新型攻击接踵而来 思科Talos解析Jaff勒索软件
思科Talos持续监控电子邮件威胁环境,紧密跟踪出现的新威胁和现有威胁的变化。我们最近观察到几次大规模的电子邮件攻击活动,它们试图传播一种名为“Jaff”的全新勒索软件变种。有意思的是,我们在此次攻击活动中发现了几个曾在Dridex和Locky攻击活动中使用过的特征。我们在短期内观察到多项攻击活动,他们均大肆传播恶意垃圾电子邮件,每一封电子邮件均带有一个PDF附件,其中内嵌了Microsoft Word文档,用于触发下载Jaff勒索软件。虽然思科客户已能够对这一威胁自动免疫,但我们还是决定深入剖析一下这一威胁,以及它将会对整个威胁环境产生的影响。在下文中,您将可以了解到感染流程的概要信息,以及有关此威胁的更多相关信息。
感染流程
尽管每一个攻击活动的特定要素均有略微差异,包括使用不同的XOR密钥值等,但它们都具有一些共同的特性。试图传播此恶意软件的电子邮件攻击活动均具备标准的垃圾邮件特征。它们的主题行均使用“Copy_”或“Document_”作为开头,后面附带一串随机数字进行伪装,如“Copy_30396323”和“Document_3758”等。在我们监控这些攻击活动的同时,我们也注意到又出现了更多的攻击活动,每一个均采用了略微不同的主题。首轮攻击活动相关的电子邮件的正文没有任何内容,仅带有名为“nm.pdf”的附件。这一攻击活动的电子邮件示例如下。
图A:电子邮件示例
正如我们在上面的屏幕快照中看到的,攻击者在生成与这些攻击活动相关的电子邮件时并未花费很大的心思。不久以后,我们注意到在后续的攻击活动中,电子邮件正文开始包含以下文本:
“Image data in PDF format has been attached to this email.(这一电子邮件的附件包含PDF格式的图像数据。)”
在所有情况中,附件文件都是一个恶意PDF文档,内嵌了Microsoft Word文档。当受害者打开PDF时,在PDF正文中将会显示一段内容,然后试图打开内嵌的Microsoft Word文档。
图B:PDF附件示例
与我们在最近的Locky攻击活动中观察到的现象类似,当PDF试图打开内嵌的Microsoft Word文档时,系统会提示受害者批准这一操作。此处继续感染流程需要用户的交互,以逃过组织可能部署的自动检测机制。此时在用户批准之前,将不会发生恶意活动。在未配置模拟这一审批活动的沙盒环境中,感染可能永远不会发生,并可能会导致沙盒环境判定此文件为正常文件,偏离其恶意本质的事实,而这主要是因为感染未被触发。
该PDF附件包含以下Javascript,用于打开内嵌的Microsoft Word文档:
图C:PDF中的Javascript
单击“OK(确定)”按钮会导致PDF打开恶意Microsoft Word文档,整个行为与我们在其他攻击活动中看到的行为基本类似。毫无意外的是,用户还将会被提示启用编辑,以查看Word文档的内容。需要指出的是,该恶意Microsoft Word文档包含两页,而不像大多数恶意Word文档一样只有一页。
图D:恶意Word文档示例
一旦恶意内容被启用,该Microsoft Word文档将会执行一个VBA宏,它的作用就是充当勒索软件下载程序,试图获取勒索软件二进制文件以感染系统。
该VBA宏包含多个下载域名,使用大写字母“V”隔开。这就给该恶意软件提供了多个机会来尝试从多个来源下载恶意载荷。
图E:VBA下载程序
用于下载Jaff二进制文件的URL与我们在Locky攻击活动中观察到的URL非常类似。
图F:下载URL
以上下载的二进制blob之后会使用恶意Word文档中内嵌的XOR密钥进行XOR处理,我们在这一攻击活动中观察到多个XOR密钥。下面的屏幕快照是我们在VBA宏的Module3中发现的,其中XOR密钥为“d4fsO4RqQabyQePeXTaoQfwRCXbIuS9Q”
图G:XOR密钥
当这一XOR流程完成后,恶意软件将使用以下的命令行语法,使用Windows Command Processor启动实际的勒索软件PE32可执行程序:
图H:启动可执行程序
勒索软件会重复对系统上存储的文件夹进行加密,这一特定勒索软件附加到每个文件的文件扩展名为“jaff”。它会在受害者的“My Documents(我的文档)”目录下写入一个名为ReadMe.txt的文件,其中包含了勒索声明。
图I:文本格式的勒索声明
它同时还会修改桌面背景,如下所示:
图J:修改的桌面壁纸
需要指出的有趣一点是,上面的说明并未指示用户使用Tor2Web等Tor代理服务,相反它指示用户安装整个Tor浏览器软件包,以访问赎金付费系统。样本和攻击活动中使用的Tor地址也似乎没有变化。访问赎金付费系统时,受害者将会看到以下信息,要求他们输入在被感染系统上的勒索声明中列出的解密ID。
图K:指定解密ID
在此网站中输入正确的ID值后,受害者将会看到完整的说明页,列出了攻击者要索取的赎金金额,以及具体的付费说明。
图L:赎金付费系统
