您当前的位置是:  首页 > 新闻 > 国内 >
 首页 > 新闻 > 国内 >

思科Talos发布免费解密工具、助勒索软件受害者恢复损失

2018-07-05 09:17:37   作者:   来源:CTI论坛   评论:0  点击:


  最近几个月,勒索软件变体 Thanatos 发起了多次恶意软件攻击活动,肆意传播。为此,思科 Talos 团队对该勒索软件进行了分析。作为研究成果,我们发布了一款新的免费解密工具,帮助受害者恢复这种恶意软件造成的损失。攻击者利用了多个版本的 Thanatos,这表明这种威胁在不断演变,威胁发起者在不断积极开发该勒索软件,目前已有多个版本在大肆传播。与常见的其他勒索软件不同,Thanatos 不要求使用比特币等单一加密货币支付赎金,而是支持以比特币现金 ( BCH )、大零币 ( ZEC )、以太坊 ( ETH ) 等多种形式支持赎金。
  此外,由于该勒索软件利用的加密过程中出现的问题,即使受害者支付赎金,恶意软件制作者也无法将数据返回给受害者。虽然以前的报道似乎表明这属于意外情况,但具体的攻击活动似乎证明,在某些情况下,攻击者是有意为之。为了应对这种威胁,Talos 团队发布了 ThanatosDecryptor ,这是一款免费解密工具,可利用 Thanatos 所使用的文件加密方法中的设计漏洞。如果受害者的数据感染了该勒索软件,受害者可使用此实用程序来重新获得数据的访问权限。
  技术详情
  Thanatos 的不断演进
  在跟踪和分析各种用于传播 Thanatos 勒索软件的攻击活动时,Talos 发现了此恶意软件的多个不同版本,这表明恶意软件制作者一直在积极开发这种恶意软件。攻击者使用勒索信通知受害者其已被感染并提供有关如何向攻击者支付赎金的说明,从勒索信中可以直接发现这些不同版本之间的主要差异。Thanatos 的版本 1 是在今年 2 月中旬分发的,采用非常原始的勒索信,以 README.txt 文件形式存储在受害者的桌面。
  在此版 Thanatos 中,勒索信只是通知用户其文件已被加密,并指示用户向指定的比特币钱包支付数额为 0.01 比特币 ( BTC ) 的赎金。Talos 团队分析发现,此版 Thanatos 的所有样本都使用相同的硬编码钱包地址,而不是在各个样本之间使用不同的钱包地址。支付似乎采用的是手动处理方式,并且以邮件为基础,这意味着,相比其他更广为人知的勒索软件系列( 比如Locky、Cerber等 ),攻击者的资源以及勒索软件创建和传播技术知识有限。
  版本 1 的传播被发现后不久,恶意软件传播活动便开始传播 Thanatos 版本 1.1,版本 1.1 的绝大多数传播活动发生于 2018 年 2 月到 4 月之间。此更新版本的 Thanatos 在攻击者用于接受赎金的加密货币类型方面与之前版本有几个显著差异。
  如上面的勒索信屏幕截图所示,Thanatos 版本 1.1 支持使用比特币、以太坊和比特币现金支付赎金。此外,该恶意软件现在指示受害者通过邮件将唯一计算机 ID 发送给攻击者。
  有趣的是,Talos 团队分析发现,各个样本之间对勒索信进行了多次更改。下面是此恶意软件使用的勒索信的又一个示例。请注意,攻击者已更改了用于与受害者通信的邮件地址。攻击者还声称可以处理用大零币支付的赎金,而不是使用其他勒索信中列出的其他加密货币。
  在调查攻击者用来使受害者感染并阻止受害者访问自己系统上的数据的传播机制时,我们发现了一种有趣的攻击活动,该活动表明至少在此特例中,攻击者没有打算向受害者提供任何类型的数据解密。该恶意软件似乎是通过 Discord 聊天平台,作为聊天消息附件发送给了受害者。Discord 是一种语音和文字聊天平台,允许两名或更多参与者直接通信。托管恶意软件附件的 URL 如下所示:
  hxxps://cdn[.]discordapp[.]com/attachments/230687913581477889/424941165339475968/fastleafdecay.exe
  此示例中使用的文件名是 “ fastleafdecay.exe ”,这可能表明,攻击者通过冒充电子游戏 Minecraft 中的同名 mod ,诱骗受害者执行了该恶意软件。在执行时,此样本向受害者显示以下勒索信:
  从上面的屏幕截图可以看出,恶意软件制作者没有提供任何支付赎金的说明,而是指出文件无法解密,这表明这个特例中攻击者的目标并不是为了谋取钱财,而是为了破坏受害者系统中的数据。有趣的是,Talos 团队分析发现,此样本的 PDB 路径完好无损而且与其他样本不同。在此示例中,PDB 路径如下:
  C:\Users\Artur\Desktop\csharp - js\косте пизда\Release\Thanatos.pdb
