.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
趨勢科技研究人員日前發現了有關針對Windows系統的'Big Head'勒索程序,目前該惡意勒索程序已衍生出至少三種變體,其中一種是通過網絡釣魚方法傳播惡意網址,然後將'Big Head'勒索程序病毒擴散出去,並會偽裝成Windows Update的接口、或是假裝是Word安裝資訊,誘騙下載,安裝過程還有'進度條'讓人以為是官方程序。
本文會詳細介紹Big Head這個新勒索程序家族的技術細節。
關於Big Head的報導最早出現在5月,截止目前,該家族至少有三個變體被記錄在案。經過仔細檢查,我們發現這兩個變體在其勒索信中共享了一個共同的聯繫電子郵件,這使我們懷疑這兩種不同的變體來自同一個惡意程序開發人員。進一步研究這些變體,研究人員發現了該惡意程序的大量變體。接下來,我們將深入研究這些變體的例程,它們的異同,以及這些感染被濫用進行攻擊時的潛在危害影響。
接下來,我們將詳細介紹目前已發現的三個Big Head示例,以及它們各自的功能。分析發現,這三個Big Head勒索程序變體都是偽裝成虛假Windows更新和Word安裝程序傳播的。
變體1 
變體1的攻擊流程
“Big Head”勒索程序變體1(SHA256: 6d27c1b457a34ce9edfb4060d9e04eb44d021a7b03223ee72ca569c8c4215438,被趨勢科技檢測為Ransom.MSIL.EGOGEN.THEBBBC)包含一個.NET編譯的二進製文件。此二進製文件使用CreateMutex檢查互斥鎖名稱8bikfjjD4JpkkAqrz,如果找到了互斥鎖名稱,則自我終止。
調用CreateMutex函數
MTX值' 8bikfjjD4JpkkAqrz '
該示例還有一個配置列表,其中包含與安裝過程相關的詳細信息。它指定了各種操作,例如創建註冊表項、檢查文件是否存在並在必要時覆蓋它、設置系統文件屬性以及創建自動運行註冊表項。這些配置設置由管道符號“|”分隔,並附有相應的字符串,這些字符串定義了與每個操作相關聯的特定行為。
配置列表
該惡意程序在安裝時遵循的行為格式如下:
此外,我們注意到存在三個資源,其中包含類似於擴展名為“*.exe”的可執行文件的數據:
1.exe會釋放其自身的副本以進行傳播。這是一個勒索程序,在加密和附加“.pop”擴展名之前,它會檢查擴展名“.r3d”。 2.Archive.exe會釋放了一個名為teleratserver.exe的文件,這是一個Telegram木馬程序,負責與攻擊者的聊天機器人ID建立通信。
3.Xarch.exe會釋放了一個名為BXIuSsB.exe的文件,這是一個加密文件並將文件名編碼為Base64的勒索程序。它還顯示了一個虛假的Windows更新來欺騙受害者,使其認為惡意活動是一個合法的進程。
這些二進製文件是加密的,如果沒有適當的解密機制,它們的內容將無法訪問。
在主示例中找到了三個資源
位於資源部分(“1.exe”)中的一個文件的加密內容
為了從資源中提取三個二進製文件,惡意程序採用了帶有電子密碼本(ECB)模式的AES解密。這個解密過程需要一個初始化向量(IV)來進行正確的解密。
值得注意的是,所使用的解密密鑰是從互斥鎖8bikfjjD4JpkkAqrz的MD5哈希中派生出來的。這個互斥鎖是一個硬編碼的字符串值,其中它的MD5哈希值用於解密三個二進製文件1.exe、archive.exe和Xarch.exe。需要注意的是,每個變體的MTX值和加密資源不同。
研究人員通過專門利用變體名稱的MD5哈希來手動解密每個二進製文件中的內容。完成此步驟後,我們繼續使用AES模式來解密加密的資源文件。
用於解密三個二進製文件(頂部)和來自父文件的解密二進製文件(底部)的代碼