值得一提的是,赎金付费系统的外观与我们在Locky中看到的系统非常相似。在这一案例中,被索取的赎金金额为2.01117430个比特币,按当下价格计算相当于约3700美元,大幅高于其他勒索软件活动所索取的金额。通过查看赎金付费服务器指定的比特币钱包,我们确定这一钱包当前处于零成交状态。
图M:比特币钱包交易情况
攻击活动传播/规模
截至目前为止,思科Talos观察到超过10万封电子邮件与这些新Jaff攻击活动有关。相对于一种新攻击而言,这种通过垃圾邮件传播的勒索软件规模可谓极其庞大。它们与Necurs的紧密关系使得其垃圾邮件攻击活动能够在短期内达到超大规模。首轮垃圾邮件攻击活动开始于2017年5月11日UTC时间上午8点,包含约35,768封电子邮件,均带有附件“nm.pdf”。在这一垃圾邮件攻击活动中,思科Talos观察到约184个独特的样本。
思科Talos还观察到第二轮攻击活动于第二天开始,包含约72,798封电子邮件。这一轮的攻击活动开始于2017年5月12日UTC上午9点,传播了约294个独特样本。该轮攻击活动使用的附件文件名为“201705*.pdf”,其作用与我们在首轮攻击活动中观察到的附件完全相同。
这是一种新的LOCKY攻击吗?
这两轮攻击活动使用了一些共同的特征来传播Jaff,其使用的C2流量模式与我们在Locky和Dridex等活动中已经习以为常的模式相似。然而,我们相信这并非是Locky勒索软件的一个新版本或改头换面的版本。两种攻击的代码库间的相似度非常低,虽然曾使用Necurs传播Locky的攻击者与现在传播Jaff的攻击者可能是同一批人,但该恶意软件本身还是存在着明显的区别,应被区别看待,并划分到不同的勒索软件家族中。
如果要将其视作一种“新的”Locky,原因可能包括其肆无忌惮的风格、与Locky一样横空出世、主要通过恶意垃圾电子邮件传播、以及利用恶意Word文档等,但攻击活动自身的特点不应用于判断恶意软件是否相同。这是一种新的勒索软件,攻击者在代码库、基础设施和规模方面都开展了大量的工作。然而,它不是Locky 2.0。它是另一种攻击性非常强的向最终用户推送勒索软件产品的全新恶意软件,目前应与Locky分开看待。
我们注意到攻击者已开始使用Necurs来通过多个大规模垃圾邮件活动的形式传播Jaff。我们将会继续监控此攻击活动,我们会对每一封电子邮件进行威胁分析,以确定这是一次昙花一现的攻击,还是这一勒索软件家族将会继续感染未得到可靠保护的组织。
IOCS
电子邮件主题
Copy_数字串
Document_数字串
Scan_数字串
PDF_数字串
File_数字串
Scanned Image
附件文件名:
nm.pdf
String of Digits.pdf(示例:20170511042179.pdf)
附件哈希值:
与这一攻击活动相关的附件列表可以在此处找到。
Word文档哈希值:
与PDF内嵌的Microsoft Word文档相关的哈希值列表可以在此处找到。
二进制哈希值:
03363f9f6938f430a58f3f417829aa3e98875703eb4c2ae12feccc07fff6ba47
C2服务器IP:
108.165.22[.]125
27.254.44[.]204
传播域名:
与这些攻击活动相关的传播域名列表可以在此处找到。
结论
这是全球掀起的新恶意软件变种的又一示例。这一攻击现在很常见,它向我们揭示出为何此类攻击对于犯罪分子极具吸引力。其市场价值高达数百万美元,每个人都想从中分一杯羹。Jaff通过基于Necurs的常见垃圾邮件机制进行传播。然而,它勒索的赎金非常高,此处的问题在于,当赎金达到多高时,用户就将不会付费。未来,我们很可能会看到攻击者不断尝试找到合理的价位,以在确保能够收到赎金的同时最大化利润。
在当今的威胁环境中,勒索软件开始占据主流地位,并被传播到全球几乎所有系统上。随着漏洞利用套件活动的大规模减少,它可能会继续主要通过电子邮件传播,或在攻击者尝试通过Samsam等威胁进入网络或系统时,通过次要载荷传播。
规避办法
下方列出了客户可以检测并阻止此威胁的其他办法。
高级恶意软件防护(AMP)能够有效避免执行这些攻击者使用的恶意软件。
CWS或WSA网络扫描能够阻止访问恶意网站,并发现这些攻击中使用的恶意软件。
Email Security可以阻止攻击者在其攻击活动中发送的恶意电子邮件。
IPS和NGFW的网络安全防护功能可以提供最新的签名,用来检测攻击者发起的恶意网络活动。
AMP Threat Grid能够帮助发现恶意软件二进制文件,并在所有思科安全产品中建立防护措施。
Umbrella能够阻止对与恶意活动相关的域名进行DNS解析。
原文发布时间为:2017年5月15日
本文作者:思科Talos安全团队
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。
新型攻击接踵而来 思科Talos解析Jaff勒索软件相关推荐
- 网络黑市PaySell与Jaff勒索软件共享同一台服务器
安全研究人员发现勒索软件Jaff的发布者们与名为PaySell的网络犯罪市场共享同一服务器空间. 此次涉事的服务器IP地址为5.101[.]66.85,而根据Heimdal Security公司的发现 ...
