查看: 2795|回复: 18
收起左侧

[技术原创] 斩草除根,360终结首个“微信支付”勒索木马

[复制链接]
360主动防御
发表于 2018-12-4 22:29:38 | 显示全部楼层 |阅读模式
UNNAMED1989”微信支付”勒索病毒让不少用户过了一个不平静的周末,文件无法正常打开,重要数据被加密。在用户一筹莫展之际,360安全卫士迅速推出了解密工具,帮用户解决了数据被加密的难题。但病毒从何而来,以后又该如何预防呢?本文将对这个事件做一次全面分析,帮助用户一起应对此类勒索病毒威胁。

感染原理
分析感染原理之前,我们先从此次勒索病毒的传播源说起,在之前的报告中,我们已经提到,受感染机器多是由于使用了“辅助外{过}{滤}挂”,由这些外{过}{滤}挂携带的木马下载器造成的感染。那为什么会有这么多的外{过}{滤}挂软件同时携带这款病毒呢?是这些外{过}{滤}挂作者开发了这个木马下载器和勒索病毒么?带着这个疑问,我们深入分析发现,受影响的软件集中在易语言编写的程序上,更进一步分析显示,他们使用了同样的被感染的易语言库文件,造成编译发布的外{过}{滤}挂辅助软件均被感染了本次的下载器木马。那这些被感染的库文件从何而来的呢,我们在网上找到了线索。
该带毒模块最初是经由一名用户发布到“精易论坛”的,以模块源码分享的名义传播恶意模块:
而精易论坛的管理人员也发现了有人利用论坛传播木马,对相关事件进行了处理和说明:https://bbs.125.la/thread-14274716-1-1.html

经分析,该代码模块中确实夹杂了“私货”。使用这个模块编译出来的程序,会向特定目录下释放恶意程序:
其次,恶意模块还会访问两个指定的URL网址:
而这两个URL网址,和我们之前分析的下载者木马所访问的网络配置文件地址相同,其内容是被黑客加密过的配置信息(内容现已被编辑):
在木马读取到上述配置信息后,会到本地解密成明文的配置内容。这其中,就含有一个名为JingYiMoKuai.ec的易语言库文件和一个名为“krnln_static_5.7.lib”的静态链接库文件。下载器木马会查找系统中的“精易模块*.ec”、“JingYiMoKuai.ec”以及“krnln_static.lib”文件,并使用网上下载的这两个模块,替换本地对应的模块,污染这台计算机的开发环境:
也就是说,恶意代码的扩散并不仅仅局限于木马自身的传播,还会通过污染开发环境,利用其他开发者进行二次传播,即:
1.      原始攻击者A发布了隐藏有恶意功能的代码模块
2.      其他开发者B从论坛获取了上述模块,并加入到其开发环境中,这样B所开发的程序就同样带有了恶意功能。
3.      如果B开发的一个工具被其它开发者使用,比如C,则开发者C可能会因为使用了这个开发工具也导致自己开发的软件被感染。
4.      用户D使用C开发的软件时,也会遭到恶意代码的入侵。

如上所述,即便最终的用户D不知道原始攻击者A,也从没用过他的软件。但依然难逃被其间接攻击的命运。更形象的传播扩散流程图如下:
这类直接感染源代码或代码编译程序手法并非首次出现,2015年9月,就曾出现过震惊世界的iOS应用感染XCodeGhost病毒的事件。由于大量苹果开发者使用了被感染的XCode开发工具,导致众多iOS应用携带了恶意代码,盗取用户信息。这其中甚至包括了很多几乎所有人都会使用的一些“必备应用”,也均未能幸免。
同样,就在上个月也发生过类似的案件——一款热门JavaScript库被黑客植入了恶意代码。而使用Copay的用户一旦访问含有该JS库文件的网页就有可能被窃取钱包中的比特币:
在追溯过程中我们发现,“微信支付”勒索病毒作者早在2017年就开始制作并传播恶意软件,在20184月已经开始尝试,在开发者论坛散布携带病毒的项目,下面是其今年攻击过程的一个时间轴,可以看出攻击者是做了大量准备的,经过长时间测试后才对外正式传播病毒。

受影响用户
我们统计了这次被感染的软件,目前共计整理出918款软件,这个数量还在进一步增加。其中绝大部分是辅助类软件,可以看出有大量辅助工具的开发环境中招,这也造成更多使用这些辅助工具的用户受到威胁。
下面是部分受影响的辅助工具的文件名截图:


我们抽取了其中的一些关键词,可以据此看到被攻击群体的一些特点:
完整的列表可以到此链接处下载:
开发者和用户都可以检查一下,自己发布或者使用的软件是否在其中, 如果发现有自己使用过的软件,请尽快使用360安全卫士清除机器中隐藏的病毒木马!

