讹诈构造INDRIK SPIDER半路分爨,DoppelPaymer应运而生 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

讹诈构造INDRIK SPIDER半路分爨,DoppelPaymer应运而生

申博_安全工具 申博 50次浏览 未收录 0个评论

CrowdStrike研讨团队近日肯定了BitPaymer讹诈软件的一类新变种,并将其命名为DoppelPaymer。自2019年6月以来,DoppelPaymer触及了一系列歹意讹诈运动,个中就包括美国德克萨斯州埃德库奇市和智利的农业部的突击事宜。

DoppelPaymer与BitPaymer大部份代码是雷同的,不过也存在许多差别。BitPaymer之前一向由INDRIK SPIDER歹意组织运营,这个改变能够意味着INDRIK SPIDER有成员出走,并自即将Dridex银行木马和BitPaymer融会到了一同,开启了专属于本身的犯法途径。

INDRIK SPIDER劈头

INDRIK SPIDER是一个庞杂的收集犯法集团,该组织自2014年6月以来就一向在运营Dridex银行木马。在2015年和2016年,Dridex是全球违法收益最高的银行木马之一。自2014年以来,INDRIK SPIDER已经由历程该木马取得数百万美圆的非法利润。经由多年的运营,现在Dridex已举行了屡次更新,变得越发庞杂和专业,同时在歹意软件中增添了新的反剖析功用。

跟着时候的推移,INDRIK SPIDER在其主营业务——电汇敲诈中也变得不再顺风顺水。2015年,INDRIK SPIDER的假名子公司“Smilex”被捕,以后英国执法部门也采取了行动,指在崩溃INDRIK SPIDER在Dridex运动中的洗钱收集,与此同时,一位协助他们竖立子虚账户的英国银行雇员也被抓捕入狱。

或许由于这些障碍,INDRIK SPIDER在2017年改变了他们的操纵体式格局,只举行范围较小的Dridex分发运动。2017年8月,该组织又引入了BitPaymer讹诈软件,并最先专注于这类高额赎金的讹诈行动。

BitPaymer劈头

BitPaymer于2017年8月初次发明,首版的赎金单子包括了赎金要乞降基于TOR付出的网站链接,网站页面以下所示,有题目“Bit paymer”、用户ID、比特币(BTC)钱包和联络电子邮件地点;然后不到一个月,单子中就不再包括赎金金额;到了2018年7月,付出网站的链接也被删除了;再以后到现在,单子中就只剩下了两封用于协商的联络邮件地点。

(关于BitPaymer详细剖析请见此)

讹诈构造INDRIK SPIDER半路分爨,DoppelPaymer应运而生

图1.最早的BitPaymer付出页面

BitPaymer最新版本

2018年11月,BitPaymer严重更新。单子中有了受害者的姓名,加密文件的文件扩展名也用受害者姓名来示意,以下图2所示:

讹诈构造INDRIK SPIDER半路分爨,DoppelPaymer应运而生

图2.最新BitPaymer讹诈凭证

除了上述更改以外,BitPaymer还更新为运用AES-256的CBC(暗码块链接)形式,以及随机天生的密钥和NULL初始化向量来加密(之前版本的BitPaymer运用的是128位RC4)。

由于AES是块暗码,在数据不是块大小的倍数的情况下需要对其添补,通常是经由历程增添零或n次添补字节n次(也称为PKCS#7)来完成。然则,INDRIK SPIDER挑选用随机天生的n个字节来添补,也就是说必需晓得这些随机添补的字节才准确解密文件的末了一个数据块。这反映在讹诈申明的新字段TAIL中,如图2所示,个中包括Base64编码的TAIL和加密的AES KEY。

风趣的是,BitPaymer代码中还部署了一个加密初始化函数,该函数会挑选三种所需加密算法中的一种,详细由通报给函数的整数参数挑选。关于128位RC4、128位AES、256位AES,其对应值分别为1,2和3。较新版本的BitPaymer是将硬编码值3通报给函数,即用到了256位AES加密算法,如图3所示:

讹诈构造INDRIK SPIDER半路分爨,DoppelPaymer应运而生

图3.最新版BitPaymer加密挑选历程的伪代码

跟着文件加密例程的更新,受害者特定的RSA公钥的大小也从1,024位增添到4,096位。此非对称密钥用于加密天生的对称文件加密密钥。假如付出了赎金,INDRIK SPIDER将供应一个解密东西,个中包括响应的受害者的RSA私钥。

