UNNAMED1989”微信支付”勒索病毒让不少用户过了一个不平静的周末,文件无法正常打开,重要数据被加密。在用户一筹莫展之际,360安全卫士迅速推出了解密工具,帮用户解决了数据被加密的难题。但病毒从何而来,以后又该如何预防呢?本文将对这个事件做一次全面分析,帮助用户一起应对此类勒索病毒威胁。
感染原理分析感染原理之前,我们先从此次勒索病毒的传播源说起,在之前的报告中,我们已经提到,受感染机器多是由于使用了“辅助外{过}{滤}挂”,由这些外{过}{滤}挂携带的木马下载器造成的感染。那为什么会有这么多的外{过}{滤}挂软件同时携带这款病毒呢?是这些外{过}{滤}挂作者开发了这个木马下载器和勒索病毒么?带着这个疑问,我们深入分析发现,受影响的软件集中在易语言编写的程序上,更进一步分析显示,他们使用了同样的被感染的易语言库文件,造成编译发布的外{过}{滤}挂辅助软件均被感染了本次的下载器木马。那这些被感染的库文件从何而来的呢,我们在网上找到了线索。 该带毒模块最初是经由一名用户发布到“精易论坛”的,以模块源码分享的名义传播恶意模块:
经分析,该代码模块中确实夹杂了“私货”。使用这个模块编译出来的程序,会向特定目录下释放恶意程序: 其次,恶意模块还会访问两个指定的URL网址: 而这两个URL网址,和我们之前分析的下载者木马所访问的网络配置文件地址相同,其内容是被黑客加密过的配置信息(内容现已被编辑): 在木马读取到上述配置信息后,会到本地解密成明文的配置内容。这其中,就含有一个名为JingYiMoKuai.ec的易语言库文件和一个名为“krnln_static_5.7.lib”的静态链接库文件。下载器木马会查找系统中的“精易模块*.ec”、“JingYiMoKuai.ec”以及“krnln_static.lib”文件,并使用网上下载的这两个模块,替换本地对应的模块,污染这台计算机的开发环境: 也就是说,恶意代码的扩散并不仅仅局限于木马自身的传播,还会通过污染开发环境,利用其他开发者进行二次传播,即: 1. 原始攻击者A发布了隐藏有恶意功能的代码模块 2. 其他开发者B从论坛获取了上述模块,并加入到其开发环境中,这样B所开发的程序就同样带有了恶意功能。 3. 如果B开发的一个工具被其它开发者使用,比如C,则开发者C可能会因为使用了这个开发工具也导致自己开发的软件被感染。 4. 用户D使用C开发的软件时,也会遭到恶意代码的入侵。
如上所述,即便最终的用户D不知道原始攻击者A,也从没用过他的软件。但依然难逃被其间接攻击的命运。更形象的传播扩散流程图如下: 这类直接感染源代码或代码编译程序手法并非首次出现,2015年9月,就曾出现过震惊世界的iOS应用感染XCodeGhost病毒的事件。由于大量苹果开发者使用了被感染的XCode开发工具,导致众多iOS应用携带了恶意代码,盗取用户信息。这其中甚至包括了很多几乎所有人都会使用的一些“必备应用”,也均未能幸免。 同样,就在上个月也发生过类似的案件——一款热门JavaScript库被黑客植入了恶意代码。而使用Copay的用户一旦访问含有该JS库文件的网页就有可能被窃取钱包中的比特币: 在追溯过程中我们发现,“微信支付”勒索病毒作者早在2017年就开始制作并传播恶意软件,在2018年4月已经开始尝试,在开发者论坛散布携带病毒的项目,下面是其今年攻击过程的一个时间轴,可以看出攻击者是做了大量准备的,经过长时间测试后才对外正式传播病毒。
受影响用户我们统计了这次被感染的软件,目前共计整理出918款软件,这个数量还在进一步增加。其中绝大部分是辅助类软件,可以看出有大量辅助工具的开发环境中招,这也造成更多使用这些辅助工具的用户受到威胁。 下面是部分受影响的辅助工具的文件名截图:
我们抽取了其中的一些关键词,可以据此看到被攻击群体的一些特点: 完整的列表可以到此链接处下载: 开发者和用户都可以检查一下,自己发布或者使用的软件是否在其中, 如果发现有自己使用过的软件,请尽快使用360安全卫士清除机器中隐藏的病毒木马!
