大家好，我是零日情報局。

本文首發於公眾號 零日情報局，微信ID：lingriqingbaoju

Paradise勒索病毒，至少從2017年流行到現在，近日研究人員再次捕捉到了它的新蹤跡。

據Lastline研究人員表示，Paradise勒索病毒最近以亞洲某組織為目標，疑為測試最新變種，該變種利用合法的Internet查詢檔案（IQY）繞過企業防禦系統。也就是時隔半年未見，Paradise勒索病毒又找到了新宿主藏身。

而新版Paradise勒索病毒的特別之處遠不止這一點，這就相當有趣了。下面，零日給大家介紹一下這個尚在“測試版”的Paradise勒索病毒變種。

特點1：合法的IQY檔案

以合法IQY檔案為保護殼，說實話零日看了這招，一方面覺得有點“鬼才”，另一方面也想看看，Paradise究竟是如何利用IQY檔案的？

這就要從IQY檔案本身說起了，IQY檔案是Microsoft Excel讀取的簡單文字檔案，可以從Internet下載資料，是可武器化的Microsoft Office檔案格式中不常見的那個。

為什麼說是“可武器化的檔案”？因為該公式可能會濫用系統程式，例如PowerShell、cmd、mshta或任何其他LoLBins（非現場二進位制檔案）。大家都知道，這是合法的Excel檔案型別，因此許多網路管理裝置不會阻止或過濾該檔案，於是，Paradise病毒的機會就來了。

簡單來說，IQY檔案為攻擊者提供了一種滲透網路的快捷方式，其利用過程如下：

先透過Necurs殭屍網路分發IQY附件，來傳播與Paradise勒索病毒繫結的程式，FlawedAmmyy 遠控木馬。

然後，接下來要做的是誘使使用者開啟惡意IQY附件，該附件會從攻擊者的C2伺服器中檢索惡意指令碼。

包含遠端惡意指令碼位置的惡意IQY附件

此惡意指令碼包含一個用於執行PowerShell命令的命令，該命令將下載並呼叫可執行檔案。

惡意指令碼

成功利用IQY檔案躲過防禦系統後，Paradise勒索病毒還利用了自動注入技術，直接將原始程式的記憶體替換為勒索病毒的執行程式碼。

特點2：特定的語言白名單

如下圖所示，在勒索病毒開始後、執行語言檢查之前，還包含一次動態程式碼解析過程，透過手動PEB遍歷動態地獲取了WinAPI。

PEB遍歷/ API解析

然後，我們就會發現Paradise勒索病毒的語言檢查功能。這個新變種會檢查機器的語言ID是俄語、哈薩克語、白俄羅斯語、烏克蘭語，還是塔塔爾語。

檢查特定語言

正如我們看到的那樣，如果目標語言是上述選項之一，則勒索病毒會停止攻擊。

殺死程式

很好，在這裡我們不妨大膽推測，新版Paradise勒索病毒的真實攻擊者，就在藏那份語言白名單之中。

特點3：更難檢測的加密演算法

接下來，就是Paradise勒索病毒的攻擊加密過程。和大多數勒索病毒一樣，新變種加密函式在遍歷檔案系統的同時，也會注意避開可能破壞系統執行的檔案。

在這裡要強調的是，該病毒的隱匿特性不止藏在IQY檔案中一點，還有它所利用的Salsa20加密演算法。使用此演算法的好處很明顯，攻擊者可以將其實現到原始碼中，而不是呼叫系統函式。

檔案加密步驟

也就是說，使用Salsa20加密演算法可讓檢測加密例程更加困難。

可執行檔案加密之前/之後

加密後，我們看到，每個加密檔案的副檔名變為：“<檔名> _decryptor_ {unique_id} .tor”。

更改加密檔案的副檔名

然後，病毒會釋放標題為“ — ==％$$$ OPEN_ME_UP $$$ == —。txt ”的勒索資訊，並在加密例程完成後自動開啟。該贖金記錄要求受害者訪問一個線上聊天頁面，以接收有關如何解密檔案的說明。

勒索資訊

看到這裡，我們基本上弄清楚了Paradise勒索病毒新變種是怎麼回事了。

特點4：特殊的時間格式

按照勒索資訊指示，研究人員嘗試和勒索者溝通，聊天登入頁面如下。

勒索病毒聊天登入頁面

然後我們看到的是，一條自動訊息以及聊天室的相關規則。

勒索病毒聊天頁面

儘管攻擊者尚未在聊天中有所回覆，但是有一個細節值得大家注意，那就是聊天頁面的時間日期格式與許多歐洲國家/地區中使用的格式匹配。

我們重新審視該惡意病毒的靜態特徵，其編譯時間戳為“2019-12-08 18:42:38（UTC）”，在歐洲大約在晚上7:42左右落入。再結合上文的語言白名單來看，新變種的“出生地”不是俄羅斯，就是烏克蘭。

狡猾的“創新者”

新版病毒“強”在哪裡？看完上面串起整個攻擊過程的四個特性就知道了，那肯定是隱匿性和針對性更強。奇怪的是，研究人員只發現了該變種針對亞洲某一組織的攻擊活動，不過，如果把這次攻擊當做是一次新版本測試那就很好解釋了。

受攻擊組織提供IQY的SMTP流量

Paradise勒索病毒絕對稱得上是“老熟人”了，偏偏它還十分狡猾，總是在“攻擊-解密-新變種-再解密”的迴圈中不斷自我創新。

2018年7月，Paradise勒索病毒開始大規模入侵我國，加密除系統以及部分瀏覽器資料夾內部檔案以外的所有檔案，加密後生成“超長字尾+勒索宣告+定製使用者ID”三連套餐。

2019年3月，Paradise勒索病毒再度襲來，改頭換面以UPX加殼、借用了CrySiS家族的勒索資訊，程式碼結構也區別於早期版本。

2019年8月，最新Paradise變種病毒再次被截獲，將自身主體程式碼在記憶體中解密後執行，靠Flash漏洞傳播，專攻FlashPlayer版本較低的使用者。

2019年10月，Paradise勒索家族KimChinIm、Support兩大病毒變種接連湧現，與以往已知的Paradise病毒仍有較大差異，這裡就不一一細說了。

看看，這就是Paradise勒索病毒的狡猾之處：每一次變種都搭載不同的技術或演算法，與此前存在巨大差異。

千言萬語還是一句話，零日認為應警惕新一輪的Paradise勒索攻擊，並建議企業：

1.   趕緊對重要資料檔案進行非本地備份，時刻注意；

2.   千萬要及時修復漏洞、打補丁，升級登入口令並避免使用同一口令；

3.   警惕不明來源的郵件及網站，不要亂下載不明來源的附件檔案；

4.   一定要減少/關閉不必要的檔案共享許可權。  

零日反思

勒索病毒的逃避技術遠超我們想象，它們想盡辦法利用新方式或技術超越基本防禦措施，而大家對它們的瞭解卻並不廣泛。今天，我們瞭解了一種Paradise勒索病毒新變種，但這只是其龐大家族的冰山一角，勒索病毒更新迭代千變萬化，卻仍是網路安全的重要殺手。

零日情報局作品

微信公眾號：lingriqingbaoju

如需轉載，請後臺留言

歡迎分享朋友圈

參考資料：

lastline -《IQY files and Paradise Ransomware》