【此处为列表文件链接】à https://bbs.360.cn/thread-15641266-1-1.html
主要危害
木马下载器
无论是恶意易语言代码模块,还是被感染的应用程序。都会进一步下载更多的恶意软件到受害用户机器中执行。其工作流程如下图:
在传播的最后阶段,木马母体会通过读取网络配置文件的形式获取包括MySQL、FTP、自身更新地址以及病毒分发列表等一系列信息:
这其中的downURL22字段所对应的地址,就是后续的“病毒木马大礼包”。

而在配置文件中所给出的FTP服务器中,我们看到了与前文中所写的Github中相同的配置文件:
其内容如下:
同时,分析人员还在里面发现了部分木马源码,使用了与此木马相似的C&C服务器:
信息窃取/源码窃取
此外,同样在配置文件中给出的MySQL数据库目前已无法连接。我们目前无法获知其中的具体数据内容。但根据木马母体中的代码可以看出,该母体会与MySQL数据库保持通信,并获取其中的指令信息。在获取到指令后,会根据指令进行对应的操作,功能列表如下:

其中文件回传功能,很可能被用来窃取开发者的源代码。
勒索病毒
回到核心的“病毒木马大礼包”中来:这其中最主要的当然就是我们的主角“UNNAMED1989”勒索病毒了。其相关分析和具体危害本文不再重复,有兴趣可以移步我们之前发布的报告中《勒索病毒“UNNAMED1989”中招用户有解了!
盗号木马
除了本次事件的主角之外,在“大礼包”中还包含了一款盗号木马。经过我们分析,该木马会试图窃取支付宝、京东、163邮箱、微博、百度网盘、QQ、天猫、阿里旺旺、酷狗、迅雷、百度云等的账号密码。

首先,该木马会初始化要窃取信息所需的字符串:

完成后,木马会遍历进程,找到AliIM.exe,AliWorkbench.exe,360chrome.exe等进程:
一旦找到这些进程,会进一步查找其窗口,并通过GetGetWindowTextA获取窗口标题栏的内容:
木马此时会将获取到的窗口标题与之前的字符串进行匹配,并发送到MySQL数据库中。

此外,木马还专门针对支付宝的界面设计了定制化的盗号方案。该方案与我们熟知的QQ粘虫类似(我们就叫它“支付宝粘虫”好了)——会在出现支付宝支付界面时,创建一个编辑框贴在原本的支付宝支付密码输入框上面。这样一来,用户输入的支付密码实际上是输入到了木马创建的虚假支付框中。用户输入完密码,密码也就被发送到了黑客的手中:
处置方法对于开发者
360安全卫士已经可以对该木马带来的“易语言模块被感染”问题进行修复。有易语言开发环境并疑似被感染的开发者,可以使用360安全卫士进行扫描查杀。
对于用户
如果已安装了360安全卫士的用户,只要确认360安全卫士实在正常运行的就不必担心。360安全卫士可正常拦截查杀该类木马。
如果未安装360安全卫士或之前将恶意程序添加信任中招的用户,可安装360安全卫士进行扫描查杀,彻底清除病毒。同时 “360解密大师”也已支持对该勒索病毒的解密:

预防方案

分析并复盘此次勒索病毒传播的始末,我们提出如下一些关键点需要大家格外留意:
1.      软件开发人员更要留意计算机安全问题,因为软件源文件被感染,造成整个软件产品被植入恶意代码的事件时有发生,而受危害的往往是数量庞大的软件用户。软件开发者应该从正规渠道下载编译工具及开发环境相关文件,以免下载到被污染的开发文件,影响整个工程环境。
2.      无论是开发者还是普通用户,都应安装安全软件并确保其正常运行,保护计算机安全。
3.      作为普通用户,应该从正规渠道获取软件,同时做到不在安全软件退出的情况下使用来源不明的软件。
4.      重要数据要及时备份。如果有条件,尽可能分开备份,以免备份数据与原始数据被同时加密或删除。

5.      请相信安全软件的判断结果!切勿相信某些软件声称自己是被误报的论调。发现感染勒索病毒后,可以第一时间联系360互联网安全中心。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
记录微笑
发表于 2018-12-4 23:24:17 | 显示全部楼层
建议360在发现病毒界面放一个上传分析按钮,在云端分析一下,把恶意行为列出来,防止小白认为是误报。
360主动防御
 楼主| 发表于 2018-12-5 10:14:14 | 显示全部楼层
本帖最后由 360主动防御 于 2018-12-5 10:58 编辑
whl2606555 发表于 2018-12-4 23:24
建议360在发现病毒界面放一个上传分析按钮,在云端分析一下,把恶意行为列出来,防止小白认为是误报。

您好,可以针对文件或者病毒右键扫描,或者木马查杀快速、全盘扫描,在扫描结果页会告知文件行为;如下图


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
记录微笑
发表于 2018-12-5 12:12:35 | 显示全部楼层
360主动防御 发表于 2018-12-5 10:14
您好,可以针对文件或者病毒右键扫描,或者木马查杀快速、全盘扫描,在扫描结果页会告知文件行为;如下图 ...

