逃避沙箱并滥用WMI：新型勒索软件PyLocky分析

2018 年 10 月 21 日 FreeBuf

毫无疑问，在目前的网络威胁领域中，勒索软件仍然扮演着十分重要的角色。实际上，在2018年上半年勒索软件的活动还有所增加，并且相关勒索软件还通过各种升级更新来尝试避开现有的安全解决方案，比如说PyLocky（趋势科技将其标记为RANSOM_PYLOCKY.A）就是一个很好的例子。

在7月下旬和整个8月份，研究人员发现了一个通过垃圾邮件来传播PyLocky勒索软件的攻击活动。虽然PyLocky的勒索信息风格跟Locky非常相似，但是PyLocky跟Locky并没有什么关系。PyLocky采用Python编写，并采用PyInstaller封装。实际上，采用Python来开发的勒索软件并不是什么新鲜事了，比如说2016年的CryPy（RANSOM_CRYPY.A），和2017年的Pyl33t (RANSOM_CRYPPYT.A)，但是PyLocky具备了反机器学习的能力，这也是它的“闪光点”之一。它同时使用了Inno Setup Installer（一款基于开源脚本的安装器）和PyInstaller，因此这样会增加静态分析方法的检测难度，其中就包括了基于机器学习的解决方案。

需要注意的是，PyLocky的传播地区也比较集中，我们发现该活动主要针对的是欧洲地区的用户，尤其是法国。

感染链

8月2日，我们检测到了一波针对法国企业的PyLocky攻击活动，该活动中攻击者主要通过以发票为主题的垃圾邮件来引诱目标用户感染勒索软件。在电子邮件中，攻击者使用了社会工程学技术来诱使用户点击恶意链接，而恶意链接会将用户重定向到包含了PyLocky勒索软件的恶意URL。

恶意URL指向的是一个包含了已签名可执行文件(Facture_23100.31.07.2018.exe)的ZIP文件(Facture_23100.31.07.2018.zip)。成功运行之后，Facture_23100.31.07.2018.exe会让目标主机感染恶意组件（一些C++文件、Python库和Python 2.7核心动态链接库DLL），以及主要的勒索程序（lockyfud.exe，通过PyInstaller创建，存放目录为C:\Users{user}\AppData\Local\Temp\is-{random}.tmp）。

PyLocky能够加密图片、视频、文档、音频、程序、游戏、数据库文件和压缩文档等等。下面给出的是PyLocky可加密的文件类型：

加密程序

PyLocky支持加密的文件类型是硬编码在配置文件中的，并且利用了Windows管理规范(WMI)来收集受感染设备的系统信息。如果受感染系统的可见内存大小小于4GB的话，PyLocky还可以通过休眠999999秒（11.5天）来躲避沙盒环境。如果内存大小大于或等于4GB的话，PyLocky将会直接执行文件加密程序。

加密完成之后，PyLocky将会与远程命令控制服务器建立通信连接。PyLocky使用PyCrypto库来实现加密，这里利用的是3DES加密算法。PyLocky首先会枚举逻辑驱动器，并在调用‘efile’方法之前生成一份文件列表，而这个方法会用已加密的文件内容覆盖原始的文件内容，然后发送勒索消息。

PyLocky的勒索信息采用了英语、法语、韩语和意大利语编写，这也表明韩国和意大利地区的用户可能也会受到影响。