freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

斩草除根,360终结首个“微信支付”勒索木马
2018-12-05 11:45:10
所属地 海外

“微信支付”勒索病毒传播始末

UNNAMED1989”微信支付”勒索病毒让不少用户过了一个不平静的周末,文件无法正常打开,重要数据被加密。在用户一筹莫展之际,360安全卫士迅速推出了解密工具,帮用户解决了数据被加密的难题。但病毒从何而来,以后又该如何预防呢?本文将对这个事件做一次全面分析,帮助用户一起应对此类勒索病毒威胁。

感染原理

分析感染原理之前,我们先从此次勒索病毒的传播源说起,在之前的报告中,我们已经提到,受感染机器多是由于使用了“辅助外挂”,由这些外挂携带的木马下载器造成的感染。那为什么会有这么多的外挂软件同时携带这款病毒呢?是这些外挂作者开发了这个木马下载器和勒索病毒么?带着这个疑问,我们深入分析发现,受影响的软件集中在易语言编写的程序上,更进一步分析显示,他们使用了同样的被感染的易语言库文件,造成编译发布的外挂辅助软件均被感染了本次的下载器木马。那这些被感染的库文件从何而来的呢,我们在网上找到了线索。

该带毒模块最初是经由一名用户发布到“精易论坛”的,以模块源码分享的名义传播恶意模块: 

12.png

而精易论坛的管理人员也发现了有人利用论坛传播木马,对相关事件进行了处理和说明:https://bbs.125.la/thread-14274716-1-1.html

345234.png

经分析,该代码模块中确实夹杂了“私货”。使用这个模块编译出来的程序,会向特定目录下释放恶意程序: 

465.png

其次,恶意模块还会访问两个指定的URL网址:

98562.png

而这两个URL网址,和我们之前分析的下载者木马所访问的网络配置文件地址相同,其内容是被黑客加密过的配置信息(内容现已被编辑): 

984562.png

8561320.png

在木马读取到上述配置信息后,会到本地解密成明文的配置内容。这其中,就含有一个名为JingYiMoKuai.ec的易语言库文件和一个名为“krnln_static_5.7.lib”的静态链接库文件。

下载器木马会查找系统中的“精易模块*.ec”、“JingYiMoKuai.ec”以及“krnln_static.lib”文件,并使用网上下载的这两个模块,替换本地对应的模块,污染这台计算机的开发环境:

4856.jpg

也就是说,恶意代码的扩散并不仅仅局限于木马自身的传播,还会通过污染开发环境,利用其他开发者进行二次传播,即:

1.原始攻击者A发布了隐藏有恶意功能的代码模块;

2.其他开发者B从论坛获取了上述模块,并加入到其开发环境中,这样B所开发的程序就同样带有了恶意功能;

3.如果B开发的一个工具被其它开发者使用,比如C,则开发者C可能会因为使用了这个开发工具也导致自己开发的软件被感染;

4.用户D使用C开发的软件时,也会遭到恶意代码的入侵。

如上所述,即便最终的用户D不知道原始攻击者A,也从没用过他的软件。但依然难逃被其间接攻击的命运。更形象的传播扩散流程图如下: 

8562.png

这类直接感染源代码或代码编译程序手法并非首次出现,2015年9月,就曾出现过震惊世界的iOS应用感染XCodeGhost病毒的事件。由于大量苹果开发者使用了被感染的XCode开发工具,导致众多iOS应用携带了恶意代码,盗取用户信息。这其中甚至包括了很多几乎所有人都会使用的一些“必备应用”,也均未能幸免。

5623.png

同样,就在上个月也发生过类似的案件——一款热门JavaScript库被黑客植入了恶意代码。而使用Copay的用户一旦访问含有该JS库文件的网页就有可能被窃取钱包中的比特币:

8456132.png

在追溯过程中我们发现,“微信支付”勒索病毒作者早在2017年就开始制作并传播恶意软件,在2018年4月已经开始尝试,在开发者论坛散布携带病毒的项目,下面是其今年攻击过程的一个时间轴,可以看出攻击者是做了大量准备的,经过长时间测试后才对外正式传播病毒。

受影响用户

我们统计了这次被感染的软件,目前共计整理出918款软件,这个数量还在进一步增加。其中绝大部分是辅助类软件,可以看出有大量辅助工具的开发环境中招,这也造成更多使用这些辅助工具的用户受到威胁。

下面是部分受影响的辅助工具的文件名截图:

85632.png

我们抽取了其中的一些关键词,可以据此看到被攻击群体的一些特点:

5632.png

完整的列表可以到此链接处下载:https://yunpan.360.cn/surl_yHyXqCqKtat

开发者和用户都可以检查一下,自己发布或者使用的软件是否在其中, 如果发现有自己使用过的软件,请尽快使用360安全卫士清除机器中隐藏的病毒木马!