- 思科Talos深度解析“WannaCry勒索软件
要点综述 据报道称,全球多家组织遭到了一次严重的勒索软件攻击,西班牙的Telefonica.英国的国民保健署.以及美国的FedEx等组织纷纷中招.发起这一攻击的恶意软件是一种名为"Wanna ...
- 思科曹图强:勒索软件将打破安全防御平衡
在网络安全领域,有一句话小编觉得特别适用,那就是"一朝被蛇咬,十年怕井绳",去年5月份的WannaCry勒索蠕虫病毒攻击事件,以及6月份的Petya勒索病毒的变种扩散事件给不少企业 ...
- 虹科技术 | 终端入侵防御 | 在重大攻击中发现新的Babuk勒索软件
11月期间,Morphisec在调查一个客户的防范事件时发现了Babuk勒索软件的一个全新变种.Babuk在2021年初首次被发现,当时它开始针对企业进行双重勒索攻击,以窃取和加密数据.这一年晚些时候 ...
- Google Cloud 线上课堂 | 解析勒索软件攻击链,看 Google Cloud 如何破局
数字化转型背景下,混合办公.人工智能.物联网.等技术快速发展,勒索软件攻击正在以多种方式持续演进,且波及金融.工业.教育等多个行业. 勒索软件为何能够长久存在且不断进化?为何全球重点行业用户能够让勒索 ...
- 《勒索软件防护发展报告(2022年)》正式发布,助力企业高效应对勒索软件攻击
随着云计算.大数据.人工智能等新技术的快速普及和应用,全球网络攻击层出不穷,勒索攻击呈现出持续高发态势,并已成为网络安全的最大威胁之一.因此建立全流程勒索软件防护体系,成为了企业防御勒索软件攻击的首要 ...
- 美国燃油管道系统Colonial Pipeline遭DarkSide勒索软件攻击说明
事件简介 美国最大的燃油管道系统Colonial Pipeline于5月7日遭到攻击,被迫暂停所有管道作业,由于Colonial Pipeline负责美国东岸多达45%的燃料供应,因攻击事件而暂停所有 ...
- 勒索软件或成2022年最大威胁、法国IT服务公司遭勒索攻击|12月27日全球网络安全热点
安全资讯报告 银行木马通过虚假的Google Play商店页面传播 安全专家发现了一种通过虚假Google Play商店页面传播的新型银行木马.陌生人假装展示某知名银行的应用程序.但是,到目前为止,仅 ...
- 伊朗称以色列和美国可能是加油站网络攻击的幕后黑手、新型勒索软件或成为最大的新兴风险|11月1日全球网络安全热点
安全资讯报告 美国TrickBot恶意软件开发者或将面临60年监禁 一名据信是TrickBot恶意软件开发团队成员的俄罗斯国民已被引渡到美国,目前面临可能使他入狱60年的指控. 起诉书称,38岁的Vl ...
最新文章
- 基于struts2和hibernate的登录和注册功能——完整实例
- 7安装ik分词器_Solr7全文检索+IK分词
- Python 学习笔记(一)
- .NET (c#)序列化和反序列化
- 15件事造就有理想的程序员
- python dag调度系统开发_基于机器学习的DAG调度平台
- Citrix Receiver for Mobile Phone
- factory service provide自定义服务
- Boot Hill 布特山
- 面向对象(Python):学习笔记之面向对象基础
- vue插件挂载html6,vue6
- UniCode 常用字符大全
- 安卓开发---环境搭建(2022最新)
- vue移动端实现word在线预览
- windows系统禁止屏幕旋转快捷键
- [网络安全学习篇3]:批处理、病毒、用户与组管理、破解系统密码(千峰网络安全视频笔记 3 day)
- 软件工程课程作业--UON
- 手机、电脑、服务器电子数据现场勘验攻略(超级全!)
- python案例教程钱毅湘_Python案例教程 清华大学出版社 钱毅湘等 高等学校通识教育系列教材 软件工具 程序设计Python...
- signature=1e627a907c86a2ecea855afa2fce9a87,熟练掌握 openssl 证书命令说明