跳到主要內容區塊

ntuccepaper2019

技術論壇

勒索軟體介紹與防範(一:CryptXXX & Lockys分析)
  • 卷期:v0038
  • 出版日期:2016-09-20

作者:曾煒傑 / 臺灣大學計算機及資訊網路中心網路組實習助理


在台灣,許多受害者感染勒索軟體的途徑是來自於惡意廣告,就像六月初災情慘重的CryptXXX,受害者多半是因為惡意廣告而感染勒索軟體,而惡意廣告已經不是要點擊才會中獎,只要使用瀏覽器瀏覽到惡意廣告,就有機會中獎!本篇著重於勒索軟體的發展歷史簡介與舉例說明勒索軟體CryptXXX & Locky的攻擊手法與防範方法。

 

一、前言

其實第一隻勒索軟體在1989年就出現了,是AIDS的木馬,會將C槽的目錄隱藏並把檔案加密,到了2005又有類似的勒索軟體出現,直到2013年勒索軟體又再次興盛,到了今年2016勒索軟體更是猖獗。除了勒索個人用戶,許多勒索軟體已經將矛頭轉向大型企業的員工,甚至是醫療產業,並已在世界各地投下許多震撼彈。而為什麼勒索軟體會如此猖獗,因為製作一個勒索軟體並散布的成本大約落在六萬到十萬台幣,所以如果有7~8位的受害者付款,這個勒索軟體的操作者就可以開始獲利!單單一個CryptoWall加密勒索病毒的地下經濟規模就高達100億台幣以上,在駭客的眼中,勒索軟體是個很大的市場,而且勒索金額還會繼續攀升。
網路加密勒索也已有專業化經營模式,地下組織成立了技術支援團隊,也就是客服中心全天候7天24小時的支援服務透過電話或網路聊天的方式,即時協助受害者可以順利完成付款流程,由此可見駭客組織的分工細密以及規模之大。而勒索軟體感染的範圍,除了Windows電腦,Android手機甚至是Mac OS平台(ex. KeyRanger)都已經出現了許多勒索軟體,每個人都應小心防範。以下這張圖可以大概了解整個勒索軟體的演進歷史。

 


圖一 勒索軟體演進史(圖片來源:CERT-RO)

 

二、勒索軟體感染途徑

1. 網路釣魚郵件
在國外,大多數感染勒索軟體的途徑都來自於網路釣魚郵件,駭客可能假冒銀行業者寄給受害者帳單或訂單;或是假冒成應徵者,投遞履歷給公司的HR;又或者是一些中獎通知,在信中夾帶檔案,而此檔案可能是由文件偽裝成,或者是用常見的RTLO攻擊手法誘騙使用者點擊;又或者直接針對應用程式的zero-day漏洞來攻擊,也有的是利用office文件巨集的功能來攻擊受害者電腦。
另外一種是直接在釣魚郵件中,放入惡意連結網址,或者是放入已經被入侵的網站連結,只要受害者一點擊就會轉導到駭客的網站直接下載勒索軟體。
2. 惡意廣告
在台灣,許多受害者感染勒索軟體的途徑是來自於惡意廣告,就像今年(2016)六月初災情慘重的CryptXXX,受害者多半是因為惡意廣告而感染勒索軟體。而惡意廣告已經不是一般我們認知上要點擊才會中獎,現在只要使用瀏覽器瀏覽到惡意廣告,就有機會中獎。這種在單純瀏覽的情況下就會中獎的稱作「點擊前攻擊」,主要是透過軟體的漏洞來攻擊,例如常見的flash,又或者是瀏覽器本身的漏洞。另外一種方式就是利用廣告系統的漏洞,駭客撰寫script來發動攻擊。而點擊惡意廣告後中毒的稱作點擊後攻擊,通常是點擊了惡意廣告,而轉導向駭客所擁有的惡意網站,接著就幫你下載了勒索軟體並執行。
3. 網頁掛馬
駭客為了可以加速散播勒索軟體的途徑,他們會侵入一些有漏洞的網頁伺服器,並在網頁上放上script,將受害者轉導到有「漏洞攻擊套件」 (Exploit kit)的網站。而漏洞攻擊套件如Angler,因為取得容易,近年來被大量使用,尤其針對Adobe Flash。近來,這些Exploit Kit,為了躲避偵測,使用加密技術來保護他們的網路流量(使用技術為Diffie-Hellman金鑰交換演算法),使得依賴流量擷取來偵測漏洞攻擊的產品就沒有效果,也使得研究人員分析上的困難。只要受害者被轉到到嵌入這些Exploit Kit的網站之後,Exploit Kit便會掃描使用者的漏洞來達到主動下載並執行勒索軟體。
4. 其他
其他比較少見的感染途徑,例如勒索軟體Surprise是透過TeamViewer的漏洞下載並執行。或是鎖定醫院攻擊的勒索軟體SamSam是利用JexBoss來主動掃描使用JBoss的伺服器,當JBoss是有弱點的,就會被入侵並安裝勒索軟體,而近來出現在Android手機的勒索軟體甚至會透過通訊錄感染給其他友人。

