threatBook微步情报局
IOC 16

threatBookthreatBook

勒索软件
【微步在线报告】Hidden Tear以疫情为话题的勒索事件分析
微步情报局
2021-01-14 15:42:12ThreatBook2241
+ 关注

扫描文末二维码,并关注【微步在线研究响应中心】公众号。

公众号内回复关键词“HT”,可查看完整报告。

一、概述

近日,微步情报局在对一恶意样本进行分析时,对样本的C2地址进行关联分析发现该地址还接受到勒索软件的回传,通过对回传信息的格式进行关联,发现使用了一款名为”Hidden Tear”的勒索软件。

· 微步情报局发现某恶意样本会从域名dllhost.xyz下载后续脚本文件执行,

· 对域名dllhost.xyz进行关联分析,发现该域名有着一表示格式的回传请求,通过对回传信息的分析发现,是首款针对Windows的开源勒索软件,名为“Hidden Tear”

· 在近一年中,发生了多起使用该款勒索软件利用COVID-19的话题对受害者进行攻击。

· 勒索软件“Hidden Tear”使用AES加密,在本地生成AES密钥,并使用固定格式将密钥和主机信息回传到C2地址。

二、详情

近期,微步情报局捕获到一枚.LNK格式的恶意软件,在分析过程中发现该木马后续会调用Powershell继续从域名dllhost.xyz下载后续.js文件,而.js文件会尝试向另一域名dlldns.xyz发起请求进行下一步操作。

图片1.png

图1. lnk执行的代码

图片2.png

图2. js中的后续地址

通过对样本相关域名(dllhost.xyz、dlldns.xyz)的关联分析发现,域名中还含有另一使用.pdf图标的恶意文件,且在回传信息时会使用固定格式:

图片3.png

图3. 回传信息的请求

“write.php?Computername=XXXUsername=XXXPassword=XXXallow=ransom”

通过对格式的分析,确定了一款名为” Hidden Tear” 的开源勒索软件。

图片4.png

图4. X社区中关于域名情报

Hidden Tears是第一个针对Microsoft Windows的开源勒索软件,由土耳其安全研究员Utku Sen于2015年首次上传到GitHub,目前原始仓库的代码已被删除,但在删除前已被fork了490次,在其他用户的仓库中依然可以找到原始的代码。

图片5.png

图5. Hidden Tear页面

关联发现,近一年来,发生了多起使用基于该勒索软件的修改版本利用COVID-19的话题对受害者发起攻击的事件,例如:3月,有攻击者向参与COVID-19研究的卫生组织与大学发送钓鱼邮件,邮件中包含勒索软件。5月,有攻击者注册仿冒官方域名,向意大利发送COVID-19疫情图的诱饵文件,加密受害者主机勒索比特币。

“Hidden Tear”勒索软件使用AES加密,获取用户的主机信息并由此生成密钥,并将用户的信息按照固定格式,和密钥一同发送到C2地址。不过值得注意的是,生成密钥的步骤在本地生成,并且在发往C2地址时并没有进行加密操作,这意味着在流量数据中可以直接找到密钥对文件进行解密。

图片6.png

图6. 回传信息的固定格式

三、相关事件

· 2020年3月,攻击者利用伪造的邮箱发件地址noreply@who.int(176.223.133.91)向参与COVID-19研究的加拿大卫生组织与大学发送电子邮件,电子邮件内包含了文件名为“20200323-sitrep-63-covid-19.doc”的RTF文件。

图片7.png

图 7. 诱饵文档,看起来并不是很想引诱用户

· 2020年5月,基于Hidden Tear的变种勒索软件FuckUnicorn利用COVID-19对意大利发起攻击,通过注册”意大利药剂师联合会”(fofi.it)的仿冒域名(fofl.it)来进行恶意软件的分发。

图片8.jpg

图8. 攻击者伪造的钓鱼页面

四、样本分析

1. 20200323-sitrep-63-covid-19.doc

基本信息:

File Name
File Type
SHA256
20200323-sitrep-63-covid-19.doc
Ransomware
62d38f19e67013ce7b2a84cb17362c77e2f13134ee3f8743cbadde818483e617

一旦受害者将.rtf打开后,文档会尝试利用CVE-2012-0158漏洞,将勒索软件释放到C:\Users\User\AppData\Local\svchost.exe并执行,释放出的svchost.exe具有隐藏属性,且带有一个Adobe Acrobat的图标。

