后门FCKQ(CTB-Locker)的兴起
非官方中文译文•安天技术公益翻译组译注 文档信息 | 原文名称 | The Rise of Backdoor-FCKQ (CTB-Locker) | 原文作者 | | 原文发布日期 | 2015年1月21日 | 作者简介 | uk.linkedin.com/pub/raj-samani/0/7b9/369 Christiaan Beek是迈克菲实验室的威胁情报总监,其研究方向包括事件响应、逆向工程恶意软件、数字取证等。 | 原文发布单位 | 迈克菲实验室
| 原文出处 | | 译者 | 安天技术公益翻译组 | 校对者 | 安天技术公益翻译组 | 免责声明 | • 本译文译者为安天实验室工程师,本文系出自个人兴趣在业余时间所译,本文原文来自互联网的公共方式,译者力图忠于所获得之电子版本进行翻译,但受翻译水平和技术水平所限,不能完全保证译文完全与原文含义一致,同时对所获得原文是否存在臆造、或者是否与其原始版本一致未进行可靠性验证和评价。 • 本译文对应原文所有观点亦不受本译文中任何打字、排版、印刷或翻译错误的影响。译者与安天实验室不对译文及原文中包含或引用的信息的真实性、准确性、可靠性、或完整性提供任何明示或暗示的保证。译者与安天实验室亦对原文和译文的任何内容不承担任何责任。翻译本文的行为不代表译者和安天实验室对原文立场持有任何立场和态度。 • 译者与安天实验室均与原作者与原始发布者没有联系,亦未获得相关的版权授权,鉴于译者及安天实验室出于学习参考之目的翻译本文,而无出版、发售译文等任何商业利益意图,因此亦不对任何可能因此导致的版权问题承担责任。 • 本文为安天内部参考文献,主要用于安天实验室内部进行外语和技术学习使用,亦向中国大陆境内的网络安全领域的研究人士进行有限分享。望尊重译者的劳动和意愿,不得以任何方式修改本译文。译者和安天实验室并未授权任何人士和第三方二次分享本译文,因此第三方对本译文的全部或者部分所做的分享、传播、报道、张贴行为,及所带来的后果与译者和安天实验室无关。本译文亦不得用于任何商业目的,基于上述问题产生的法律责任,译者与安天实验室一律不予承担。
|
后门FCKQ(CTB-Locker)的兴起
Raj Samani (@Raj_Samani) , Christiaan Beek (@ChristiaanBeek)
2015年1月21日
在迈克菲实验室2014年11月发布的报告中,高级副总裁Vincent Weafer指出2014年会作为“信用动荡年”被大家铭记。事实上,每一种威胁在第三季度都有明显增加,这也是对2015年的预兆。但也有例外:勒索软件。
上图反应了勒索软件威胁的减少,但是如迈克菲实验室的威胁预测指出:勒索软件的传播、加密及目标搜索的方法将会不断进化。
对大多数人来说,后门FCKQ (也就是CTB-Locker)的出现使得这一预言听起来真实可靠。后门FCKQ是通过诸如IRC、点对点网络、新闻组检索、垃圾邮件等多途径传播的。
细节
“后门-FCKQ”是一种新型加密恶意软件,通过电子邮件传播,旨在加密目标系统中的文件。
它自我复制到以下文件:
%temp%< 7 random characters>.exe
%temp%\wkqifwe.exe
它也可以创建包含7个随机字符的工作任务:
%windir%\Tasks\cderkbm.job
它将以下注册表值添加到系统中:
%ALLUSERSPROFILE%\Application Data\Microsoft\<7 random characters>
它向svchost.exe注入代码,svchost.exe会从以下目录启动文件:
%temp%\<7 random characters>.exe
注入svchost.exe的代码会用以下拓展名加密文件:
.pdf
.xls
.ppt
.txt
.py
.wb2
.jpg
.odb
.dbf
.md
.js
.pl
一旦被感染,该恶意软件就会在系统上显示如下图片:
新创建的进程会创建一个互斥体,名为:
\BaseNamedObjects\lyhrsugiwwnvnn
新一轮后门FCKQ的有趣之处是它使用了众所周知的下载器Dalexis。这种下载器有几个版本,在内部数据库中进行简单搜索就会出现900多个该下载器及其变种的结果。为了绕过反垃圾邮件工具,该下载器隐藏于一个zip文件中,最后解压为.scr (屏幕保护)文件。
该下载器的功能就是从特定位置下载其他的恶意软件,解压Xor编码的恶意代码并运行。这种情况下,下载的真正CTB’恶意软件被打包在一个名为‘pack.tar.gz’的文件中。
图 1: ‘pack.tar.gz’
如上述截图所示,并不存在代表已知文件类型的文件标头。例如,如果这是一个可执行文件,前两个字符(即魔数)就应该是 “MZ”。这便是恶意软件编写者试图规避恶意软件网关检测的方法之一。最近,我们看到多次的伎俩就是将恶意软件的有效负载荷置于Pastebin 或 Github上。
在这种情况下,‘pack.tar.gz’ 文件用不同的XOR密钥来加密部分文件,一旦破解了这个谜团,后门FCKQ的解压代码就呈现出来了。
图2:后门-FCKQ的解压代码
有大量后门-FCKQ(CTB-Locker)的样本作为对比资料,我们能够迅速识别各个代码部分。
快速的Yara检测规则,如下所示:
比特币踪迹
当追踪比特币的踪迹及可能发生的交易时,账户上没有发现任何价值,也没有与其他账户的交易。
清除
所有用户:使用当前的“引擎和DAT 文件”进行检测和清除。
如果使用推荐的引擎和DAT文件(或更高版本的),就可以成功清除为了挂钩系统启动而做出的系统注册表及/或INI文件修改。
特别感谢Sanchit Karve先生的分析援助。
安天公益翻译(非官方中文译文)下载:
后门FCKQ(CTB-Locker)的兴起[非官方中文译文安天技术公益翻译组译注].pdf
(785.34 KB, 下载次数: 110)
|