一、概述 勒索病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
自从winrar被爆出存在高危漏洞(cve-2018-20250)以来,因为该漏洞简单易用,备受攻击者青睐。攻击者精心构造恶意ace文件进行投递后,只要受害者解压文件,然后重启电脑,系统便会自动执行攻击者投递的恶意木马。近日,御见威胁情报中心捕获到几例利用cve-2018-20250漏洞进行传播的新样本,具体分析见下文。
二、样本分析
1、利用多重压缩包嵌套企图逃避杀毒软件的查杀,同时通过投递多个木马增加木马被执行的概率,相关分析如下:
md5
文件名
e2a487784661d19442c71a2ef8ef0256
2019-bitcoin-tricks-pdf-bookzip
样本母体包含了一个压缩包文件projectzip和?scr。?scr是伪装成屏保文件的androm后门木马,projectzip则为实际利用cve-2018-20250漏洞的恶意ace文件,解压即可看到它在系统启动项目录释放名为int-driverexe的androm后门木马。androm木马通常从c2服务器接收攻击者指令,根据指令盗取受害主机数据,或者投递其他恶意木马。
2、压缩包内包含大量热门游戏账号密码,或暗网泄露的google邮箱账号密码,诱导受害者解压恶意文件,相关分析如下:
md5
文件名
5c3fe67603e0ae93f1b728edc03c6ab2
smash_fornite_logsrar
432fe2822e61f155d50ae543bd7e712b
1mill_usa_emailpwrar
以样本5c3fe67603e0ae93f1b728edc03c6ab2为例进行分析。fornite(堡垒之夜)是一款非常热门的第三人称射击游戏,而”smash fornite dance”则是堡垒之夜中风靡一时的舞蹈挑战,想要角色跳出不同的舞蹈动作,需要游戏账号有相应的皮肤。攻击者以此为诱饵,欺骗目标用户解压。
压缩包中包含了多个txt文件,每个txt文件按照皮肤分类命名,而每个txt文件又包含了大量明文的账号密码。
如果受害者对这些大量的游戏账号密码感兴趣,则很有可能进行解压操作。解压后tinynuke银行木马将会被释放到系统启动项目录。
tinynuke(又名nuclear bot)是一个功能非常强大的银行木马。它具备反向sock代理、隐藏cnc、uac绕过、windows防火墙绕过、rootkit等功能模块。除此之外,它还可以在受害者访问银行网站时窃取密码并注入任何内容,同时还自带了bot-killer(一种迷你防火墙),用于清除受害主机上的其他恶意软件。
3、伪装成报价单的恶意ace文件样本
md5
邮件主题
caf56379df8f73d165045c9b43408a6a
re:request for quotation
攻击者伪装成elite的员工向位于巴西的服装piabacamisas发送钓鱼邮件,并索要报价单,邮件附件为“purchased
orderace“文件。
解压该ace文件后,并没有像预期一样,释放恶意木马到系统启动项目录。将该ace文件与cve-2018-20250漏洞利用文件进行对比,发现“purchased orderace“并不是有效的cve-2018-20250漏洞利用样本。
解压目录下,只有一个伪装为office文档的exe文件,该文件实际是lokibot木马,运行后会从c2服务器hxxp:tvlikedcommfrephp接收攻击者指令,根据指令盗取受害主机数据,或者投递其他恶意木马。
三、安全建议
1、将winrar等压缩工具软件更新到最新版本,可通过电脑管家的软件管理功能,升级你正在使用的压缩解压缩工具。
2、可以直接删除winrar或其他压缩工具安装目录下的unacev2dll文件,但会造成ace文件无法使用(其实ace格式解不了问题不大,winace都关门十多年了,这么老的压缩格式,不支持了也没什么大不了)
3、切勿随意打开未知文件。
4、开启电脑管家的实时防护功能,拦截可能的病毒攻击
四、iocs
ip
472547913
2006345154
domain
tvlikedcom
buyproxiessu
sushantshometripodcom
henurlcom
md5
a557414fa6e7e086fd7b4d0aca4aab0e
15977cdf04cb02fe0f29f1d282a7a5a6
42e14de347bac9ec8a78da00964d13bf
2b0b8fe24ef2e55c4957649f2294499b
1a443c2fee7c2032549bdefc98f0e9e0
807dce80efc499c9cb752a83299e3254
d9605700f846aaf6935cc45b0dabed40
0627c18aa48366c4411acaf85b491ed8
url
hxxp:tvlikedcommfrephp
hxxp:
buyproxiessussl
hxxp:sushantshometripodcom
hxxp:henurlcombitzip
hxxp:henurlcom2019-bitcoin-tricks-pdf-bookzip