  大多数其他样本中,PDB 路径如下:
  D:\Work\Thanatos\Release\Thanatos.pdb
  Talos团队还发现一个以调试模式编译的样本,其中包含以下 PDB 路径:
  • D:\Работа\Локер шифровчик\Thanatos-master\Debug\Thanatos.pdb
  • Thanatos 运行和加密过程
  在受害者的系统上执行时,Thanatos 会将自身复制到它在 %APPDATA%/Roaming 中创建的子目录下。该子目录名称和可执行文件名称是根据系统正常运行时间随机生成的,并在每次恶意软件执行时都会更改
  Thanatos 以递归方式扫描当前用户配置文件中的以下目录,以识别要加密的文件:
  • Desktop
  • Documents
  • Downloads
  • Favorites
  • Music
  • OneDrive
  • Pictures
  • Videos
  虽然许多勒索软件系列都有支持加密的特定文件扩展名列表,但 Thanatos 支持对任何具有扩展名的文件进行加密。每当该恶意软件找到一个文件时,它都会调用GetTickCount,从而根据受感染系统运行的毫秒数来衍生出加密密钥。然后该恶意软件会使用高级加密标准 ( AES ) - 256 对文件进行加密,并丢弃加密密钥。由于丢弃了加密密钥,因此即使受害者支付了赎金,攻击者也无法提供对解密数据的访问权限。之后该恶意软件使用 .THANATOS 文件扩展名将加密文件写入文件系统,并删除原始文件。
  该恶意软件还会利用名为 iplogger 的外部网站。该网站提供自定义 URL,可用于跟踪有关访问 URL 的系统的信息。通过使用这些硬编码 URL 发出 HTTP GET 请求,攻击者可以获取有关已感染 Thanatos 的所有不同系统的信息。
  这些 HTTP GET 请求都是使用以下用户代理发出的:
  Mozilla/5.0 (Windows NT 6.1) Thanatos/1.1
  Talos团队观察到有以下 iplogger URL 被硬编码到我们所分析的各种 Thanatos 样本中:
  • hxxp://iplogger[.]com:80/1CUTM6
  • hxxp://iplogger[.]com:80/1t3i37
  与 Thanatos 关联的勒索信使用文件名 README.txt 保存到受感染用户的桌面。该勒索软件创建了一个注册表项,以便每次系统启动时,系统都会使用记事本应用显示勒索信。该注册表项位于以下路径下:
  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  除此之外,该恶意软件不会让可执行文件本身持久潜伏在受害者系统中。
  ThanatosDecryptor
  如前文所述,攻击者用于加密受害者系统中文件的加密密钥是根据系统最近一次启动后经过的毫秒数衍生而来的。此数值为 32 位,这意味着加密密钥实际上也是 32 位。此外,一个 32 位值中能存储的最大毫秒数大约相当于 49.7 天,比很多系统的平均正常运行时间都要长(由于需要安装补丁、重启系统和其他因素,系统偶尔会中断运行)。所以,从时间的角度来看,使用暴力破解方法来获得密钥值明显成本更低。
  此外,由于系统正常运行时间会写入到 Windows 事件日志中,大约每天一次,因此还可以据此优化解密方法。既然 Thanatos 不会在加密文件上修改文件创建日期,那我们就可以将密钥搜索范围进一步缩小至 24 小时内感染之前大约经过的毫秒数。在这类情况下,按照每秒可进行 10 万次暴力破解尝试计算(这是虚拟机测试所采用的基准),大约需要 14 分钟就可以成功恢复加密密钥。
  Talos 团队特此发布一种解密实用程序 ThanatosDecryptor,Thanatos 受害者可以利用该解密程序尝试重新获得对受感染系统上存储的数据和文件的访问权限。该解密程序在 1 和 1.1 版本的 Thanatos 勒索软件以及 Talos 团队目前检测到的所有已知 Thanatos 样本上进行了测试。
  注意:为了尽快解密文件,受害者应该在受感染的原始设备上,对该恶意软件创建的原始加密文件执行 ThanatosDecryptor。
  此解密程序目前支持解密以下类型的文件:
  • 图片:。gif、。tif、。tiff、。jpg、。jpeg、。png
  • 视频:。mpg、。mpeg、。mp4、。avi
  • 音频:。wav
  • 文档:。doc、。docx、。xls、。xlsx、。ppt、
  • pptx、。pdf、。odt、。ods、。odp、。rtf