【此处为列表文件链接】à https://bbs.360.cn/thread-15641266-1-1.html 主要危害
木马下载器
无论是恶意易语言代码模块,还是被感染的应用程序。都会进一步下载更多的恶意软件到受害用户机器中执行。其工作流程如下图: 在传播的最后阶段,木马母体会通过读取网络配置文件的形式获取包括MySQL、FTP、自身更新地址以及病毒分发列表等一系列信息: 这其中的downURL22字段所对应的地址,就是后续的“病毒木马大礼包”。
而在配置文件中所给出的FTP服务器中,我们看到了与前文中所写的Github中相同的配置文件: 其内容如下: 同时,分析人员还在里面发现了部分木马源码,使用了与此木马相似的C&C服务器: 信息窃取/源码窃取
此外,同样在配置文件中给出的MySQL数据库目前已无法连接。我们目前无法获知其中的具体数据内容。但根据木马母体中的代码可以看出,该母体会与MySQL数据库保持通信,并获取其中的指令信息。在获取到指令后,会根据指令进行对应的操作,功能列表如下:
其中文件回传功能,很可能被用来窃取开发者的源代码。 勒索病毒
盗号木马除了本次事件的主角之外,在“大礼包”中还包含了一款盗号木马。经过我们分析,该木马会试图窃取支付宝、京东、163邮箱、微博、百度网盘、QQ、天猫、阿里旺旺、酷狗、迅雷、百度云等的账号密码。
首先,该木马会初始化要窃取信息所需的字符串:
完成后,木马会遍历进程,找到AliIM.exe,AliWorkbench.exe,360chrome.exe等进程: 一旦找到这些进程,会进一步查找其窗口,并通过GetGetWindowTextA获取窗口标题栏的内容: 木马此时会将获取到的窗口标题与之前的字符串进行匹配,并发送到MySQL数据库中。
此外,木马还专门针对支付宝的界面设计了定制化的盗号方案。该方案与我们熟知的QQ粘虫类似(我们就叫它“支付宝粘虫”好了)——会在出现支付宝支付界面时,创建一个编辑框贴在原本的支付宝支付密码输入框上面。这样一来,用户输入的支付密码实际上是输入到了木马创建的虚假支付框中。用户输入完密码,密码也就被发送到了黑客的手中: 处置方法对于开发者
360安全卫士已经可以对该木马带来的“易语言模块被感染”问题进行修复。有易语言开发环境并疑似被感染的开发者,可以使用360安全卫士进行扫描查杀。 对于用户
如果已安装了360安全卫士的用户,只要确认360安全卫士实在正常运行的就不必担心。360安全卫士可正常拦截查杀该类木马。 如果未安装360安全卫士或之前将恶意程序添加信任中招的用户,可安装360安全卫士进行扫描查杀,彻底清除病毒。同时 “360解密大师”也已支持对该勒索病毒的解密:
预防方案
分析并复盘此次勒索病毒传播的始末,我们提出如下一些关键点需要大家格外留意: 1. 软件开发人员更要留意计算机安全问题,因为软件源文件被感染,造成整个软件产品被植入恶意代码的事件时有发生,而受危害的往往是数量庞大的软件用户。软件开发者应该从正规渠道下载编译工具及开发环境相关文件,以免下载到被污染的开发文件,影响整个工程环境。 2. 无论是开发者还是普通用户,都应安装安全软件并确保其正常运行,保护计算机安全。 3. 作为普通用户,应该从正规渠道获取软件,同时做到不在安全软件退出的情况下使用来源不明的软件。 4. 重要数据要及时备份。如果有条件,尽可能分开备份,以免备份数据与原始数据被同时加密或删除。
5. 请相信安全软件的判断结果!切勿相信某些软件声称自己是被误报的论调。发现感染勒索病毒后,可以第一时间联系360互联网安全中心。
|