下表顯示了使用MTX值8bikfjjD4JpkkAqrz解密的惡意程序釋放的二進製文件的詳細信息。這三個二進製文件在代碼結構和二進製文件提取方面與父變體有相似之處:
解密並提取的三個二進製文件
1.exe(左)、teleratserver.exe(中)和BXIuSsB.exe(右)
二進製文件本節詳細介紹了從上一個表中標識的已釋放的二進製文件,以及父示例釋放的第一個二進製文件1.exe。
最初,該文件將通過使用帶有SW_hide(0)的WinAPI ShowWindow來隱藏控制台窗口。該惡意程序將創建一個自動運行註冊表項,使其能夠在系統啟動時自動執行。此外,它將製作自己的副本,並將其保存為本地計算機中
ShowWindow API代碼隱藏當前進程的窗口(頂部)和註冊表項的創建,並將其本身的副本作為“discord.exe”(底部)釋放
Big Head勒索程序在%appdata%\ID中檢查受害者的ID。如果ID存在,勒索程序會驗證ID並讀取內容。否則,它將創建一個隨機生成的40個字符字符串,並將其寫入文件%appdata%\ID,作為一種攻擊標記,以識別其受害者。
觀察到的行為表明,擴展名為“.r3d”的文件是使用AES加密的特定目標,其密鑰源自加密塊鏈接(CBC)模式下的“123”的SHA256哈希。因此,加密的文件最終會附加“.popup”擴展名。
惡意程序在加密和附加”.poop”擴展名之前檢查包含“.r3d”的擴展名(頂部),以及當文件擴展名“.r3d”存在時的文件加密過程(底部)
在這個文件中,我們還觀察到勒索程序是如何刪除其卷影副本的。用於刪除卷影副本和備份的命令,也用於禁用恢復選項,如下所示:
它將贖金通知放在桌面、子目錄和%appdata%文件夾上。 Big Head勒索程序還更改了受害者機器的壁紙。
“1.exe”二進製文件的勒索信
受害者計算機上的壁紙
最後,它將執行打開瀏覽器的命令,並訪問惡意程序開發人員的Telegram帳戶hxxps[:]//t[.]me/[REDACTED]_69。分析顯示,除了重定向之外,沒有與該帳戶交換任何特定的操作或通信。
Teleratserver是一個64位python編譯的二進製文件,它通過Telegram充當攻擊者和受害者之間的通信通道。它接受命令“開始”、“幫助”、“屏幕截圖”和“消息”。
從二進製文件反編譯的Python腳本
惡意程序顯示了一個虛假的Windows Update UI,以欺騙受害者,使其認為惡意活動是合法的程序更新過程,其進度百分比以100秒為增量。
負責虛假更新的代碼(左)和向用戶顯示的虛假更新(右)
如果用戶的系統語言與俄羅斯、白俄羅斯、烏克蘭、哈薩克、吉爾吉斯、亞美尼亞、格魯吉亞、韃靼和烏茲別克國家代碼匹配,惡意程序就會自行終止。該惡意程序還禁用任務管理器,以防止用戶終止或調查其進程。
負責禁用任務管理器的“KillCtrlAltDelete”命令
該惡意程序將其副本放入其創建的隱藏文件夾
創建自動運行註冊表
該惡意程序還會隨機生成一個32個字符的密鑰,稍後將用於加密文件。然後,該密鑰將使用帶有硬編碼公鑰的RSA-2048進行加密。
然後,勒索程序會釋放包含加密密鑰的勒索信。
勒索信
惡意程序會避開包含以下子字符串的目錄:
WINDOWSorWindowsRECYCLERorRecyclerProgramFilesProgramFiles(x86)Recycle.BinorRECYCLE.BINTEMPorTempAPPDATAorAppDataProgramDataMicrosoftBurn通過將這些目錄排除在其惡意活動之外,可以降低被檢測到的可能性,並增加了在更長時間內持續運行的機會。以下是Big Head勒索程序加密的擴展名:
該惡意程序還會終止以下進程:
惡意程序使用Base64重命名加密文件。我們觀察到惡意程序使用LockFile功能,該功能通過重命名文件並添加標記來加密文件。此標記用作確定文件是否已加密的標識。通過進一步檢查,研究人員看到了在加密文件中檢查標記的功能。解密後,可以在加密文件的末尾匹配標記。
LockFile函數
檢查標記“###”(頂部)並在加密文件的末尾找到標記(底部)
惡意程序針對以下語言和當前用戶操作系統的區域或本地設置,如下所示:
勒索程序檢查磁盤枚舉註冊表中的VBOX、Virtual或VMware等字符串,以確定係統是否在虛擬環境中運行。它還掃描包含以下子字符串的進程:VBox、prl_(parallel的桌面)、srvc.exe、vmtoolsd。
正在檢查虛擬機標識符(頂部)和進程(底部)
惡意程序識別與虛擬化程序相關的特定進程名,以確定係統是否在虛擬化環境中運行,從而允許它相應地調整其操作,以成功攻擊目標或逃避。它也可以繼續刪除恢復備份可用,使用以下命令行:
刪除備份後,不管可用的備份數量是多少,它都將使用SelfDelete()函數繼續自我刪除。此函數啟動批處理文件的執行,這將刪除惡意程序可執行文件和批處理文件。
SelfDelete函數
變體2研究人員觀察到的變體2
(SHA256: 2a36d1be9330a77f0bc0f7fdc0e903ddd99fcee0b9c93cb69d2f0773f0afd254,由趨勢科技檢測為Ransom.MSIL.EGOGEN.THEABBC)也表現出勒索程序和竊取行為。
Big Head勒索病毒第二變體的攻擊流程
主文件釋放並執行以下文件:
%TEMP%\runyes.Crypter.bat%AppData%\Roaming\azz1.exe%AppData%\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\Server.exe勒索程序活動由runyes.Crypter.bat和azz1.exe執行,而Server.exe負責收集信息執行竊取。
文件runyes.Crypter.bat會釋放其自身和Cipher.psm1,然後執行以下命令以開始加密:
該惡意程序使用AES算法對文件進行加密,並在加密的文件中添加後綴“.popup69news@[REDACTED]”。它專門針對具有以下擴展名的文件:
文件azz1.exe也參與了其他勒索程序活動。
Big Head勒索程序變體2的勒索信
和第一個變體一樣,第二個變體也更改了受害者的桌面壁紙。之後,它將使用系統的默認web瀏覽器打開URL hxxps[:]//github[.]com/[REDACTED]_69。截至本文撰寫之時,URL已不可用。
該勒索程序的其他變體也使用了滴管azz1.exe,儘管每個二進製文件的具體文件可能不同。同時,Server.exe已經被確定為WorldWind的竊取程序,收集了以下數據:
所有可用瀏覽器的瀏覽歷史記錄;
目錄列表;
驅動程序副本;
正在運行的進程列表;
產品密鑰;
網絡;
運行文件後的屏幕截圖;
變體3變體3(SHA256: 25294727f7fa59c49ef0181c2c8929474ae38a47b350f7417513f1bacf8939ff, Trend檢測為Ransom.MSIL.EGOGEN.YXDEL)包含一個被識別為Neshta文件攻擊流程。
變體3的攻擊流程
Neshta是一種旨在感染並將其惡意代碼插入可執行文件的惡意程序。該惡意程序還會釋放一個名為directx.sys的文件,其中包含上次執行的受感染文件的完整路徑名。這種行為在大多數類型的惡意程序中並不常見,因為它們通常不會在釋放的文件中存儲此類特定信息。
將Neshta納入勒索軟件部署也可以作為最終Big Head勒索軟件有效負載的偽裝技術。這項技術可以使惡意軟件看起來像是一種不同