 

三、勒索軟體行為概述

1. 受害者點擊了勒索軟體,或是直接被勒索軟件攻擊。
2. 勒索軟體會先尋找合適的C&C(Command and control Server)來做後續行為溝通的中繼站。
3. 勒索軟體接著會將電腦的一些資訊,例如作業系統版本回傳到C&C。
4. C&C前面所蒐集的資訊產生一組非對稱加密的公鑰以及私鑰,並將公鑰加密回傳給受感染的電腦。
5. 勒索軟體開始加密電腦中所有支援副檔名的檔案。
6. 加密完成後,勒索軟體會將被加密的檔案總數量,以及檔案的路徑傳回C&C。
7. 完成以上資訊後,會跳出相應受害者語言的付款說明文件,要求受害者使用比特幣以及Tor(洋蔥網路)進行付款的動作。

 


圖二 勒索軟體流程圖

 

四、CryptXXX分析

此次分析的樣本是CrtptXXX3.1版本

 


圖三 PTT AntiVirus版畫面(圖片來源:PTT)

 

1. 感染途徑 這支在今年六月初造成大量災情的CryptXXX,當時PTT的AntiVirus板上面全部都是有關於這支勒索病毒的言論,而會造成這麼慘重的災情,根據受害者的調查,受害者多半是使用到IE瀏覽器瀏覽了某個網站,而因為受害者的Flash元件沒有更新,所以遇到了某個惡意的聯播廣告就會觸發Flash漏洞,並且遭到neutrino-exploit-kit這個漏洞攻擊工具,並且植入勒索軟體,如果使用Win7(含以上)的使用者,該漏洞由於會竄改啟動程序,因此會跳出UAC確認,如果不小心按了確認後,就會開始加密勒索的過程。七月份嘉義城隍廟所中的勒索軟體也是這支CryptXXX。 2. 分析樣本
md5:a57464c0d964702ff77895e9ee14c1ae
如有需要下載樣本,可至底下網址申請帳號下載
https://malwr.com/analysis/MzVhMTQ4NzdlOTJhNDdkMDlhMjZkZmZlMzZhMTBjYjA/
這次的勒索病毒樣本是一個dll檔:adc0.tmp.dll,如要觸發此樣本,必須將此dll檔放入C:\Windows\SysWOW64底下,並且開啟cmd以系統管理員身分執行,進入到C:\Windows\SysWOW64路徑下,再輸入regsvr32 adc0.tmp.dll,這支勒索軟體就會成功執行了。(此路徑以win7 64bit為例)。
3. 加密過程

 


圖四 CryptXXX加密畫面

 

