宅客频道发现,最近,一种与 Ryuk 勒索病毒有着千丝万缕联系的新型恶意软件被人揪了出来。据悉,这种恶意软件胃口可不小,它盯上的都是各种金融、军事和执法机关的机密文档。当然,它与 Ryuk 还不太相同,因为 Ryuk 勒索病毒仅仅是将文档加密而后索要赎金,它可不会从被感染的电脑上盗取机密文档。
为什么说这个病毒与 Ryuk 勒索病毒有着千丝万缕的联系?因为这个“数据提取机”的代码中留有许多 Ryuk 的影子。
这种新恶意软件是如何盗取机密文档的?逆向工程与安全研究人员 Vitali Kremez 给我们解释了一番。
原来,在执行任务时,这个“数据提取机”会先对电脑上的文档进行递归扫描,寻找值得盗取的 Word 与 Excel 文档。
在搜寻文档时,如果它遇到任何符合标准的文件夹或文档,就会停下来对其进行检查。有用的话就照单全收,没用就继续寻找下一个目标,这样的手法与勒索病毒如出一辙。
如果你想知道哪些文件夹或文档的命名“最安全”(上了黑客的黑名单),可以参考下图中的清单。
除了这些上了黑名单,一看就没什么价值的文档,那些与 Ryuk 有关的文档(比如 RyukReadMe.txt 或带有 .RYK 后缀的文档)“数据提取机”也会自动绕着走。
▲Tu 1:“数据提取机”懒得看一眼的文档
如果文档不在黑名单上,“数据提取机”紧接着就会检查它是不是 .docx 或 .xlsx 文档。
▲Tu 2:“数据提取机”在搜索 .docx 和 .xlsx 文档
定位到 .docx 或 .xlsx 文档后,恶意软件会使用 libzip 的 zip_open 和 zip_trace 功能验证它们的目标是不是有效的 Word 或 Excel 文档。验证方法也不难,“数据提取机”只需对 word/document.xml 或 xl/worksheets/sheet(分别归属于 Word 和 Excel)进行检查和验证即可。
▲Tu3:验证 Word 文档
如果文档有效,“数据提取机”会再次将其放在内置的“天平”上称量,如果文档的名字中有那 77 个热词(如下图所示),马上就会被选中。
▲Tu 4:“数据提取机”最感兴趣的热词
从这些热词中我们就能得出一个结论,“数据提取机”要找的是与军事机密、银行信息、欺诈/犯罪调查文件和其它敏感信息相关的文档。
诡异而是,除了上面这些指向性非常明确的热词,“数据提取机”的词库居然还非常关照类似 Emma、Olivia、Noah、Logan 和 James 等人名,要知道这可是 2018 年美国最常用的婴儿名字,随便一抓就一大把。
一旦引起了“数据提取机”的注意,文档就会通过 FTP 被上传到 66.42.76.46/files_server/a8-5 服务器(如下图)。
▲Tu 5:被盗的文档会上传到 FTB 服务器
扫描了计算机后,恶意软件还会从 ARP 表中拿到一个 IP 地址清单。借助该清单,它会开始下一轮嗅探,以寻找新的“猎物”。
▲Tu 6:提取 ARP 表
宅客频道注意到,眼下,研究人员还没搞清楚该恶意软件是如何安装的,但专家们推断认为,在感染机器前“数据提取机”就已经动起来了。
上面我们说过,在搜索机密文档时“数据提取机”会故意跳过与 Ryuk 有关的部分。除此之外,它与 Ryuk 还共享了一部分代码。举例来说,“数据提取机”就有新建文档并用 .RYK 后缀为其命名的功能,但事实上它并没有用到这个文档加密的功能。
▲Tu 7:“数据提取机”居然还有类似 Ryuk 的功能
除此之外,“数据提取机”还会检查文档名中是否有“Ahnlab”的字样(如下图)。
▲Tu 8:“数据提取机”会特别关照“Ahnlab”这个关键词
巧合的是,Ryuk 也会搜索带有该关键词的文档。
▲Tu 9:Ryuk 勒索病毒在搜索“Ahnlab”
显然,这两大病毒肯定有联系,只是我们不知道它们是否出自同一组织之手,或者说有人将 Ryuk 的代码用在了“数据提取机”中。也许那个手边有 Ryuk 代码的人只是玩了把复制粘贴呢。
当然,两者也有不同。Ryuk 的运行就没有任何依存性,而“数据提取机”需要许多 DLL 的支持。也就是说,“数据提取机”可能是被手动安装在电脑上的(或者是个带有全部组件的程序包)。
随着研究的深入,相信未来其安装过程会逐步大白于天下。
-----招聘好基友的分割线-----
招聘岗位:
网络安全编辑(采编岗)
工作内容:
主要负责报道国内外网络安全相关热点新闻、会议、论坛、公司动向等;
采访国内外网络安全研究人员,撰写原创报道,输出领域的深度观点;
针对不同发布渠道,策划不同类型选题;
参与打理宅客频道微信公众号等。
岗位要求:
对网络安全有兴趣,有相关知识储备或从业经历更佳;
科技媒体1-2年从业经验;
有独立采编和撰写原创报道的能力;
加分项:网感好,擅长新媒体写作、90后、英语好、自带段子手属性……
你将获得的是:
与国内外网络安全领域顶尖安全大牛聊人生的机会;
国内出差可能不新鲜了,我们还可以硅谷轮岗、国外出差(+顺便玩耍);
你将体验各种前沿黑科技,掌握一手行业新闻、大小公司动向,甚至是黑客大大们的独家秘闻;
老司机编辑手把手带;
以及与你的能力相匹配的薪水。
坐标北京,简历投递至:liqin@leiphone.com
戳蓝字查看更多精彩内容 探索篇 ▼ 真相篇 ▼ 人物篇 ▼ 更多精彩正在整理中…… |
---
“喜欢就赶紧关注我们”
宅客『Letshome』
雷锋网旗下业界报道公众号。
专注先锋科技领域,讲述黑客背后的故事。
长按下图二维码并识别关注