CERBER集結Windows Script 檔案進行惡意散佈

2016-6-30

 

近期我們追蹤到一項新奇的電子郵件活動,郵件中會夾帶含有Windows Script 的ZIP檔案。只要一執行檔案,就會觸發下載CERBER加密勒索軟體的Windows Script。以往CERBER都是以弱點攻擊套件的型式,結合郵件發送夾帶Word巨集檔案來進行散佈。所以這是頭一次見到,CERBER改採用Windows Script檔案進行惡意散佈的首發案例活動。

 

郵件引誘手法

以下為用於誘騙的電子郵件會假冒開立發票或出貨相關訊息來誤導使用者的案例畫面:

 

 

 

惡意攻擊者採用了兩種方式來試圖誘騙使用者下載惡意軟體。第一,就是郵件中的附檔;第二,是頁面底部的退訂資訊連結,同樣也是會導向到相似惡意軟體的下載位置。

 

惡意的Windows Script檔案

我們從郵件中取得ZIP檔案進行分析,在分析的過程中,我們發現這當中夾帶的檔案是十分少見的Windows Script:

 

 

Windows Script檔案是Windows所支援的執行檔格式,其中可能包含JScript或VBScript,以及也可能同時兩者都有。這些Script可被用來建立ActiveX物件來執行惡意活動,若您想了解更多關於Windows Script的檔案格式資訊,

請參閱以下Microsoft的官網說明:https://msdn.microsoft.com/library/15x4407c(v=VS.84).aspx

攻擊者嘗試利用內含Windows Script的ZIP檔案,結合「發票」與「帳單」等郵件主題和看似合法的退訂連結,來規避安全解決方案的分析檢測。

這項惡意的Windows Script當中,存有以下想要混淆視聽的JScript編碼:

 

 

經由樣本分析發現其中實際從連結位置hxxp://188.225.36.90/label.bro下載的竟然是CERBER加密勒索軟體。

 

CERBER配置 & 檔案加密

CERBER本身是一種存在高度自製化的加密勒索軟體,利用加密本機檔案來進行勒索行為。根據SenseCy發布的文章說明當中表示,CERBER正在俄羅斯地下論壇銷售網路勒索服務(RAAS)。RAAS可以減少非法活動被人追蹤源頭的可能性,也為原先的惡意軟體開發者創造了額外的收入。因此,使用CERBER的人,很可能是來自不同群體,並且運用不同的方式進行惡意傳播。例如,有些CERBER樣本是採用弱點攻擊套件的型式,有些是利用郵件進行散佈。

 

RC4 & RSA檔案加密

惡意軟體主要是採用RC4加密演算法來加密每個檔案,並且每個檔案都會搭配專屬的RC4加密金鑰。除此之外,CERBER還會在檔案的標頭新增資料,其中包含了RC4加密金鑰資訊,以及原始的檔案名稱和系統時間,而這個感染時產生的標頭新增,則是採用RSA公開金鑰加密技術,透過公開金鑰加密的相關資訊已存放到登錄機碼中。為了解密檔案,我們必須知道用來加密檔案標頭的RSA私鑰資訊來解密登錄機碼項目。從這當中我們就可以查看到關於檔案加密的RC4加密金鑰資訊。

 

惡意加密弱點

從CERBER所採用的加密架構,我們可以觀察出他在進行後端回傳時,並沒有使用檔案安全加密。所以在歷經CERBER的深入分析之後,我們有查探到部分可能有助於解密檔案的加密弱點。目前我們只和少數合作夥伴私下分享我們的研究發現,尚未有進一步公開的計劃。

 

防護機制

Forcepoint™透過TRITON®ACE保護客戶免於此類型的威脅攻擊,並在以下不同的攻擊分析階段發揮有效保護:

 

                                                                      攻擊殺傷鍊(Cyber Kill Chain)

 

第2階段(引誘)- 偵測並封鎖誘騙的電子郵件。
第3階段(重新導向)- 偵測並封鎖電子郵件中的惡意網址連結。
第5階段(植入)- 偵測並封鎖惡意的Windows Script檔案。

摘要總結

CERBER最新被發現其中之一的變種型態,在進行後端回傳時,竟然沒有使用檔案安全加密,這一點,是頗讓人莞爾一笑的地方。只不過,需要多加留意的是CERBER提供的RAAS服務,創造出許多可能分佈在不同位置,用不同方式在進行惡意傳播的行為,例如,除了利用弱點攻擊套件進行惡意下載之外,也會透過郵件進行散佈。各方的惡意分子在透過郵件散佈惡意軟體的同時,也不斷的精進改良技術手法,來規避安全解決方案的檢測分析。雖然,目前觀察到的受害人數偏低,而且大多都是在英國地區,只是難保日後不會有所改變。

所以最後還是要提醒大家,每當我們在開啟郵件的時候,一定要對其中的附件和連結保持警戒,不要輕易的隨意點擊。

入侵感染指標

以下為本惡意電子郵件活動的感染資訊。
Malicious Files

 

Malicious Sites

 

選擇Forcepoint™有效抵禦複雜的多階段攻擊,確保企業智慧財產的安全,勇敢面對充滿挑戰的資安新世界。

了解更多Forcepoint™產品列表及詳細功能說明,請洽Forcepoint專業代理 - 湛揚科技02-2735-3512,或參閱湛揚科技官網Forcepoint™專區。

原文出處:Cerber Actor Distributing Malware Over E-mail Via WSF Files