主要危害

木马下载器

无论是恶意易语言代码模块,还是被感染的应用程序。都会进一步下载更多的恶意软件到受害用户机器中执行。其工作流程如下图: 

5421.png

在传播的最后阶段,木马母体会通过读取网络配置文件的形式获取包括MySQL、FTP、自身更新地址以及病毒分发列表等一系列信息: 

456132.png

这其中的downURL22字段所对应的地址,就是后续的“病毒木马大礼包”。

而在配置文件中所给出的FTP服务器中,我们看到了与前文中所写的Github中相同的配置文件:

56.png

其内容如下:

45132.png

同时,分析人员还在里面发现了部分木马源码,使用了与此木马相似的C&C服务器:

5486132..png

信息窃取/源码窃取

此外,同样在配置文件中给出的MySQL数据库目前已无法连接。我们目前无法获知其中的具体数据内容。但根据木马母体中的代码可以看出,该母体会与MySQL数据库保持通信,并获取其中的指令信息。在获取到指令后,会根据指令进行对应的操作,功能列表如下:

9486513.png

其中文件回传功能,很可能被用来窃取开发者的源代码。

勒索病毒

回到核心的“病毒木马大礼包”中来:这其中最主要的当然就是我们的主角“UNNAMED1989”勒索病毒了。其相关分析和具体危害本文不再重复,有兴趣可以移步我们之前发布的报告中《勒索病毒“UNNAMED1989”中招用户有解了!》

盗号木马

除了本次事件的主角之外,在“大礼包”中还包含了一款盗号木马。经过我们分析,该木马会试图窃取支付宝、京东、163邮箱、微博、百度网盘、QQ、天猫、阿里旺旺、酷狗、迅雷、百度云等的账号密码。

首先,该木马会初始化要窃取信息所需的字符串:

8954623.png

完成后,木马会遍历进程,找到AliIM.exe,AliWorkbench.exe,360chrome.exe等进程:

84653.png

一旦找到这些进程,会进一步查找其窗口,并通过GetGetWindowTextA获取窗口标题栏的内容:

841532.png

木马此时会将获取到的窗口标题与之前的字符串进行匹配,并发送到MySQL数据库中。此外,木马还专门针对支付宝的界面设计了定制化的盗号方案。该方案与我们熟知的QQ粘虫类似(我们就叫它“支付宝粘虫”好了)——会在出现支付宝支付界面时,创建一个编辑框贴在原本的支付宝支付密码输入框上面。这样一来,用户输入的支付密码实际上是输入到了木马创建的虚假支付框中。用户输入完密码,密码也就被发送到了黑客的手中:

41563.png

处置方法

对于开发者

360安全卫士已经可以对该木马带来的“易语言模块被感染”问题进行修复。有易语言开发环境并疑似被感染的开发者,可以使用360安全卫士进行扫描查杀。

415632.png

对于用户

如果已安装了360安全卫士的用户,只要确认360安全卫士实在正常运行的就不必担心。360安全卫士可正常拦截查杀该类木马。

4156322.jpg

如果未安装360安全卫士或之前将恶意程序添加信任中招的用户,可安装360安全卫士进行扫描查杀,彻底清除病毒。同时 “360解密大师”也已支持对该勒索病毒的解密:

615.jpg

预防方案

分析并复盘此次勒索病毒传播的始末,我们提出如下一些关键点需要大家格外留意:

1.软件开发人员更要留意计算机安全问题,因为软件源文件被感染,造成整个软件产品被植入恶意代码的事件时有发生,而受危害的往往是数量庞大的软件用户。软件开发者应该从正规渠道下载编译工具及开发环境相关文件,以免下载到被污染的开发文件,影响整个工程环境;

2.无论是开发者还是普通用户,都应安装安全软件并确保其正常运行,保护计算机安全;

3.作为普通用户,应该从正规渠道获取软件,同时做到不在安全软件退出的情况下使用来源不明的软件;

4.重要数据要及时备份。如果有条件,尽可能分开备份,以免备份数据与原始数据被同时加密或删除;

5.请相信安全软件的判断结果!切勿相信某些软件声称自己是被误报的论调。发现感染勒索病毒后,可以第一时间联系360互联网安全中心。

*本文作者:360安全卫士,转载请注明来自FreeBuf.COM

# 微信安全 # 勒索软件
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者