  • 其他:。zip、。7z、。vmdk、。psd、。lnk
  首先,该解密程序会搜索与此勒索软件相同的目录,找到包含 .THANATOS 文件扩展名的文件。然后,对包含 .THANATOS 文件扩展名的文件,该解密程序会获取原始文件扩展名( 感染期间,原始文件扩展名保持不变 ),并将其与上述支持的文件类型列表进行比较。如果是支持的文件类型,该解密程序会将文件加入解密队列。
  ThanatosDecryptor 还可以解析 Windows 事件日志以获取正常运行时间消息,并且可以使用加密文件创建时间元数据来为解密确定起始值。然后,它会利用此值衍生出加密密钥,并且对文件内容执行 AES 解密运算。接着,它会将所得的字节与特定文件类型的已知有效文件头的值进行比较。如果不匹配,则意味着解密过程失败,ThanatosDecryptor 会将加密密钥的种子值递增,再重复上述过程。一旦成功,原始文件就会写入文件系统,从而恢复原始文件名。成功解密一个文件之后,ThanatosDecryptor 会将成功的解密尝试的种子值用作对其他文件执行解密尝试的起始值,因为这两个值可能很相似。
  要执行 ThanatosDecryptor,请点击页面最下方 “阅读原文” 获取更多的信息,然后执行释放目录下的 ThanatosDecryptor.exe。在该页面可以获取更多的信息和输出示例。
  对赎金情况(或未能收到赎金的情况)的分析
  正如前面提到的,在 Thanatos 的各种攻击活动和相关样本中,此威胁的幕后攻击者会更改其声称接受支付赎金的加密货币类型。通过分析各种加密货币钱包和相应的加密货币交易,我们发现了这些恶意软件攻击活动的规模及其所取得的成功,结果很有意思。在所有样本中,随恶意软件一起发送给受害者的勒索信中列明了以下加密货币钱包以及如何支付赎金的说明。
  比特币 ( $BTC ):
  1HVEZ1jZ7BWgBYPxqCVWtKja3a9hsNa9Eh
  1DRAsxW4cKAD1BCS9m2dutduHi3FKqQnZF
  以太坊 ( $ETH ):
  0x92420e4D96E5A2EbC617f1225E92cA82E24B03ef
  比特币现金 ( $BCH ):
  Qzuexhcqmkzcdazq6jjk69hkhgnme25c35s9tamz6f
  大零币 ( $ZEC ):
  t1JBenujX2WsYEZnzxSJDsQBzDquMCf8kbZ
  我们在分析比特币钱包时,发现攻击者从受害者那里一笔赎金都没收到。事实上,我们分析的所有样本中最经常列出的钱包(1HVEZ1jZ7BWgBYPxqCVWtKja3a9hsNa9Eh) 甚至都不是一个有效的比特币钱包。
  这意味着,即使受害者尝试使用比特币支付赎金,也无法完成支付。第二个钱包(1DRAsxW4cKAD1BCS9m2dutduHi3FKqQnZF) 也没有任何交易往来。
  同样,样本中列出的比特币现金钱包也从来没有任何交易。
  我们分析了 Thanatos 的一封相关勒索信中列出的大零币钱包,结果发现其中有几笔交易,但是此钱包中收到的大零币总金额只有 2.24767084 ZEC,大约相当于 450 美元。
  最后,攻击者使用的以太坊钱包也收到了几笔交易。但是,与网络威胁领域更成功的常见勒索软件攻击活动相比,该钱包中收到的以太坊币总金额也很低,只有 0.52087597 ETH,约合 270 美元。
  这说明,在我们所发现的所有真实样本中,攻击者的钱包总共只收到了 720 美元的赎金。如果这些钱包中收到的加密货币都是直接来自于受害者为 Thanatos 感染支付的赎金,则可以看出,与其他以谋取钱财为动机的网络犯罪活动相比,很明显此攻击并未获得可观的收入。
  结论
  如今,攻击者越来越频繁地将目标瞄准最终用户,意图谋取钱财或者破坏数据。本文所述的这个勒索软件证明,任何人都可以非常轻松地对用户发起攻击。他们无需掌握复杂的攻击技术,就可以制造灾难。此外,攻击者还可以获得源源不断的攻击媒介。例如,在此次攻击中,攻击者利用的是 Discord 聊天平台。因此,您必须重视安全问题,采取必要措施保护您的系统,这既包括个人系统,也包括业务系统。另外,由于很多此类攻击都是以用户作为突破口,因此您在打开未知来源的附件或点击未知链接时,必须保持谨慎。
  防护
  思科客户可通过其他方式检测并阻止此威胁,包括:
  高级恶意软件防护 ( AMP ) 解决方案,可以有效防止执行威胁发起者使用的恶意软件。
  思科云网络安全 ( CWS ) 或网络安全设备 ( WSA ),通过网络扫描防止访问恶意网站,并且可以检测这些攻击中所用的恶意软件。
  邮件安全设备,可以拦截威胁发起者在攻击活动中发出的恶意邮件。
