小心防範NELOCKER勒索軟體範本再進化

2016-08-26 已知惡意軟體Kovter、Miuref(又名Boaxxe)等系列的開發者,在過去數月間,一直都在鑽研關於Javascript-based的勒索軟體。最近,開發者已開始結合合法的指令工具,例如,利用7Zip和PHP入侵感染系統進行加密的運作方式。惡意軟體利用這些正常的合法工具,使它們成為有效且讓偵測變得十分棘手的威脅。我們稱這一勒索軟體為 - NELocker。 郵件引誘手法
開發者利用電子郵件派發他們的惡意軟體,最近是偽裝成快遞郵件來進行惡意活動。
附件當中的ZIP檔案中會含有一個惡意的Javascript (JS)檔案。當我們關閉Windows功能中的隱藏已知檔案類型的副檔名,就可以看到這個「.js」檔案的副檔名。 當這個檔案被點擊或以其他方式執行時,就會開始下載惡意軟體到機器上。這類的JS檔案一般都稱為「Nemucod」,主要用來進行惡意下載之用的JS downloader。 NEMUCOD JS DOWNLOADER
這項Nemucod JS檔案有進行過混淆處理,但一經解封裝之後就可以進行清楚的分析。JS downloader開發者設計的指令行為是要擷取2個EXE檔案並執行它們,其大多是命名為a1.exe和a2.exe。
這兩個檔案一般都是Kovter和Miuref系列的惡意軟體元件,但有時候開發者會將其變更或轉而下載其他的惡意程式元件。例如早先我們曾提過利用PGDownloader把機器變成殭屍電腦的案例。 NELOCKER TEMPLATE
自2016年3月,程式碼就開始加入了用於實現勒索軟體目的其他元件下載。加密檔案可使用不同的元件,就像最近我們看到用於加密的7Zip 和 PHP指令工具。
一但用戶遭到感染,這些JS檔案將會顯示相同的勒索範本訊息。NELocker其背後的Nemucod範本,可利用當中的任何程序(合法或其他方式)來進行檔案加密。 關於勒索範本訊息的範例,可參閱下列資訊。 7ZIP & PHP已被勒索軟體濫用
自2016年3月,程式碼就開始加入了用於實現勒索軟體目的其他元件下載。加密檔案可使用不同的元件,就像最近我們看到用於加密的7Zip 和 PHP指令工具。
以下為Nemucod / NELocker JS檔案下載利用7Zip指令工具進行驅動加密的相關資訊: 上述指令執行的「-p」參數,是利用7Zip工具為檔案建立隨機的加密密碼。7Zip所採用的是AES-256加密技術。之後密碼檔案副本會被傳送到和惡意下載來源相同的C&C伺服器。 近期這項變種的NELocker,也對PHP指令工具進行過相當程度的混淆處理,以讓一般人不易辨識。 經過反向分析之後,這個PHP檔案的內容就可以很容易理解。其是利用base64編碼為符合條件的檔案進行XOR加密。 Emsisosft Decrypter for Nemucod 能夠破解任何被這個方式加密檔案的金鑰。 防護機制
Forcepoint™透過TRITON®ACE保護客戶免於此類型的威脅攻擊,並在以下不同的攻擊分析階段發揮有效保護:
  • 第2階段(引誘)- 偵測和封鎖與此攻擊相關的惡意電子郵件。
  • 第5階段(植入)- 封鎖惡意軟體所進行的惡意網址下載。
摘要總結
勒索軟體的散布應用並沒有任何減緩的跡象。NELocker的出現更證明了勒索軟體,已正在濫用類似7Zip或PHP這類正常軟體所建立的易用性和有效性。而最一開始的郵件感染途徑是十分關鍵的環節,所以當我們在開啟郵件的時候,一定要對其中的附件和連結保持警戒,不要輕易的隨意點擊。
入侵感染指標
電子郵件附件資訊(2016年8月2日)
C&C伺服器(2016年8月2日)
以下為有可能受害的網站。
原文出處:https://blogs.forcepoint.com/security-labs/nelocker-javascript-ransomware-boilerplate