斬草除根,360終結首個“微信支付”勒索木馬
“微信支付”勒索病毒傳播始末
UNNAMED1989”微信支付”勒索病毒讓不少使用者過了一個不平靜的週末,檔案無法正常開啟,重要資料被加密。在使用者一籌莫展之際,360安全衛士迅速推出瞭解密工具,幫使用者解決了資料被加密的難題。但病毒從何而來,以後又該如何預防呢?本文將對這個事件做一次全面分析,幫助使用者一起應對此類勒索病毒威脅。
感染原理
分析感染原理之前,我們先從此次勒索病毒的傳播源說起,在之前的報告中,我們已經提到,受感染機器多是由於使用了“輔助外掛”,由這些外掛攜帶的木馬下載器造成的感染。那為什麼會有這麼多的外掛軟體同時攜帶這款病毒呢?是這些外掛作者開發了這個木馬下載器和勒索病毒麼?帶著這個疑問,我們深入分析發現,受影響的軟體集中在易語言編寫的程式上,更進一步分析顯示,他們使用了同樣的被感染的易語言庫檔案,造成編譯釋出的外掛輔助軟體均被感染了本次的下載器木馬。那這些被感染的庫檔案從何而來的呢,我們在網上找到了線索。
該帶毒模組最初是經由一名使用者釋出到“精易論壇”的,以模組原始碼分享的名義傳播惡意模組:
而精易論壇的管理人員也發現了有人利用論壇傳播木馬,對相關事件進行了處理和說明: ofollow,noindex" target="_blank">https://bbs.125.la/thread-14274716-1-1.html
經分析,該程式碼模組中確實夾雜了“私貨”。使用這個模組編譯出來的程式,會向特定目錄下釋放惡意程式:
其次,惡意模組還會訪問兩個指定的URL網址:
而這兩個URL網址,和我們之前分析的下載者木馬所訪問的網路配置檔案地址相同,其內容是被黑客加密過的配置資訊(內容現已被編輯):
在木馬讀取到上述配置資訊後,會到本地解密成明文的配置內容。這其中,就含有一個名為JingYiMoKuai.ec的易語言庫檔案和一個名為“krnln_static_5.7.lib”的靜態連結庫檔案。
下載器木馬會查詢系統中的“精易模組*.ec”、“JingYiMoKuai.ec”以及“krnln_static.lib”檔案,並使用網上下載的這兩個模組,替換本地對應的模組,汙染這臺計算機的開發環境:
也就是說,惡意程式碼的擴散並不僅僅侷限於木馬自身的傳播,還會通過汙染開發環境,利用其他開發者進行二次傳播,即:
1.原始攻擊者A釋出了隱藏有惡意功能的程式碼模組; 2.其他開發者B從論壇獲取了上述模組,並加入到其開發環境中,這樣B所開發的程式就同樣帶有了惡意功能; 3.如果B開發的一個工具被其它開發者使用,比如C,則開發者C可能會因為使用了這個開發工具也導致自己開發的軟體被感染; 4.使用者D使用C開發的軟體時,也會遭到惡意程式碼的入侵。
如上所述,即便最終的使用者D不知道原始攻擊者A,也從沒用過他的軟體。但依然難逃被其間接攻擊的命運。更形象的傳播擴散流程圖如下:
這類直接感染原始碼或程式碼編譯程式手法並非首次出現,2015年9月,就曾出現過震驚世界的iOS應用感染XCodeGhost病毒的事件。由於大量蘋果開發者使用了被感染的XCode開發工具,導致眾多iOS應用攜帶了惡意程式碼,盜取使用者資訊。這其中甚至包括了很多幾乎所有人都會使用的一些“必備應用”,也均未能倖免。
同樣,就在上個月也發生過類似的案件——一款熱門JavaScript庫被黑客植入了惡意程式碼。而使用Copay的使用者一旦訪問含有該JS庫檔案的網頁就有可能被竊取錢包中的比特幣:
在追溯過程中我們發現,“微信支付”勒索病毒作者早在2017年就開始製作並傳播惡意軟體,在2018年4月已經開始嘗試,在開發者論壇散佈攜帶病毒的專案,下面是其今年攻擊過程的一個時間軸,可以看出攻擊者是做了大量準備的,經過長時間測試後才對外正式傳播病毒。
受影響使用者
我們統計了這次被感染的軟體,目前共計整理出918款軟體,這個數量還在進一步增加。其中絕大部分是輔助類軟體,可以看出有大量輔助工具的開發環境中招,這也造成更多使用這些輔助工具的使用者受到威脅。
下面是部分受影響的輔助工具的檔名截圖:
我們抽取了其中的一些關鍵詞,可以據此看到被攻擊群體的一些特點:
完整的列表可以到此連結處下載: https://bbs.360.cn/attachment.php?key=forum_5c06835608770_%E8%BD%AF%E4%BB%B6%E5%88%97%E8%A1%A8.zip
開發者和使用者都可以檢查一下,自己釋出或者使用的軟體是否在其中, 如果發現有自己使用過的軟體,請儘快使用360安全衛士清除機器中隱藏的病毒木馬!
