冒牌勒索病毒化身“数据提取机”,专偷军事机密文档

2019 年 9 月 12 日 宅客频道

宅客频道发现,最近,一种与 Ryuk 勒索病毒有着千丝万缕联系的新型恶意软件被人揪了出来。据悉,这种恶意软件胃口可不小,它盯上的都是各种金融、军事和执法机关的机密文档。当然,它与 Ryuk 还不太相同,因为 Ryuk 勒索病毒仅仅是将文档加密而后索要赎金,它可不会从被感染的电脑上盗取机密文档。

据 Bleeping Computer 美国时间 9 月 11 日报道,发现这种新型恶意软件的 MalwareHunterTeam 团队指出,该恶意软件由背后的攻击者全权控制,他们会引导其搜索敏感文档,窃取成功后就上传至指定的 FTP 站点。

为什么说这个病毒与 Ryuk 勒索病毒有着千丝万缕的联系?因为这个“数据提取机”的代码中留有许多 Ryuk 的影子。


嗅探机密文档

这种新恶意软件是如何盗取机密文档的?逆向工程与安全研究人员 Vitali Kremez 给我们解释了一番。

原来,在执行任务时,这个“数据提取机”会先对电脑上的文档进行递归扫描,寻找值得盗取的 Word 与 Excel 文档。

在搜寻文档时,如果它遇到任何符合标准的文件夹或文档,就会停下来对其进行检查。有用的话就照单全收,没用就继续寻找下一个目标,这样的手法与勒索病毒如出一辙。

如果你想知道哪些文件夹或文档的命名“最安全”(上了黑客的黑名单),可以参考下图中的清单。

除了这些上了黑名单,一看就没什么价值的文档,那些与 Ryuk 有关的文档(比如 RyukReadMe.txt 或带有 .RYK 后缀的文档)“数据提取机”也会自动绕着走。

▲Tu 1:“数据提取机”懒得看一眼的文档

如果文档不在黑名单上,“数据提取机”紧接着就会检查它是不是 .docx 或 .xlsx 文档。

▲Tu 2:“数据提取机”在搜索 .docx 和 .xlsx 文档

定位到 .docx 或 .xlsx 文档后,恶意软件会使用 libzip 的 zip_open 和 zip_trace 功能验证它们的目标是不是有效的 Word 或 Excel 文档。验证方法也不难,“数据提取机”只需对 word/document.xml 或 xl/worksheets/sheet(分别归属于 Word 和 Excel)进行检查和验证即可。

▲Tu3:验证 Word 文档

如果文档有效,“数据提取机”会再次将其放在内置的“天平”上称量,如果文档的名字中有那 77 个热词(如下图所示),马上就会被选中。

▲Tu 4:“数据提取机”最感兴趣的热词

从这些热词中我们就能得出一个结论,“数据提取机”要找的是与军事机密、银行信息、欺诈/犯罪调查文件和其它敏感信息相关的文档。

诡异而是,除了上面这些指向性非常明确的热词,“数据提取机”的词库居然还非常关照类似 Emma、Olivia、Noah、Logan 和 James 等人名,要知道这可是 2018 年美国最常用的婴儿名字,随便一抓就一大把。

一旦引起了“数据提取机”的注意,文档就会通过 FTP 被上传到 66.42.76.46/files_server/a8-5 服务器(如下图)。

▲Tu 5:被盗的文档会上传到 FTB 服务器

扫描了计算机后,恶意软件还会从 ARP 表中拿到一个 IP 地址清单。借助该清单,它会开始下一轮嗅探,以寻找新的“猎物”。

▲Tu 6:提取 ARP 表

宅客频道注意到,眼下,研究人员还没搞清楚该恶意软件是如何安装的,但专家们推断认为,在感染机器前“数据提取机”就已经动起来了。


与 Ryuk 勒索病毒之间的奇妙联系

上面我们说过,在搜索机密文档时“数据提取机”会故意跳过与 Ryuk 有关的部分。除此之外,它与 Ryuk 还共享了一部分代码。举例来说,“数据提取机”就有新建文档并用 .RYK 后缀为其命名的功能,但事实上它并没有用到这个文档加密的功能。

▲Tu 7:“数据提取机”居然还有类似 Ryuk 的功能

除此之外,“数据提取机”还会检查文档名中是否有“Ahnlab”的字样(如下图)。

▲Tu 8:“数据提取机”会特别关照“Ahnlab”这个关键词

巧合的是,Ryuk 也会搜索带有该关键词的文档。

▲Tu 9:Ryuk 勒索病毒在搜索“Ahnlab”

显然,这两大病毒肯定有联系,只是我们不知道它们是否出自同一组织之手,或者说有人将 Ryuk 的代码用在了“数据提取机”中。也许那个手边有 Ryuk 代码的人只是玩了把复制粘贴呢。

当然,两者也有不同。Ryuk 的运行就没有任何依存性,而“数据提取机”需要许多 DLL 的支持。也就是说,“数据提取机”可能是被手动安装在电脑上的(或者是个带有全部组件的程序包)。