  网络安全设备,例如下一代防火墙 ( NGFW )、下一代入侵防御系统 ( NGIPS )和 Meraki MX,可以检测与此威胁相关的恶意活动。
  AMP Threat Grid,可帮助识别恶意二进制文件,使所有思科安全产品都有内置保护措施。
  Umbrella,我们的安全互联网网关 ( SIG ),可阻止用户连接恶意域、IP 和 URL( 无论用户是否位于公司网络上 )。
  开源 Snort 用户规则集客户可以在 Snort.org 上下载出售的最新规则包,保持最新状态。
  YARA 签名
  Talos 团队还提供了以下 YARA 签名,可用于识别与 Thanatos 勒索软件系列相关的样本。
  rule Thanatos
  {
  strings:
  $s1 =  ".THANATOS\x00" ascii
  $s2 =  "\\Desktop\\README.txt" ascii
  $s3 =  "C:\\Windows\\System32\\notepad.exe C:\\Users\\" ascii
  $s4 =  "AppData\\Roaming" ascii
  $s5 =  "\\Desktop\x00" ascii
  $s6 =  "\\Favourites\x00" ascii
  $s7 =  "\\OneDrive\x00" ascii
  $s8 = "\\x00.exe\x00"  ascii
  $s9 = "/c taskkill /im" ascii
  $s10 =  "Software\\Microsoft\\Windows\\CurrentVersion\\Run" ascii
  condition:
  6 of  ($s1, $s2, $s3, $s4, $s5, $s6, $s7, $s8, $s9, $s10)
  }
  感染指标 (IOC)
  文件散列值 ( SHA256 )
  bad7b8d2086ac934c01d3d59af4d70450b0c08a24bc384ec61f40e25b7fbfeb5
  fe1eafb8e31a84c14ad5638d5fd15ab18505efe4f1becaa36eb0c1d75cd1d5a9
  8df0cb230eeb16ffa70c984ece6b7445a5e2287a55d24e72796e63d96fc5d401
  97d4145285c80d757229228d13897820d0dc79ab7aa3624f40310098c167ae7e
  55aa55229ea26121048b8c5f63a8b6921f134d425fba1eabd754281ca6466b70
  02b9e3f24c84fdb8ab67985400056e436b18e5f946549ef534a364dff4a84085
  241f67ece26c9e6047bb1a9fc60bf7c45a23ea1a2bb08a1617a385c71d008d79
  0bea985f6c0876f1c3f9967d96abd2a6c739de910e7d7025ae271981e9493204
  42748e1504f668977c0a0b6ac285b9f2935334c0400d0a1df91673c8e3761312
  URL
  hXXps://cdn[.]discordapp[.]com/attachments/230687913581477889/424941165339475968/fastleafdecay.exe
  hXXp://iplogger[.]com:80/1CUTM6
  hXXp://iplogger[.]com:80/1t3i37
  用户代理
  Mozilla/5.0 (Windows NT 6.1) Thanatos/1.1
  作者:Edmund Brumaghin、Earl Carter 和 Andrew Williams
  思科 Talos 简介
  思科 Talos 团队由业界领先的网络安全专家组成,他们分析评估黑客活动,入侵企图,恶意软件以及漏洞的最新趋势。包括 ClamAV 团队和一些标准的安全工具书的作者中最知名的安全专家,都是思科 Talos 的成员。这个团队同时得到了 Snort、ClamAV、Senderbase.org 和 Spamcop.net 社区的庞大资源支持,使得它成为网络安全行业最大的安全研究团队。也为思科的安全研究和安全产品服务提供了强大的后盾支持。
【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。

专题