所有的加密檔案的名稱都會被重新命名,名稱的開頭是原本的檔名,而附檔名都會變成cryp1,並且所有檔案路徑下的檔案也都會被加密成.cryp1。這隻CryptXXX也是我分析過加密速度最快的ransomware,執行後不到十秒鐘的時間,就會完成檔案的加密。而這隻CryptXXX也會同時用port445,SMB的服務掃同一個/24 subnet底下所有分享的硬碟,如果擁有存取權限,也會將同個網域下的所有硬碟一起加密。
CryptXXX3.1也具備了躲避偵測的新功能:
(1) 略過刪除磁碟區陰影拷貝。
(2) 延遲一小時以上才執行,避開傳統沙箱的偵測,因為沙箱通常只能運行幾分鐘。
(3) 減少與勒索軟件控制伺服器網絡活動,避免交換加密密鑰的活動被攔截。像這隻CryptXXX只會跟一個C&C連結,這會在後面詳細說明。
 

4. 感染畫面
以下是感染CryptXXX後pop out的頁面

 


圖五 CryptXXX 勒索畫面

 

如果一段時間沒有進行付款的動作,會出現以下的黑色畫面,鎖住系統,要你記下相關資訊重開電腦來繼續完成付款的動作。

 


圖六 CryptXXX 勒索畫面

 

5. C&C分析
這隻CryptXXX最特別的地方我覺得就是,他永遠只跟同一個C&C server溝通,我重覆沙箱四次的實驗,所抓到的封包內容都非常相似,而唯一的C&C就是85.25.194.116

 


圖七 C&C連線畫面(wireshark畫面)

 

但因為CryptXXX使用加密連線,所以直接看封包內容也是無法得知他們之間在傳遞什麼。

 


圖八 CryptXXX與C&C溝通的部分封包內容

 


圖九 CryptXXX 封包相同之pattern

 

五、Locky Ransomware 分析

1. 分析樣本
MD5:09f95bd2323574b6edeac8f8e349e4dd
樣本下載網址: https://malwr.com/analysis/MDk0NTUxNzhlMDg0NDVhNmExYzBkZjM3Y2I0M2JmMDQ/
2. 感染途徑
Locky通常是經由下載一些MS office(ex:DOC)或者是執行一些釣魚信件中副檔的javascript而被執行,惡意的payload通常在32-bit下的Windows系統可以被執行,等執行後,主程式的圖示會消失,但其實它是執行它事先在TEMP資料夾中的copy,並且偽裝成svhost.exe執行之後的加密行為。
3. 加密過程
所有的加密檔案的名稱都會被重新命名,名稱的開頭(前16bits)是受害者的Unique ID,並且每個檔案的附檔名都會是.locky。

 


圖十 Locky 勒索畫面

桌布也會被替換,Locky會偵測受害者所處的國家,並使用當地的語言作為文字說明。

 


圖十一 Locky 勒索畫面

 

4. C&C 分析
Locky 的C&C連線比較複雜,網路封包分析當中,一支Locky大約會與六個C&C連線。連線表格如下:

 

Hard-coded IP

ISP/Organization/Geolocation

Resolved IP

31.41.47.37

RelinkRoute, Relink LTD, RU

casader.ce

91.121.97.170

Ovh Isp, Ovh Sas, FR

ns353643.ip-91-121-97.eu

188.138.88.184

Plusserver AG, intergenia AG, DE

xray730.dedicatedpanel.com

185.46.11.239

Agava, RU

kvm17915.hv9.ru

208.100.26.234

Steadfast Networks

oaichqjklefln.eu

85.25.138.187

intergenia.de

 

 

經過靜態分析(使用IDA Pro reversing)發現,Locky 使用了一個叫做DGA(domain generation algorithm)的演算法,Locky會根據受害者的hard-code seeeds還有當時系統的時間來產出特定的domain,而這個演算法也會每兩天產出六個新的domain來使用。這樣產出domain的方式,除了可以躲避許多防毒軟體的檢測,也可以確保受害者一定會跟還在服務的C&C連線,以達到勒索檔案的目的。

 

