍事機密文檔vPC顯卡之家
Tu3:驗證Word文檔vPC顯卡之家

如果文檔有效,“數據提取機”會再次將其放在內置的“天平”上稱量,如果文檔的名字中有那77個熱詞(如下圖所示),馬上就會被選中。vPC顯卡之家

冒牌勒索病毒化身“數據提取機”:專偷軍事機密文檔vPC顯卡之家
Tu4:“數據提取機”最感興趣的熱詞vPC顯卡之家

從這些熱詞中我們就能得出一個結論,“数据提取机”要找的是与軍事機密、银行信息、欺诈/犯罪调查文件和其它敏感信息相关的文档。vPC顯卡之家

詭異而是,除了上面這些指向性非常明確的熱詞,“數據提取機”的詞庫居然還非常關照類似Emma、Olivia、Noah、Logan和James等人名,要知道這可是2018年美國最常用的嬰兒名字,隨便一抓就一大把。vPC顯卡之家

一旦引起了“數據提取機”的注意,文檔就會通過FTP被上傳到 66.42.76.46/files_server/a8-5 服務器(如下圖)。vPC顯卡之家

冒牌勒索病毒化身“數據提取機”:專偷軍事機密文檔vPC顯卡之家
Tu5:被盜的文檔會上傳到FTB服務器vPC顯卡之家

掃描了計算機後,惡意軟件還會從ARP表中拿到一個IP地址清單。借助該清單,它會開始下一輪嗅探,以尋找新的“獵物”。vPC顯卡之家

冒牌勒索病毒化身“數據提取機”:專偷軍事機密文檔vPC顯卡之家
Tu6:提取ARP表vPC顯卡之家

雷鋒網(公衆號:雷鋒網)注意到,眼下,研究人員還沒搞清楚該惡意軟件是如何安裝的,但專家們推斷認爲,在感染機器前“數據提取機”就已經動起來了。vPC顯卡之家

與Ryuk勒索病毒之間的奇妙聯系vPC顯卡之家

上面我们说过,在搜索機密文档时“数据提取机”会故意跳过与Ryuk有关的部分。除此之外,它与Ryuk还共享了一部分代码。vPC顯卡之家

舉例來說,“數據提取機”就有新建文檔並用.RYK 後綴爲其命名的功能,但事實上它並沒有用到這個文檔加密的功能。vPC顯卡之家

冒牌勒索病毒化身“數據提取機”:專偷軍事機密文檔vPC顯卡之家
Tu7:“數據提取機”居然還有類似Ryuk的功能vPC顯卡之家

除此之外,“數據提取機”還會檢查文檔名中是否有“Ahnlab”的字樣(如下圖)。vPC顯卡之家

冒牌勒索病毒化身“數據提取機”:專偷軍事機密文檔vPC顯卡之家
Tu8:“數據提取機”會特別關照“Ahnlab”這個關鍵詞vPC顯卡之家

巧合的是,Ryuk也會搜索帶有該關鍵詞的文檔。vPC顯卡之家

冒牌勒索病毒化身“數據提取機”:專偷軍事機密文檔vPC顯卡之家
Tu9:Ryuk勒索病毒在搜索“Ahnlab”vPC顯卡之家

顯然,這兩大病毒肯定有聯系,只是我們不知道它們是否出自同一組織之手,或者說有人將Ryuk的代碼用在了“數據提取機”中。也許那個手邊有Ryuk代碼的人只是玩了把複制粘貼呢。vPC顯卡之家

當然,兩者也有不同。Ryuk的運行就沒有任何依存性,而“數據提取機”需要許多DLL的支持。vPC顯卡之家

也就是說,“數據提取機”可能是被手動安裝在電腦上的(或者是個帶有全部組件的程序包)。vPC顯卡之家

隨著研究的深入,相信未來其安裝過程會逐步大白于天下。冒牌勒索病毒化身“數據提取機”:專偷軍事機密文檔vPC顯卡之家

相關推薦