主要危害
木馬下載器
無論是惡意易語言程式碼模組,還是被感染的應用程式。都會進一步下載更多的惡意軟體到受害使用者機器中執行。其工作流程如下圖:
在傳播的最後階段,木馬母體會通過讀取網路配置檔案的形式獲取包括SQL/">MySQL、FTP、自身更新地址以及病毒分發列表等一系列資訊:
這其中的downURL22欄位所對應的地址,就是後續的“病毒木馬大禮包”。
而在配置檔案中所給出的FTP伺服器中,我們看到了與前文中所寫的Github中相同的配置檔案:
其內容如下:
同時,分析人員還在裡面發現了部分木馬原始碼,使用了與此木馬相似的C&C伺服器:
資訊竊取/原始碼竊取
此外,同樣在配置檔案中給出的MySQL資料庫目前已無法連線。我們目前無法獲知其中的具體資料內容。但根據木馬母體中的程式碼可以看出,該母體會與MySQL資料庫保持通訊,並獲取其中的指令資訊。在獲取到指令後,會根據指令進行對應的操作,功能列表如下:
其中檔案回傳功能,很可能被用來竊取開發者的原始碼。
勒索病毒
回到核心的“病毒木馬大禮包”中來:這其中最主要的當然就是我們的主角“UNNAMED1989”勒索病毒了。其相關分析和具體危害本文不再重複,有興趣可以移步我們之前釋出的報告中 《勒索病毒“UNNAMED1989”中招使用者有解了!》
盜號木馬
除了本次事件的主角之外,在“大禮包”中還包含了一款盜號木馬。經過我們分析,該木馬會試圖竊取 支付寶、京東、163郵箱、微博、百度網盤、QQ、天貓、阿里旺旺、酷狗、迅雷、百度雲 等的賬號密碼。
首先,該木馬會初始化要竊取資訊所需的字串:
完成後,木馬會遍歷程序,找到AliIM.exe,AliWorkbench.exe,360chrome.exe等程序:
一旦找到這些程序,會進一步查詢其視窗,並通過GetGetWindowTextA獲取視窗標題欄的內容:
木馬此時會將獲取到的視窗標題與之前的字串進行匹配,併發送到MySQL資料庫中。此外,木馬還專門針對支付寶的介面設計了定製化的盜號方案。該方案與我們熟知的QQ粘蟲類似(我們就叫它“支付寶粘蟲”好了)——會在出現支付寶支付介面時,建立一個編輯框貼在原本的支付寶支付密碼輸入框上面。這樣一來,使用者輸入的支付密碼實際上是輸入到了木馬建立的虛假支付框中。使用者輸入完密碼,密碼也就被髮送到了黑客的手中:
處置方法
對於開發者
360安全衛士已經可以對該木馬帶來的“易語言模組被感染”問題進行修復。有易語言開發環境並疑似被感染的開發者,可以使用360安全衛士進行掃描查殺。
對於使用者
如果已安裝了360安全衛士的使用者,只要確認360安全衛士實在正常執行的就不必擔心。360安全衛士可正常攔截查殺該類木馬。
如果未安裝360安全衛士或之前將惡意程式新增信任中招的使用者,可安裝360安全衛士進行掃描查殺,徹底清除病毒。同時 “360解密大師”也已支援對該勒索病毒的解密:
預防方案
分析並覆盤此次勒索病毒傳播的始末,我們提出如下一些關鍵點需要大家格外留意:
1.軟體開發人員更要留意電腦保安問題,因為軟體原始檔被感染,造成整個軟體產品被植入惡意程式碼的事件時有發生,而受危害的往往是數量龐大的軟體使用者。軟體開發者應該從正規渠道下載編譯工具及開發環境相關檔案,以免下載到被汙染的開發檔案,影響整個工程環境;
2.無論是開發者還是普通使用者,都應安裝安全軟體並確保其正常執行,保護電腦保安;
3.作為普通使用者,應該從正規渠道獲取軟體,同時做到不在安全軟體退出的情況下使用來源不明的軟體;
4.重要資料要及時備份。如果有條件,儘可能分開備份,以免備份資料與原始資料被同時加密或刪除;
5.請相信安全軟體的判斷結果!切勿相信某些軟體聲稱自己是被誤報的論調。發現感染勒索病毒後,可以第一時間聯絡360網際網路安全中心。
*本文作者:360安全衛士,轉載請註明來自FreeBuf.COM