六、勒索軟體解決方案與防範

1. 開啟電子郵件之前請先仔細看清楚,避免點選不明來源的電子郵件內的連結或下載附件。
2. 保持作業系統、瀏覽器、Adobe、JAVA應用程式與防毒軟體的最新狀態。
3. 資料實施列管,並採取多重備份,公司企業則一定要有異地備援。
4. 關閉office 巨集功能,許多的勒索軟體會使用巨集的功能在電腦中散播(例如: Locky Ransomware)。
5. 可以的話使用”虛擬機(VM)”上網,收發信件,現在能打穿虛擬環境的malware機率非常的低。

在此建議一個我自己本身在用也覺得非常方便的軟體:sandboxie。詳情下載請見官網:http://www.sandboxie.com/index.php?DownloadSandboxie。此應用程式與虛擬機原理非常相似,電腦原本擁有的應用程式,都可以使用sandboxie來開啟,而sandboxie也是在硬碟中隔離出一個空間,所以使用sandboxie所下載的檔案或者是行為都只會局限在這個虛擬的空間,如果真的中毒,只要清空沙盒內容就又恢復乾淨的狀態,使用這個應用程式也比較不會像開VM會影響到原本的電腦效能,又可以模擬出類似VM的虛擬環境,所以非常推薦大家使用,但也不保證在裡面中毒都一定沒事,因為現在的惡意軟體層出不窮,還是有機會這樣的虛擬環境會被打穿而影響到外面的環境,所以使用者自己小心還是最為上策。

 


圖十二 Sandboxie 示意圖(圖片來源: www.sandboxie.com)

 

七、Ransomware緊急應變之道

如果真的中了勒索軟體,切記不要衝動付款,可以參考以下步驟。

 


圖十三 勒索軟體感染後處理流程圖

 

總結

勒索軟體發展至今,還尚未發展出百分之百解決勒索軟體的方案,雖然在七月初有國外學者提出一個CryptoDrop系統,他們利用勒索軟體行為偵測的方式來防範,聲稱能阻擋九成以上的勒索軟體,但都還在研究階段,是否能防範未來的勒索軟體也還不知道。現階段看來,良好的使用者習慣以及定期備份才是防範勒索軟體的最佳方案。
在駭客將攻擊目標從個人轉向企業之後,所要求的贖金一定也會大肆增加。此外,勒索軟體的感染能力也一定會越來越強,未來的勒索軟體可能具備自我散布的能力,更普及也更有彈性,除了資訊安全人員,平常的使用者也要時常注意資安方面的新聞,如果有發現什麼重大漏洞或是網站應用程式被駭,就要及時的更新或是停止使用,才可以大大的避免感染勒索軟體的機會。

 

參考資料

[1]. 趨勢科技勒索軟體白皮書
http://www.createheart.com.tw/file/pdf/2016-Ransomware-WP_0608.pdf
[2]. 勒索病毒喚醒危機感 企業重新正視端點安全
http://www.netadmin.com.tw/article_content.aspx?sn=1607010018&ns=1607040002
[3]. 資安周報第29期:勒索軟體橫行之怪現象,連金融業也淪陷
http://www.ithome.com.tw/news/106755
[4]. 思科:勒索軟體轉向攻擊大型企業用戶
http://www.ithome.com.tw/news/107448
[5]. 2015年的漏洞攻擊包(Exploit Kit):充斥著Flash漏洞、淪陷網站和惡意廣告
http://blog.trendmicro.com.tw/?p=17109
[6]. The Anti-Ransomware Protection Plan You Need to Follow Today
https://heimdalsecurity.com/blog/anti-ransomware-protection-plan/
[7]. 勒索病毒樣本
https://malwr.com/analysis/MDk0NTUxNzhlMDg0NDVhNmExYzBkZjM3Y2I0M2JmMDQ/
https://malwr.com/analysis/MzVhMTQ4NzdlOTJhNDdkMDlhMjZkZmZlMzZhMTBjYjA/