这个只是通用描述,像国外的gd在主防拦截是会一一列举有哪些恶意行为,这样更有利于用户判断。
例如这样。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
pal家族
发表于 2018-12-5 12:38:48 | 显示全部楼层
whl2606555 发表于 2018-12-5 12:12
这个只是通用描述,像国外的gd在主防拦截是会一一列举有哪些恶意行为,这样更有利于用户判断。
例如这样 ...

启动项是什么?
服务是什么?
注册表项值是什么啊?
可执行文件是什么啊?

这垃圾杀软到底在说什么啊?什么都不懂?
是病毒就是病毒,不是就不是啊,这让我一个普通用户怎么办啊?

卸载了!
记录微笑
发表于 2018-12-5 12:41:45 | 显示全部楼层
本帖最后由 whl2606555 于 2018-12-5 12:45 编辑
pal家族 发表于 2018-12-5 12:38
启动项是什么?
服务是什么?
注册表项值是什么啊?

这些都不晓得?现在初中都学这个吧?

就算看不懂,可能危及系统这几个字总能看懂吧?
而且在每个行为后面都有解释,例如在建立启动项后面跟上了“以便在操作系统启动时自动运行。”,修改注册表项后面也写上了是关于浏览器的还是系统的,这些不会看不懂吧?你不要把普通用户想的太傻,gd写的都很通俗易懂。

pal家族
发表于 2018-12-5 12:48:03 | 显示全部楼层
whl2606555 发表于 2018-12-5 12:41
这些都不晓得?现在初中都学这个吧?

就算看不懂,可能危及系统这几个字总能看懂吧?

你真的是了解的少,调查的少,想当然之典范啊
,你说的话至少要在等10年,才能成为稍微普遍一点的现象。目前是不可能的。

至于让用户觉得文件不安全,这不够吗?

在用户面前可以显示一堆用户看不懂得东西,这不就是你们这帮人热衷于黑360的方法吗?

我不知道你到底有没有用过全球用户量大的杀软啊,我看是没有。因为这些杀软永远只倾向于告诉用户简单的事实。
只在需要的时候,根据你的需求和操作显示更多。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
记录微笑
发表于 2018-12-5 12:55:48 | 显示全部楼层
pal家族 发表于 2018-12-5 12:48
你真的是了解的少,调查的少,想当然之典范啊
,你说的话至少要在等10年,才能成为稍微普遍一点的现象。 ...

这么说吧,在一个普通用户绝对信任的网站下载下来一个东西之后,杀软报毒,九成以上用户都会认为是误报。这时候,杀软就要想尽办法去说服用户这个文件是病毒。这时像这种列出行为的方法就很有必要了。在现实中,我也遇到过很多次普通用户因为在那些自己信任的下载站下载文件而中毒的情况。我给他们看了看微步上的分析,基本都相信这是个病毒。难得gd的行为分析比微步还难懂?
pal家族
发表于 2018-12-5 13:07:17 | 显示全部楼层
本帖最后由 pal家族 于 2018-12-5 13:11 编辑
whl2606555 发表于 2018-12-5 12:55
这么说吧,在一个普通用户绝对信任的网站下载下来一个东西之后,杀软报毒,九成以上用户都会认为是误报。 ...

尾部,是一个设计的很好看,条理很清晰, 有多重检测引擎,有各个行为详细解释的网站,再加上有人亲自和他据理力争,人家就相信你了。
GD,真的抱歉,不是什么大厂,设计不咋地,很难看,也没有人工智能whl2606555来劝他们,所以,没求用啊我就是想要这个外{过}{滤}挂啊,你看作者说的话这么香,你杀软乱七八糟抛一堆东西出来,是不是威胁恐吓我?其心不轨啊
连自己的杀软都不信任,这不是杀软本身的问题,是厂商宣传的问题和人本身,你再怎么设计,都没球用!
在越来越智能化的今天,越乱七八糟越没人愿意用。

记录微笑
发表于 2018-12-5 20:05:01 | 显示全部楼层
pal家族 发表于 2018-12-5 13:07
尾部,是一个设计的很好看,条理很清晰, 有多重检测引擎,有各个行为详细解释的网站,再加上有人亲自和 ...

我不知道你还是小白的时候有没有下过外{过}{滤}挂之类的,当杀软报毒的时候,你不觉得很两难?360既然不能承诺零误报,就应该拿出证据让用户相信这是一个病毒。谁主张,谁举证,这是明摆的道理。

还有,gd虽然在规模上比卡巴等厂商差点,但技术不差,自己没亲自试过不要发表评论,谢谢。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 04:59 , Processed in 0.136147 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表