样本执行后,会尝试从地址tempinfo.96[.]lt/wras/RANSOM20.jpg请求一张显示勒索通知的图片并将图片保存到C:\Users\User\ransom20.jpg,然后将图片设置为桌面壁纸

图片9.jpg

图9. 勒索信息页面

下载图片之后,会检查与C2地址的HTTP状态码是否为100 Continue,向地址www.tempinfo.96.lt/wras/createkeys.php发送POST请求,发送主机如计算机名、用户名等相关信息。在原始的Hidden Tear中,POST请求的页面为/write.php?info=  

图片10.png

图10. 流量数据包

发送信息完成后,会通过获取到的主机信息,在本地生成AES对称密钥,并将密钥发往C2地址,并通过POST请求将主机信息与AES密钥一同发往C2地址。

图片11.png

图11. 流量中的密钥

完成后开始对主机的文件进行加密,特定的后缀如下:

图片11.jpg

加密过程中,样本加密的路径仅为主机桌面的目录和文件。加密算法也相对比较简单,加密后后缀为.locked20 。

图片12.png

图12. 加密算法

2. IMMUNI.exe

通过钓鱼站点fofl.it进行下发。

基本信息:

File Name
File Type
MD5
IMMUNI.exe
Ransomware
b226803ac5a68cd86ecb7c0c6c4e9d00

样本是一个exe文件,图标带有一个新冠病毒,并且属性中的文件名为”FuckUnicorn”。

图片13.png

在样本运行后,会显示一个伪造的COVID-19疫情情况信息图表,来自the Center for Systems Science and Engineering at Johns Hopkins University 。

图片14.png

图14. 诱饵文件,COVID-19疫情图

在用户阅读图表的时候,样本会开始加密用户的文件,加密的文件夹包括主机的/Desktop, /Links, /Contacts, /Documents, /Downloads, /Pictures, /Music, /OneDrive, /Saved Games, /Favorites, /Searches,  /Videos  。

图片15.png

图15. 要加密的目录

加密后的后缀为“.fuckunicornhtrhrtjrjy”加密的类型包括:

图片15.jpg

加密完成后提供了钱包地址(195naAM74WpLtGHsKp9azSsXWmBCaDscxJ)及邮箱地址(xxcte2664@protonmail.com),需要支付300欧元的比特币,但勒索信息留下的邮件地址无效,受害者根本无法通过此邮箱地址联系上攻击者。

图片16.png

图16. 勒索信息文本

五、结语

除了文中所提两类样本外,还有更多的Hidden Tears变种版本且一直有对外攻击的行为。由于代码作者将程序在网络公开开源,使得很多开发水平不足的人也能立马上手编译出勒索软件,使勒索攻击的门槛再次降低。虽然如此,但是好在样本使用AES对称加密,并且在本地生成密钥并且不加密传输,这意味着加密后的文件可以直接解密。

扫描下方二维码,关注【微步在线研究响应中心】公众号

回复关键词“HT”,可下载完整报告

公众号新二维码.jpg

展开全部ThreatBook

威胁指标(IOC)

IP端口域名样本标签
116.203.210.1270201
域名子域名历史IP样本标签
dllhost.xyz2032
tempinfo.96.lt1000002
Hash检测结果样本标签
1da8340926257a43ea1f9bbbd1eab3d2072394681579b46210c100c95d71290112/2501
21a200dddb5b0fe53e4bccea55fcba47168f23f828e37cd91968572d975bee4b8/2501
2779863a173ff975148cb3156ee593cb5719a0ab238ea7c9e0b0ca3b5a4a93269/2501
316ea0c930ecfddabef09da1ce67aafd3b4768398a935740e4ae16937713c0f60/001
3c9fe993caef230c1a145bf71e8c696ec3900cdd1b536ec4d0d67bdd63f0c8320/001
查看全部9threatBook
url
threatBooktempinfo.96.lt/wras/RANSOM20.jpg
threatBookwww.tempinfo.96.lt/wras/createkeys.php
threatBookwoll.pagekite.me/write.php
threatBooki.imgur.com/xZuLWTN.jpg
4

评论

ThreatBook
匿名用户
2021-01-25 14:55:14
threatBook0
拿走了 谢谢
匿名用户
2021-01-18 21:39:15
threatBook0
拿走了 谢谢
已经到底了,没有更多内容了
Copyright © ThreatBook.CN All Rights Reserved.京ICP备15044984号-4 北京微步在线科技有限公司 京公网安备11010802025715号