歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

勒索軟件Sodinokibi運營組織的關聯分析

來源:本站整理 作者:佚名 時間:2019-06-28 TAG: 我要投稿

1、概述
2019年5月,安天CERT監測到了多起利用釣魚郵件傳播Sodinokibi勒索軟件的事件。Sodinokibi最初由Twitter賬號為Cyber Security(@GrujaRS)的獨立安全研究員發現[1],而Sodinokibi這個名稱是根據首次出現樣本的版本信息中的文件名命名的。這種命名方式并不規范①,但由于Sodinokibi這個名稱已經被廣泛使用了,因此安天CERT也沿用這一名稱。Sodinokibi從2019年4月26日開始出現,其傳播方式主要為釣魚郵件、RDP暴力破解和漏洞利用。
注①:
著名安全研究員Peter Szor著的《計算機病毒防范藝術》中曾明確“要避免按照傳統上或習慣上用包含惡意軟件文件名的名字進行命名”。
安天CERT分析人員通過代碼、C2、郵件、漏洞利用等關聯分析認為該勒索軟件團伙是一個不斷套用、利用其他現有惡意工具作為攻擊載體,傳播勒索軟件、挖礦木馬、竊密程序,并在全球范圍內實施普遍性、非針對性勒索、挖礦、竊密行為的具有一定規模的黑產組織。該組織和GandCrab組織有著千絲萬縷的關系,分析人員猜測Sodinokibi和GandCrab運營成員有重合部分,在GandCrab組織宣布停止運營之后,部分GandCrab成員不愿收手,繼續運營新修改的勒索軟件Sodinokibi。
經驗證,安天智甲終端防御系統(英文簡稱IEP,以下簡稱安天智甲)可實現對Sodinokibi的有效防御。
2 、樣本分析
2.1 黑產組織偽裝公安部發送釣魚郵件傳播Sodinokibi勒索軟件
2019年5月,安天CERT監測到多起偽造“中華人民共和國公安部”發送釣魚郵件傳播Sodinokibi勒索軟件的攻擊事件。該釣魚郵件偽造郵件主題為“警察議程”,郵件內容稱用戶必須在2019年5月23日下午3點向“警察局”報到,參與調查。郵件附件名為“關於你案件的文件.rar”。

圖 2-1黑產組織偽裝公安部發送釣魚郵件傳播Sodinokibi勒索軟件
黑產組織利用用戶對郵件內容的恐懼和好奇心理,誘使用戶下載附件并查看附件內容。附件解壓后是兩個偽裝成doc文件的快捷方式,當用戶查看偽造文件(實為快捷方式)時,便會運行快捷方式指向的勒索軟件Sodinokibi,導致用戶主機中文件被加密。勒索軟件以隱藏的方式存儲在該目錄下,若用戶的系統未設置成顯示隱藏文件,則并不會發現勒索軟件文件。另外,隱藏的文件為雙擴展名,若用戶系統設置為不顯示擴展名,則不能發現該文件為EXE可執行文件。

圖 2-2 偽裝成doc文件的快捷方式可執行文件實際是勒索軟件

圖 2-3 被加密后的桌面
2.2 黑產組織偽裝DHL快遞公司發送釣魚郵件傳播Sodinokibi勒索軟件
2019年6月初,安天CERT監測到多起通過偽造DHL郵件傳播Sodinokibi勒索軟件的釣魚郵件攻擊事件。DHL,即敦豪國際航空快遞有限公司,是全球知名的郵遞和物流集團Deutsche Post DHL旗下公司,業務遍布全球220個國家和地區。該釣魚郵件主題為“您的包裹將無法按時交付”,郵件內容稱因為受害者提供了不正確的海關申報數據,因此不能按時交付受害者的包裹,要求受害者點擊郵件中的鏈接,下載海關文件查看并簽署。
2019年5月,華為通過聯邦快遞(FedEx)發送的兩份商業文件被攔截并送往美國孟菲斯的聯邦快遞公司。在業內人士對聯邦快遞發出質疑后,聯邦快遞在5月28日發布了道歉微博。5月22日,傳出DHL停收華為貨物的通知,5月23日,DHL否認停運華為貨物[2]。在這個環境下,偽裝成DHL的釣魚郵件極有可能是在蹭該起事件的熱點,利用該事件對大眾造成的影響,誘導用戶相信釣魚郵件的真實性,從而增加用戶點擊鏈接的可能性。

圖 2-4 偽造的DHL的釣魚郵件
郵件正文中的鏈接是一個使用plip.io(短網址生成網站)生成的短網址,用戶點擊后會解析到另一個網址,之后會跳轉到最終惡意網站下載勒索軟件。郵件正文中雖提到存檔中的密碼為DHL,但該壓縮包不需要輸入密碼“DHL”便可以解壓。

圖 2-5 點擊郵件中鏈接后下載勒索文件
解壓后的文件和偽造成“中華人民共和國公安部”的釣魚郵件使用同樣方式啟動隱藏的可執行文件,如圖所示,該快捷方式運行后指向一個隱藏的雙擴展名的可執行文件,實際為Sodinokibi勒索軟件。

圖 2-6 壓縮包中的快捷方式和勒索軟件
安天CERT分析人員發現,2019年6月5日上午郵件正文中鏈接下載的文件為繁體文件名,其構造的快捷訪問指向的文件和壓縮包中的EXE文件名不相同,因此運行快捷方式并不能執行勒索軟件。2019年6月5日下午,當分析人員再次分析郵件中鏈接時,發現已經替換了掛載的文件,新文件名為“customs declaration.pdf.exe”,快捷方式也被重新構造了。此次由于快捷方式中路徑的問題,導致只有在Windows XP下運行快捷方式才可以啟動勒索軟件,而在Win 7和Win 10下并未啟動成功。在分析人員測試的其他壓縮包中,運行快捷方式均可以啟動Sodinokibi勒索軟件。從此次事件中可以看出,Sodinokibi運營者在不斷完善其惡意代碼。

[1] [2] [3] [4] [5]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 猫盘挖矿机可以赚钱 农村信用社的卡能赚钱到中国银行 看新闻赚钱钱从哪里来的 货运车怎么赚钱 网络那种比较好赚钱 中医针灸怎么赚钱 学校内开商店赚钱吗 夏天摆摊卖拖鞋赚钱吗 作贼好赚钱吗 彩票刷水如何赚钱 卖真发票赚钱吗 养啥牛赚钱 可以摆摊收购赚钱的游戏 玩什么单机游戏能赚钱 网上做无货源真的能赚钱吗 带她赚钱的前女友是第几期