新型攻击接踵而来,思科Talos解析Jaff勒索软件

本文涉及的产品
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介:

感染流程

尽管每一个攻击活动的特定要素均有略微差异,包括使用不同的XOR密钥值等,但它们都具有一些共同的特性。试图传播此恶意软件的电子邮件攻击活动均具备标准的垃圾邮件特征。它们的主题行均使用“Copy_”或“Document_”作为开头,后面附带一串随机数字进行伪装,如“Copy_30396323”和“Document_3758”等。在我们监控这些攻击活动的同时,我们也注意到又出现了更多的攻击活动,每一个均采用了略微不同的主题。首轮攻击活动相关的电子邮件的正文没有任何内容,仅带有名为“nm.pdf”的附件。这一攻击活动的电子邮件示例如下。

正如我们在上面的屏幕快照中看到的,攻击者在生成与这些攻击活动相关的电子邮件时并未花费很大的心思。不久以后,我们注意到在后续的攻击活动中,电子邮件正文开始包含以下文本:

“Image data in PDF format has been attached to this email.(这一电子邮件的附件包含PDF格式的图像数据。)”

在所有情况中,附件文件都是一个恶意PDF文档,内嵌了Microsoft Word文档。当受害者打开PDF时,在PDF正文中将会显示一段内容,然后试图打开内嵌的Microsoft Word文档。

与我们在最近的Locky攻击活动中观察到的现象类似,当PDF试图打开内嵌的Microsoft Word文档时,系统会提示受害者批准这一操作。此处继续感染流程需要用户的交互,以逃过组织可能部署的自动检测机制。此时在用户批准之前,将不会发生恶意活动。在未配置模拟这一审批活动的沙盒环境中,感染可能永远不会发生,并可能会导致沙盒环境判定此文件为正常文件,偏离其恶意本质的事实,而这主要是因为感染未被触发。

该PDF附件包含以下Javascript,用于打开内嵌的Microsoft Word文档:

单击“OK(确定)”按钮会导致PDF打开恶意Microsoft Word文档,整个行为与我们在其他攻击活动中看到的行为基本类似。毫无意外的是,用户还将会被提示启用编辑,以查看Word文档的内容。需要指出的是,该恶意Microsoft Word文档包含两页,而不像大多数恶意Word文档一样只有一页。

图D:恶意Word文档示例

一旦恶意内容被启用,该Microsoft Word文档将会执行一个VBA宏,它的作用就是充当勒索软件下载程序,试图获取勒索软件二进制文件以感染系统。

该VBA宏包含多个下载域名,使用大写字母“V”隔开。这就给该恶意软件提供了多个机会来尝试从多个来源下载恶意载荷。

用于下载Jaff二进制文件的URL与我们在Locky攻击活动中观察到的URL非常类似。

以上下载的二进制blob之后会使用恶意Word文档中内嵌的XOR密钥进行XOR处理,我们在这一攻击活动中观察到多个XOR密钥。下面的屏幕快照是我们在VBA宏的Module3中发现的,其中XOR密钥为“d4fsO4RqQabyQePeXTaoQfwRCXbIuS9Q”

当这一XOR流程完成后,恶意软件将使用以下的命令行语法,使用Windows Command Processor启动实际的勒索软件PE32可执行程序:

勒索软件会重复对系统上存储的文件夹进行加密,这一特定勒索软件附加到每个文件的文件扩展名为“jaff”。它会在受害者的“My Documents(我的文档)”目录下写入一个名为ReadMe.txt的文件,其中包含了勒索声明。

它同时还会修改桌面背景,如下所示:

需要指出的有趣一点是,上面的说明并未指示用户使用Tor2Web等Tor代理服务,相反它指示用户安装整个Tor浏览器软件包,以访问赎金付费系统。样本和攻击活动中使用的Tor地址也似乎没有变化。访问赎金付费系统时,受害者将会看到以下信息,要求他们输入在被感染系统上的勒索声明中列出的解密ID。