随着研究的深入,相信未来其安装过程会逐步大白于天下。

宅客频道编译自:  Bleeping Computer
https://www.bleepingcomputer.com/news/security/ryuk-related-malware-steals-confidential-military-financial-files/

-----招聘好基友的分割线-----

招聘岗位:

网络安全编辑(采编岗)

工作内容:

主要负责报道国内外网络安全相关热点新闻、会议、论坛、公司动向等;

采访国内外网络安全研究人员,撰写原创报道,输出领域的深度观点;

针对不同发布渠道,策划不同类型选题;

参与打理宅客频道微信公众号等。

岗位要求:

对网络安全有兴趣,有相关知识储备或从业经历更佳;

科技媒体1-2年从业经验;

有独立采编和撰写原创报道的能力;

加分项:网感好,擅长新媒体写作、90后、英语好、自带段子手属性……

你将获得的是:

与国内外网络安全领域顶尖安全大牛聊人生的机会;

国内出差可能不新鲜了,我们还可以硅谷轮岗、国外出差(+顺便玩耍);

你将体验各种前沿黑科技,掌握一手行业新闻、大小公司动向,甚至是黑客大大们的独家秘闻;

老司机编辑手把手带;

以及与你的能力相匹配的薪水。

坐标北京,简历投递至:liqin@leiphone.com

蓝字查看更多精彩内容


探索篇

  暗网【上】|  暗网【下

薅羊毛 | 黑客武器库威胁猎人

剁手赚钱 0Day攻击 | 暗黑女主播

踩雷 |嗑药坐牢重归正途 | 内鬼

脑内植入


真相篇

拼多多将追回“薅羊毛”订单,包括已充话费和Q币订单

75条笑死人的知乎神回复,用60行代码就爬完了

不剁手也吃土?可能是挖矿木马掏空你的钱包

游戏黑产:我还在空中跳伞,就被人用拳头远程打死

都8012年了,英国卫生部门居然还在为“擦屁股”

与病毒名称相似,“捏脸”游戏ZEPETO涉嫌窃听?

扎心!Tumblr推AI鉴黄计划夺老司机“珍爱”

我报了个税,隐私就被扒光了?

黑客骗局:Ins网红落难记


人物篇


专访:“蹲坑神器”与它背后男人们不得不说的故事

磨刀人王伟:我前期砸了两个亿做这套方案

白帽汇的赵武摘掉了他的“帽子”|专访

数字联盟刘晶晶:四年只做一个产品

长亭科技陈宇森:我打破的四个质疑

薛锋:我眼中的威胁情报三年之变

“无锁不开”女黑客——skye

知道创宇赵伟:怼死“空气币”

李均:我眼中的黑客精神

风宁:自由追风者

更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域,讲述黑客背后的故事。

长按下图二维码并识别关注


登录查看更多
0

相关内容

【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【MIT】Yufei Zhao《图论与加法组合学》,177页pdf
专知会员服务
49+阅读 · 2020年4月27日
计算机视觉用于新冠病毒COVID-19的控制综述,25页pdf
专知会员服务
52+阅读 · 2020年4月22日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
【干货书】流畅Python,766页pdf,中英文版
专知会员服务
224+阅读 · 2020年3月22日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
威胁情报驱动:F3EAD 之利用
计算机与网络安全
4+阅读 · 2018年12月28日
GDPR之风盛行,美、印、巴接连启动数据保护立法
百度公共政策研究院
4+阅读 · 2018年8月29日
已删除
AI科技评论
4+阅读 · 2018年8月12日
周末深夜,学妹说她想做Python数据分析师
机器学习算法与Python学习
4+阅读 · 2018年6月7日
33款可用来抓数据的开源爬虫软件工具 (推荐收藏)
数据科学浅谈
7+阅读 · 2017年7月29日
【宁波站】网络爬虫与文本挖掘
数萃大数据
5+阅读 · 2017年7月19日
Arxiv
11+阅读 · 2019年6月19日
VIP会员
相关VIP内容
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【MIT】Yufei Zhao《图论与加法组合学》,177页pdf
专知会员服务
49+阅读 · 2020年4月27日
计算机视觉用于新冠病毒COVID-19的控制综述,25页pdf
专知会员服务
52+阅读 · 2020年4月22日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
【干货书】流畅Python,766页pdf,中英文版
专知会员服务
224+阅读 · 2020年3月22日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
相关资讯
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
威胁情报驱动:F3EAD 之利用
计算机与网络安全
4+阅读 · 2018年12月28日
GDPR之风盛行,美、印、巴接连启动数据保护立法
百度公共政策研究院
4+阅读 · 2018年8月29日
已删除
AI科技评论
4+阅读 · 2018年8月12日
周末深夜,学妹说她想做Python数据分析师
机器学习算法与Python学习
4+阅读 · 2018年6月7日
33款可用来抓数据的开源爬虫软件工具 (推荐收藏)
数据科学浅谈
7+阅读 · 2017年7月29日
【宁波站】网络爬虫与文本挖掘
数萃大数据
5+阅读 · 2017年7月19日
Top
微信扫码咨询专知VIP会员