新勒索軟體能感染三平臺：Windows，Linux和macOS，專攻企業生產伺服器

研究人員發現了一種新的PureLocker勒索軟體，它能夠在Windows，Linux和macOS中加密檔案。黑客們使用勒索軟體對企業網路的生產伺服器進行有針對性的攻擊。

針對Purelocker的程式碼重用分析顯示，通過程式碼重用分析，我們發現此威脅與“ more_eggs”後門惡意軟體密切相關，該惡意軟體由資深MaaS提供商在黑暗的網路上出售， 並已被Cobalt Gang，FIN6和其他威脅組使用，並已在暗網上出售。

PureLocker勒索軟體是用PureBasic程式語言編寫的，AV廠商很難為PureBasic二進位制檔案編寫簽名，並且可以在Windows，Linux和OS-X之間移植。

PureLocker勒索軟體目前主要針對Windows和Linux基礎設施，攻擊者使用更多逃避技術在類似在雷達下隱身飛行，讓全球防毒軟體在幾個月內未檢測到該勒索軟體。

PureLocker作為一種勒索軟體即服務分發，用於對企業伺服器的定向攻擊。

PureLocker樣品分析

分析的Windows示例是一個32位DLL，偽裝成一個名為Crypto ++的C ++加密庫：

在VirusTotal中檢視反病毒供應商的掃描結果時，我們發現該檔案基本上已經被檢測了三週以上，這對於惡意檔案而言非常罕見：

此外，當我們在多個沙箱環境中執行此檔案時，它沒有表現出任何惡意或可疑的行為。

但是，在Intezer Analyze中對檔案進行遺傳分析之後，我們得出了三個主要觀察結果：

PureLocker勒索軟體

與Windows相容的勒索軟體樣本構成了稱為Crypto ++的 C ++加密庫，研究人員對此  進行了更深入的分析，並分析了樣本並找到以下金鑰。

1.這裡沒有Crypto ++程式碼連線，這意味著該示例不是Crypto ++庫。

2.該檔案包含來自多個惡意軟體家族的重用程式碼，主要來自Cobalt Gang二進位制檔案。這意味著該檔案是惡意檔案，並且可能與Cobalt Gang有關。

3.該檔案中的大多數相關程式碼都是唯一的，表明它可能是新的或經過高度修改的惡意軟體。

該惡意軟體的程式碼首先檢查是否已按照攻擊者的意圖執行，並且沒有對其進行分析或除錯。如果這些檢查中的任何一個失敗，該惡意軟體將立即退出而不刪除自身，這很可能是一種反分析方法，不會引起懷疑。主要功能流程圖如下所示：

一旦惡意軟體執行了其有效負載，它便會自行刪除，並且使用反分析技術也永遠不會讓人懷疑。

根據Intezer的研究，在滿足惡意軟體執行的所有抗分析和完整性測試的情況下，它將使用硬編碼RSA金鑰，使用標準AES + RSA組合對受害者計算機上的檔案進行加密。

勒索軟體完成加密過程後，會為每個加密檔案新增“ .CR1 ”副檔名，並刪除原始檔案以防止恢復。

規避和反分析技術

對於勒索軟體而言，與眾不同的是，該惡意軟體通過手動載入“ ntdll.dll”的另一個副本並從那裡手動解析API地址來使用一種反鉤掛技術。這是惡意軟體企圖逃避ntdll功能的使用者模式掛鉤。儘管這是一個已知的技巧，但很少在勒索軟體中使用。

匯入本身被儲存為32位雜湊值，勒索軟體使用熟悉的“雜湊解決方法”來獲取函式地址。

還值得注意的是，該惡意軟體使用了ntdll.dll中的低階Windows API函式來實現其大部分功能（kernel32.dll和advapi32.dll除外），尤其是用於檔案操作。除了利用advapi32.dll  （RtlGenRandom）的SystemFunction036進行偽隨機數生成外，該惡意軟體還沒有使用Windows Crypto API函式，而是依賴於內建的purebasic加密庫來滿足其加密需求。

注意 加密和贖金

後來，Purelocker將贖金票據檔案拖放到使用者桌面上，該檔名為YOUR_FILES（。）txt。

PureLocker勒索軟體

勒索票據中不包含任何付款資訊，而是，攻擊者要求使用者通過電子郵件聯絡。為此，他們使用匿名和加密的Proton電子郵件服務。

Intezer說：“由於這是RaaS，因此我們認為此字串很可能是操作這些特定樣本的小組的識別符號。”

程式碼連線和來源

對遺傳分析結果的更深入研究發現，與鈷幫的程式碼重用連線與該組織在其攻擊鏈中使用的特定元件有關，Morphisec  在此將其描述為第3階段Dropper DLL。更具體地說，此元件是“ more_eggs”  JScript後門（也稱為“ SpicyOmelette” ）的載入器部分。

去年，QuoScient發現  ，Cobalt Gang一直在地下網路犯罪論壇上從惡意軟體即服務（MaaS）提供商那裡購買其惡意軟體套件。QuoScient還觀察到另外兩個威脅組在其操作中使用相同的MaaS套件，包括“ more_eggs”後門。

最近，IBM X-Force 發現了FIN6  （也稱為ITG08）的幾項活動，他們觀察到大量使用“ more_eggs”惡意軟體工具包的情況。

將PureLocker勒索軟體樣本與最近的more_eggs載入器樣本進行比較後發現，它們極有可能是同一作者建立的。相似之處顯而易見：

用PureBasic編寫的COM Server DLL元件

功能和程式碼方面的預載荷階段幾乎相同，具有相同的規避和反分析方法

相同的字串編碼和解碼方法

這些發現強烈表明，“ more_eggs”的MaaS提供商通過將“ more_eggs”載入器的有效負載從JScript後門修改為勒索軟體，為其產品新增了新的惡意軟體工具包。

儘管安全人員對惡意軟體的起源有很好的瞭解，但目前尚不清楚使用此勒索軟體進行有針對性的攻擊的“ CR1 ”組是MaaS提供商的先前客戶（例如Cobalt Gang和FIN6）還是新客戶。

結論

PureLocker是一種相當傳統的勒索軟體。它沒有試圖感染儘可能多的受害者，而是旨在隱藏其意圖和功能，除非以預定的方式執行。這種方法對於成功地將其用於定向攻擊的攻擊者非常有效，而幾個月以來一直未被發現。

有趣的是，安全人員在部落格中描述的規避和反分析功能的程式碼是直接從“ more_eggs”後門載入程式中複製的。這些重複功能中的某些功能使逃避自動分析系統的勒索軟體無法被發現。這提供了程式碼重用分析對惡意軟體檢測和分類的重要性的示例。它將以前使用的任何程式碼（甚至是用於有效規避和反分析的程式碼）的使用轉變為可靠的檢測指標。

現在，PureLocker勒索軟體已在Intezer的程式碼基因組資料庫中建立了索引，並且可以在Intezer Analyze中檢視其樣本的遺傳分析。

IOC

1fd15c358e2df47f5dde9ca2102c30d5e26d202642169d3b2491b89c9acc0788 

c592c52381d43a6604b3fc657c5dc6bee61aa288bfa37e8fc54140841267338d

參考

https://analyze.intezer.com/#/files/c592c52381d43a6604b3fc657c5dc6bee61aa288bfa37e8fc54140841267338d

https://www.intezer.com/blog-purelocker-ransomware-being-used-in-targeted-attacks-against-servers/

微信搜尋關注：紅數位，混跡安全圈，每日必看！