在此网站中输入正确的ID值后,受害者将会看到完整的说明页,列出了攻击者要索取的赎金金额,以及具体的付费说明。

值得一提的是,赎金付费系统的外观与我们在Locky中看到的系统非常相似。在这一案例中,被索取的赎金金额为2.01117430个比特币,按当下价格计算相当于约3700美元,大幅高于其他勒索软件活动所索取的金额。通过查看赎金付费服务器指定的比特币钱包,我们确定这一钱包当前处于零成交状态。

攻击活动传播/规模

截至目前为止,思科Talos观察到超过10万封电子邮件与这些新Jaff攻击活动有关。相对于一种新攻击而言,这种通过垃圾邮件传播的勒索软件规模可谓极其庞大。它们与Necurs的紧密关系使得其垃圾邮件攻击活动能够在短期内达到超大规模。首轮垃圾邮件攻击活动开始于2017年5月11日UTC时间上午8点,包含约35,768封电子邮件,均带有附件“nm.pdf”。在这一垃圾邮件攻击活动中,思科Talos观察到约184个独特的样本。

思科Talos还观察到第二轮攻击活动于第二天开始,包含约72,798封电子邮件。这一轮的攻击活动开始于2017年5月12日UTC上午9点,传播了约294个独特样本。该轮攻击活动使用的附件文件名为“201705*.pdf”,其作用与我们在首轮攻击活动中观察到的附件完全相同。

这是一种新的LOCKY攻击吗?

这两轮攻击活动使用了一些共同的特征来传播Jaff,其使用的C2流量模式与我们在Locky和Dridex等活动中已经习以为常的模式相似。然而,我们相信这并非是Locky勒索软件的一个新版本或改头换面的版本。两种攻击的代码库间的相似度非常低,虽然曾使用Necurs传播Locky的攻击者与现在传播Jaff的攻击者可能是同一批人,但该恶意软件本身还是存在着明显的区别,应被区别看待,并划分到不同的勒索软件家族中。

如果要将其视作一种“新的”Locky,原因可能包括其肆无忌惮的风格、与Locky一样横空出世、主要通过恶意垃圾电子邮件传播、以及利用恶意Word文档等,但攻击活动自身的特点不应用于判断恶意软件是否相同。这是一种新的勒索软件,攻击者在代码库、基础设施和规模方面都开展了大量的工作。然而,它不是Locky 2.0。它是另一种攻击性非常强的向最终用户推送勒索软件产品的全新恶意软件,目前应与Locky分开看待。

我们注意到攻击者已开始使用Necurs来通过多个大规模垃圾邮件活动的形式传播Jaff。我们将会继续监控此攻击活动,我们会对每一封电子邮件进行威胁分析,以确定这是一次昙花一现的攻击,还是这一勒索软件家族将会继续感染未得到可靠保护的组织。

IOCS

电子邮件主题

Copy_数字串

Document_数字串

Scan_数字串

PDF_数字串

File_数字串

Scanned Image

附件文件名:

nm.pdf

String of Digits.pdf(示例:20170511042179.pdf)

附件哈希值:

与这一攻击活动相关的附件列表可以在此处找到。

Word文档哈希值:

与PDF内嵌的Microsoft Word文档相关的哈希值列表可以在此处找到。

二进制哈希值:

03363f9f6938f430a58f3f417829aa3e98875703eb4c2ae12feccc07fff6ba47

C2服务器IP:

108.165.22[.]125

27.254.44[.]204

传播域名:

与这些攻击活动相关的传播域名列表可以在此处找到。

结论

这是全球掀起的新恶意软件变种的又一示例。这一攻击现在很常见,它向我们揭示出为何此类攻击对于犯罪分子极具吸引力。其市场价值高达数百万美元,每个人都想从中分一杯羹。Jaff通过基于Necurs的常见垃圾邮件机制进行传播。然而,它勒索的赎金非常高,此处的问题在于,当赎金达到多高时,用户就将不会付费。未来,我们很可能会看到攻击者不断尝试找到合理的价位,以在确保能够收到赎金的同时最大化利润。

在当今的威胁环境中,勒索软件开始占据主流地位,并被传播到全球几乎所有系统上。随着漏洞利用套件活动的大规模减少,它可能会继续主要通过电子邮件传播,或在攻击者尝试通过Samsam等威胁进入网络或系统时,通过次要载荷传播。

