记一次与QNAPCrypt讹诈软件背地黑手的攻防战 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

申博_安全防护 申博 74次浏览 已收录 0个评论

引见

针对Linux操纵体系的讹诈软件在过去并不罕见,不过当今收集犯罪分子们好像有最先往这方向生长的趋向,且试图经由历程种种要领在这一领域中攫取利润。

近日,Intezer检测到了一同针对基于Linux文件存储体系(NAS服务器)的讹诈软件行动,其目标是感染并加密文件以讹诈赎金。Intezer将此讹诈软件命名为QNAPCrypt(作者标记歹意软件的称号),QNAP是一家着名的NAS服务器品牌供应商。NAS服务器一般存储大批重要数据和文件,这也使得它们成为了进击者眼中的一块肥肉。

现在,QNAPCrypt在一切重要的平安解决方案中的检测率都异常低。

本文的前两部份将简朴诠释下QNAPCrypt的事情机制,以及我们是怎样经由历程歹意软件基础设施中的两个设想缺点来临时中止这场歹意行动的(不过也迫使进击者布置了新的歹意软件样本)。末了,我们将对歹意软件举行细致的手艺剖析。

以下是Intezer对QNAPCrypt样本的遗传剖析,仅供参考:

· ARM变种

· x86 变种

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

QNAPCrypt的事情机制

QNAPCrypt讹诈软件的事情道理与其他讹诈软件相似,不过也有几个显著区分:

1. 赎金单子仅作为文本文件包括在内,受害者屏幕上不会显现任何音讯——这是理所应当的,因为受进击的是服务器而不是终端。

2. 进击者会为每一个目标分派一个唯一的比特币钱包——这可以协助进击者防备被追踪。

3. 受害者遭到进击后,歹意软件会在文件加密之前从敕令和掌握服务器(C&C)请求钱包地点和大众RSA密钥。

我们是怎样应用这场行动的?

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

为了进一步研讨歹意软件及其行动,我们编写了一个脚原本捏造了一场大范围的感染。在对数百名“受害者”举行进击后,我们发明了讹诈软件架构中的两个重要的设想缺点:

1. 比特币钱包列表是事前建立的,而且是静态的。也就是说,它不会为每一个新受害者及时建立新钱包,而是从牢固的预定列表中提取钱包地点。

2. 一旦分派完一切钱包,讹诈软件将没法继承在受害者的机械中举行歹意操纵。

在捏造了15批总计凌驾1,091次感染后,我们发明进击者用完了钱包的份额,照理说接下来的感染历程也会随之完毕,但以后几天,却涌现了一个新变种,进击者在个中更新了植入顺序,绕过了基础设施中的设想缺点,从而能继承他们的歹意行动。

新样本与前QNAPCrypt样本和Linux.Rex(一种Linux木马)之间都有大批代码重合,且此次运用了嵌入式静态钱包和RSA公钥。

手艺剖析

新样本中,起首新增的是一个静态链接的Golang二进制文件,它是用ARM架构的Go链接器构建的。在我们的全部研讨历程当中还确认有基于其他构架的变体,如x86 / x64。

Go二进制文件在被剥离时每每很难剖析,因为剥离的静态链接二进制文件一般比动态链接二进制文件更难剖析。

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

上图所示的这个二进制文件是一个Go可实行文件,可经由历程它的节头表中的节名检察。

假如能知道上图中红框凸起显现的地区的位置(尤其是.gopclntab部份),就可以够重修它们的标记称号和偏移量。要领以下图所示:

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

想要进一步相识怎样在Go二进制文件中添补函数名,我们强烈建议检察Tim Strazzere在GitHub中的演示和剧本。

在检索Go函数名以后,剖析二进制代码就变得简朴许多,以下图所示可以凸起显现应用顺序的相干函数。不要遗忘二进制文件的大小是4MB。

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

在对目次白名单和相似功用的参数举行了频频加密算法初始化和剖析以后,歹意软件将向CNC发送一个GET请求,表明一个新的受害者已被进击,体系锁定正在发作:

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

发送此GET请求后,歹意软件将尝试运用SOCKS代办协定版本5的客户端检索受害者密钥设置。

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

此代办将请求衔接到洋葱的域名(.onion)。下图示意衔接的相干数据包:

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

经由历程代办胜利衔接到洋葱域后,将完成对讹诈软件REST API的另一个GET请求,此步的目标是检索将用于加密文件体系的RSA公钥,一个唯一的比特币钱包和受害者的赎金关照。一切这些构件好像都是基于特定的运动ID举行检索的。

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

服务器的相应以下:

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

猎取受害者设置以后,歹意软件将删除本身,然后剖析检索到的RSA公钥。

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

这个RSA公钥将用于加密一组随机字节序列,序列用于加密文件体系。加密密钥采纳的是base64编码,并将写入名为README_FOR_DECRYPT.txt的赎金申明文件的末端。我们还注意到,讹诈软件为每一个受进击的体系分派了差别的比特币钱包:

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

应用AlwaysInstallElevated提权的测试剖析

0x00 前言 利用AlwaysInstallElevated提权是一个2017年公开的技术,Metasploit和PowerUp都提供了利用方法。 我在研究的过程中,发现Metasploit的利用方法存在一些不足,我遇到了和其他公开文章描述不一样的情况。 于是我做了进一步的研究,本文将要介绍我遇到的问题和解决方法。 0x01 简介 本文将要介绍以下内容: · 常规利用方法 · 我在测试中遇到的问题 · 解决方法 · 扩展利用思路 0x02 常规利用方法 AlwaysInstallElevated是一个组策略配置,如果启用,那么将允许普通用户以SYSTEM权限运行安装

建立该文件后,歹意软件将继承实行锁定机制,运用派生加密密钥AES CFB遍行文件体系加密文件,会防备加密方才建立的赎金关照:

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

歹意软件针对有以下扩展名的文件:

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

加密后歹意软件会重命名文件,使其后缀为“.encrypt”:

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

如要举行体系解密,需要在付出了所需的赎金后,把RSA公钥加密的base64编码随机序列经由历程洋葱网站发送给讹诈软件运营商:

体系锁定完成后,讹诈软件将再次经由历程CNC向受害者发送关照:

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

二进制文件以外

在剖析QNAPCrypt时,我们愿望杀青的目标之一是评价受害者的范围,因而在Reddit上找到了一个帖子,联系了一些受影响的受害者:

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

在与一些受害者攀谈时,我们可以将最初的进击序言识别为SSH暴力进击,而且进击重要针对NAS服务器供应商:

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

接着我们研讨了进击者的基础设施。在ARM的样本中,发明有一个经由历程其REST API的请求,目标是像前面议论的那样检索新的受害者设置密钥。下图是讹诈软件的操纵概览:

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

到SOCKS5代办的衔接是在不强制实行任何身份验证的情况下完成的,任何人都能连,因而我们决议与讹诈软件的基础设施举行交互,以检索设置密钥,并能够临时中止讹诈软件的操纵:

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

因为进击者从钱包的静态池中为每一个受害者供应了一个比特币钱包,我们可以经由历程复制感染包来检索一切钱包,直到他们没法掌握其他的钱包,如许当感染发作时,被讹诈的用户将不会被检索到设置工件。

我们编写了以下脚原本完成上述要领:

import socket
import hexdump
import json
import sys
 
HOST = '192.99.206.61'  
PORT = 65000        
 
for i in range(15):
    BTC_WALLETS = list()
    while True:
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.connect((HOST, PORT))
        
        s.send(b'\x05\x01\x00')
        data = s.recv(1024)
        hexdump.hexdump(data)
        
        s.send(b'\x05\x01\x00\x03\x16' + b'sg3dwqfpnr4sl5hh.onion\x00' + b'\x50')
        data = s.recv(1024)
        hexdump.hexdump(data)
        
        s.send(b'GET /api/GetAvailKeysByCampId/%.2d HTTP/1.1\x0d\x0a' % i +
                b'Host: sg3dwqfpnr4sl5hh.onion\x0d\x0a' +
                b'User-Agent: http/2\x0d\x0a' +
                b'Accept-Encoding: gzip\x0a\x0d\x0a')
        data = s.recv(1024)
        print '[+] Campaign id %.2d' % i
        hexdump.hexdump(data)
 
        try:
            data = json.loads(data[data.find('{'):])
            print data['BtcPublicKey']
            s.close()
            
            if data['BtcPublicKey'] not in BTC_WALLETS:
                BTC_WALLETS.append(data['BtcPublicKey'])
            else:
                sys.exit()
 
        except ValueError as e:
            print "[+] CAMPAIN HAS NO WALLETS LEFT"
            with open("wallets_%0d.txt" % i, 'w+') as fd:
                for wallet in BTC_WALLETS:
                    fd.write(wallet+'\n')
            break

一共收集了预备经由历程15次行动分发的1091个奇特的钱包。

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

经由历程耗尽进击者贮存的比特币钱包,我们可以临时阻挠歹意软件的进一步流传,因为假如没法剖析RSA公钥,客户端就会退出:

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

下图显现了在耗尽全部静态比特币钱包池后洋葱域将检索到的数据包:

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

HTTP请求返回200,但内容长度为0,因而没法检索设置,讹诈软件客户机也会住手实行。这意味着,我们经由历程不停耗尽其静态比特币钱包池,阻挠了讹诈软件的进一步感染。

归因与进击者回响反映

在一连几天对QNAPCrypt客户机举行DoS操纵以后,我们遇到了另一个QNAPCrypt样本,此次是针对x86体系的。

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

基于遗传歹意软件剖析,我们观察到该样本中重用了x86 Linux.Rex的大部份代码。Linux.Rex因在2016年布置针对Drupal服务器的进击而著名,目标是举行讹诈软件和DDoS操纵。

下面是Linux.Rex和更新后的QNAPCrypt变体之间的一些相似之处:

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

只管这两种歹意软件功用上有所区分,但值得注意的是,它们都是以相似的体式格局编写的。

另外,我们可以观察到新样本与QNAPCrypt的ARM实例的相似之处,但也有一些区分——RSA公钥、比特币钱包和赎金单子在二进制文件中是硬编码的:

记一次与QNAPCrypt讹诈软件背地黑手的攻防战

我们还可以看到,硬编码的洋葱域和ARM变种的完整一样,付出赎金的网站设想也是一样的,不过比特币的赎金请求好像比之前的版本要低一些:

我们以为,这些新样本许多是进击者的应对行动,他们被迫更新了代码,并将比特币钱包集中了起来,使追踪收入变得越发轻易。

结论

我们在前文中引见了QNAPCrypt讹诈软件的运行机制,以及我们发明设想缺点、防备歹意软件进一步感染的历程,终究让进击者更新了绕过这些缺点的新样本。

另外,Golang歹意软件数目上好像正在显现上升趋向,因为它异常利于建立跨平台的歹意软件。

我们还议论了Linux讹诈软件与Windows讹诈软件在目标挑选上能够略有差别,例如在本例中是NAS服务器,而不是Linux端点。

当前,QNAPCrypt的检出率很低,与其他范例的Linux要挟比拟,它能够会形成严重的款项损失和经济损失。

另外,我们还建立了一个自定义的YARA署名,用于检测将来的QNAPCrypt变体。

原文地点: https://www.4hou.com/web/19233.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明记一次与QNAPCrypt讹诈软件背地黑手的攻防战
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址