现在还不清晰为何INDRIK SPIDER从RC4转移到AES,多是由于忧郁RC4与AES比拟相对较弱。RSA密钥大小的增添也极大地加强了加密密钥的加密强度。

自2018年11月更新以来,INDRIK SPIDER已至少在15次行动中运用了BitPaymer,仅在2019年6月和7月就发生了多起事宜。

熟悉DoppelPaymer

DoppelPaymer的第一批已知受害者涌现于2019年6月,但DoppelPaymer的初期版本早在2019年4月就已宣布,初期版本比拟后续版本缺少许多新功用,因而现在尚不清晰是不是只是为了测试而组织的这些版本。

到现在为止,我们已肯定了8个差别的歹意软件版本和3名受害者,赎金金额分别为2 BTC、40 BTC和100 BTC。依据撰写本文时的美圆兑BTC汇率,这些赎金金额从约莫25,000美圆到凌驾1,200,000美圆不等。

DoppelPaymer运用的赎金单子类似于BitPaymer在2018年运用的原始单子。单子里不包括赎金金额,但包括TOR付出链接,而用来标识加密密钥的关键字也从KEY变成了DATA,如图4所示:

讹诈构造INDRIK SPIDER半路分爨,DoppelPaymer应运而生

图4. DoppelPaymer赎金单子

DoppelPaymer的付出网页与原始的BitPaymer网页险些完全雷同。题目一样,也运用唯一ID来辨认受害者,网页显现了赎金金额、倒数计时器和BTC地点,以下图5所示:

讹诈构造INDRIK SPIDER半路分爨,DoppelPaymer应运而生

图5. DoppelPaymer付出页面 

DoppelPaymer和BitPaymer加密比较

虽然DoppelPaymer和BitPaymer大批代码互通,然则存在一些值得注意的差别,如表1所示:

SLUB最新变种分析:仅靠 Slack进行C2通信

4个月之前,研究人员发现一起使用一款新出现的恶意软件SLUB的攻击活动。SLUB利用CVE-2018-8174 VBScript引擎漏洞来进行传播,使用GitHub和Slack作为恶意软件与控制器和控制器之间的通信工具。 7月9日,研究人员发现一个新的SLUB变种通过了一个水坑网站进行传播。该恶意站点使用了IE 漏洞CVE-2019-0752。这是研究人员从4月开始发现该漏洞之后首次发现在野漏洞利用。 新版本的SLUB恶意软件已经不再使用GitHub来进行通信,而是使用Slack。Slack是一个协作的消息系统,用户可以通过频道(channel)来创建自己的工作空间。研究人员发现这些传播SLUB恶意软件的站点都与朝鲜政府有关。 感染链 SLUB

讹诈构造INDRIK SPIDER半路分爨,DoppelPaymer应运而生

表1. DoppelPaymer和BitPaymer之间的相干差别

DoppelPaymer运用的战略,手艺和递次(TTP)与BitPaymer的先前的有明显的相似之处,比方运用TOR举行赎金付出和.locked的扩展名。大批堆叠的代码也表明DoppelPaymer是BitPaymer的最新变种。比方,在最新版本的BitPaymer中,RC4字符串殽杂的代码在加密之前反转字节,还包括了一个辅佐函数,它支撑多种形式的对称加密(即RC4,128位AES和256-位AES),如图3所示。

新的DoppelPaymer功用和ProcessHacker的运用

除了上面所说的修改以外,BitPaymer的源代码也被大批修悛改,以革新和加强DoppelPaymer的功用。比方,文件加密是线程化的,这能够进步加密的速率;更新了收集罗列代码以剖析受害者体系的地点剖析协定(ARP)表,并运用敕令arp.exe -a检索该表;经由历程nslookup.exe将本地收集上其他主机的效果IP地点与域剖析效果相结合(之前版本的BitPaymer运用敕令net.exe视图来罗列收集共享。)

另外,DoppelPaymer仅在供应特定的敕令行参数后才运转。歹意软件管帐算在敕令行上通报的第一个参数的CRC32校验和,并将其增添为在二进制文件中硬编码的常量值,再将指令指针地点增添到此效果,该效果将成为用于继承实行歹意软件的jmp的目的。硬编码的常量值关于每一个构建都是唯一的。在我们剖析的样本中,该值为0x672e6eb7,以下面的图6所示:

讹诈构造INDRIK SPIDER半路分爨,DoppelPaymer应运而生

图6. DoppelPaymer掌握流殽杂

假如未供应参数,或许敕令行上供应的值不准确,则DoppelPaymer将崩溃。此设想能够指在障碍自动歹意软件剖析环境。

或许DoppelPaymer最有意义的一点修改是停止能够滋扰文件加密的历程和效劳。DoppelPaymer包括了一些CRC32历程校验和效劳名,都被列入了黑名单。歹意软件作者运用CRC32校验和而不是字符串来障碍逆向工程。然则,能够强制实行一切的校验和并恢复响应的字符串,如附录中的表7-11所示。

ProcessHacker

为了停止个中一些历程和效劳,DopplePaymer运用一种风趣的手艺来应用ProcessHacker(一种正当的开源治理实用递次)。此应用递次与内核驱动递次绑缚在一同,可用于停止历程和效劳。 DoppelPaymer绑缚了六个可移植的可实行(PE)文件,这些文件在歹意软件的sdata部份中举行了加密和紧缩。这些PE文件包括以下32位和64位版本:

· ProcessHacker应用递次

· ProcessHacker内核驱动递次

· 应用ProcessHacker的自定义stager DLL

运用sdata部份的前16个字节作为RC4密钥来提取模块,进而解密后续4个字节的数据,这就是后续加密数据的大小(big-endian)。背面的加密数据还运用前16个字节作为RC4密钥来解密盈余数据。花样以下表2所示:

讹诈构造INDRIK SPIDER半路分爨,DoppelPaymer应运而生

表2.加密的DoppelPaymer ProcessHacker相干模块的花样

解密后,前4个字节是紧缩数据的大小,接下来的4个字节是未紧缩数据的大小,背面是紧缩数据,如表3所示:

讹诈构造INDRIK SPIDER半路分爨,DoppelPaymer应运而生

表3.加密的DoppelPaymer ProcessHacker相干模块标头和数据的花样

运用aPLib对数据举行解压,aPLib天生自定义结构化花样的PE文件,个中每一个PE包括一个8字节的头,由一个4字节的魔法值(Magic value)构成,然后是另一个4字节的值,指定以下PE数据的大小,如表4所示:

讹诈构造INDRIK SPIDER半路分爨,DoppelPaymer应运而生

表4. DoppelPaymer ProcessHacker封装模块花样

表5是每一个ProcessHacker组件的魔法值和SHA256哈希。

讹诈构造INDRIK SPIDER半路分爨,DoppelPaymer应运而生

表5. DoppelPaymer中嵌入的加密PE文件

解压后,上述的三个二进制文件都写入统一目次。ProcessHacker和内核驱动递次都是作为随机文件名编写的,然则stager DLL文件名被选为ProcessHacker导入的DLL称号之一。 DoppelPaymer实行ProcessHacker,它经由历程DLL搜刮递次挟制加载stager DLL。一旦加载,ProcessHacker的内核驱动递次就会被用来杀死黑名单上的历程。

DoppelPaymer与Dridex 2.0

2019年6月4日起,Emotet歹意软件中有涌现Dridex加载递次(SHA256散列813d8020f32fefe01b66bea0ce63834adef2e725801b4b761f5ea90ac4facd3a)的征象。Dridex样本包括了从其sdata部份解密32位/64位中心bot模块的代码,运用与DoppelPaymer从其sdata部份提取PEs完全雷同的加密、紧缩和数据花样(前面已形貌过)。此视察效果将此Dridex变种直接与DoppelPaymer联络了起来。

Dridex样本也很不平常,不仅由于Dridex加载器与bot中心模块绑缚在一同(而不是从C2效劳器动态检索它),还由于bot中心模块的版本号为2.0.0.78。而且该变种后续还在更新,在撰写本文时最新版本为2.0.0.80。值得注意的是,Dridex的先前样本的版本号为4.0.0.87。现在还不清晰为何歹意软件作者决议运用较低的版本号,但有一种诠释是,歹意软件作者将这个新创作视为“Dridex 2.0”。

结论

BitPaymer和DoppelPaymer的行动还在继承运转当中。并行操纵,加上BitPaymer和DoppelPaymer之间明显的代码堆叠,极能够意味着操纵DoppelPaymer的要挟行动者已从INDRIK SPIDER平分裂了出来,开启了专属于本身的犯法途径。

IoC

讹诈构造INDRIK SPIDER半路分爨,DoppelPaymer应运而生

原文地点: https://www.4hou.com/typ/19321.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明讹诈构造INDRIK SPIDER半路分爨,DoppelPaymer应运而生
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址