规避办法

下方列出了客户可以检测并阻止此威胁的其他办法。

高级恶意软件防护(AMP)能够有效避免执行这些攻击者使用的恶意软件。

CWS或WSA网络扫描能够阻止访问恶意网站,并发现这些攻击中使用的恶意软件。

Email Security可以阻止攻击者在其攻击活动中发送的恶意电子邮件。

IPS和NGFW的网络安全防护功能可以提供最新的签名,用来检测攻击者发起的恶意网络活动。

AMP Threat Grid能够帮助发现恶意软件二进制文件,并在所有思科安全产品中建立防护措施。

Umbrella能够阻止对与恶意活动相关的域名进行DNS解析。

本文转自d1net(转载)

相关文章
|
8天前
|
网络协议 安全 网络安全
DNS放大攻击
【8月更文挑战第20天】
33 1
|
3月前
|
弹性计算 负载均衡 监控
防御DDoS攻击:策略与技术深度解析
【6月更文挑战第12天】本文深入探讨了防御DDoS攻击的策略和技术。DDoS攻击通过僵尸网络耗尽目标系统资源,特点是分布式、高流量和隐蔽性。防御策略包括监控预警、流量清洗、负载均衡、弹性伸缩及灾备恢复。技术手段涉及IP信誉系统、深度包检测、行为分析、流量镜像与回放及云防护服务。综合运用这些方法能有效提升抗DDoS攻击能力,保障网络安全。
|
4天前
|
监控 安全 iOS开发
|
18天前
|
SQL 安全 网络安全
【惊心动魄】揭秘网络暗黑势力!全面解析网站安全攻击手段及防御秘籍,助你构筑坚不可摧的数字堡垒!
【8月更文挑战第13天】随着互联网发展,网站成为信息和服务的关键渠道,但也面临黑客攻击的风险。本文介绍几种常见攻击及其防御方法:SQL注入可通过参数化查询预防;XSS攻击需对数据严格过滤和编码;CSRF攻击则需使用唯一令牌验证;文件上传漏洞应限制文件类型并验证;DDoS攻击可借助CDN和防火墙缓解。维护网站安全需持续监控和更新防护策略。
49 11
|
10天前
|
消息中间件 安全 RocketMQ
就软件研发问题之ACL 2.0接口不同的授权参数解析的问题如何解决
就软件研发问题之ACL 2.0接口不同的授权参数解析的问题如何解决
|
10天前
|
存储
就软件研发问题之ACL 2.0中授权参数解析的问题如何解决
就软件研发问题之ACL 2.0中授权参数解析的问题如何解决
|
2月前
|
安全 网络安全
安全----DDOS攻击解析,预防DDOS攻击的反击时ip封禁
安全----DDOS攻击解析,预防DDOS攻击的反击时ip封禁
|
3月前
|
存储 缓存 负载均衡
CC攻击解析与防御策略
CC攻击是DDoS的一种,利用代理服务器向目标发送大量合法请求,消耗服务器资源。识别特征包括命令行大量"SYN_RECEIVED"连接、IP批量异常连接和日志中异常访问模式。防御策略包括提升服务器性能、数据缓存优化、页面静态化、请求速率限制、IP访问限制及使用CDN。专业高防产品提供智能识别和响应,帮助企业构建全面防御体系。
298 2
|
4月前
|
JSON 监控 网络协议
局域网管理软件的DNS解析代码实践
本文介绍了如何使用Python实现DNS解析,通过示例代码展示了构建和解析DNS请求的过程。此外,还讨论了网络流量监控,利用psutil库获取网络接口的流量数据。最后,探讨了自动将监控数据提交到网站的方法,使用requests库将网络数据以JSON格式发送到指定网站。这些自动化工具提升了局域网管理效率和安全性。
474 1
|
26天前
|
存储 NoSQL Redis
redis 6源码解析之 object
redis 6源码解析之 object
49 6

热门文章

最新文章

推荐镜像

更多
下一篇
云函数