此外,由于該勒索軟件利用的加密過程中出現(xiàn)的問題,即使受害者支付贖金,惡意軟件制作者也無法將數(shù)據(jù)返回給受害者。雖然以前的報(bào)道似乎表明這屬于意外情況,但具體的攻擊活動(dòng)似乎證明,在某些情況下,攻擊者是有意為之。為了應(yīng)對(duì)這種威脅,Talos 團(tuán)隊(duì)發(fā)布了 ThanatosDecryptor ,這是一款免費(fèi)解密工具,可利用 Thanatos 所使用的文件加密方法中的設(shè)計(jì)漏洞。如果受害者的數(shù)據(jù)感染了該勒索軟件,受害者可使用此實(shí)用程序來重新獲得數(shù)據(jù)的訪問權(quán)限。
技術(shù)詳情
Thanatos 的不斷演進(jìn)
在跟蹤和分析各種用于傳播 Thanatos 勒索軟件的攻擊活動(dòng)時(shí),Talos 發(fā)現(xiàn)了此惡意軟件的多個(gè)不同版本,這表明惡意軟件制作者一直在積極開發(fā)這種惡意軟件。攻擊者使用勒索信通知受害者其已被感染并提供有關(guān)如何向攻擊者支付贖金的說明,從勒索信中可以直接發(fā)現(xiàn)這些不同版本之間的主要差異。Thanatos 的版本 1 是在今年 2 月中旬分發(fā)的,采用非常原始的勒索信,以 README.txt 文件形式存儲(chǔ)在受害者的桌面。
在此版 Thanatos 中,勒索信只是通知用戶其文件已被加密,并指示用戶向指定的比特幣錢包支付數(shù)額為 0.01 比特幣 ( BTC ) 的贖金。Talos 團(tuán)隊(duì)分析發(fā)現(xiàn),此版 Thanatos 的所有樣本都使用相同的硬編碼錢包地址,而不是在各個(gè)樣本之間使用不同的錢包地址。支付似乎采用的是手動(dòng)處理方式,并且以郵件為基礎(chǔ),這意味著,相比其他更廣為人知的勒索軟件系列( 比如Locky、Cerber等 ),攻擊者的資源以及勒索軟件創(chuàng)建和傳播技術(shù)知識(shí)有限。
版本 1 的傳播被發(fā)現(xiàn)后不久,惡意軟件傳播活動(dòng)便開始傳播 Thanatos 版本 1.1,版本 1.1 的絕大多數(shù)傳播活動(dòng)發(fā)生于 2018 年 2 月到 4 月之間。此更新版本的 Thanatos 在攻擊者用于接受贖金的加密貨幣類型方面與之前版本有幾個(gè)顯著差異。
如上面的勒索信屏幕截圖所示,Thanatos 版本 1.1 支持使用比特幣、以太坊和比特幣現(xiàn)金支付贖金。此外,該惡意軟件現(xiàn)在指示受害者通過郵件將唯一計(jì)算機(jī) ID 發(fā)送給攻擊者。
有趣的是,Talos 團(tuán)隊(duì)分析發(fā)現(xiàn),各個(gè)樣本之間對(duì)勒索信進(jìn)行了多次更改。下面是此惡意軟件使用的勒索信的又一個(gè)示例。請(qǐng)注意,攻擊者已更改了用于與受害者通信的郵件地址。攻擊者還聲稱可以處理用大零幣支付的贖金,而不是使用其他勒索信中列出的其他加密貨幣。
在調(diào)查攻擊者用來使受害者感染并阻止受害者訪問自己系統(tǒng)上的數(shù)據(jù)的傳播機(jī)制時(shí),我們發(fā)現(xiàn)了一種有趣的攻擊活動(dòng),該活動(dòng)表明至少在此特例中,攻擊者沒有打算向受害者提供任何類型的數(shù)據(jù)解密。該惡意軟件似乎是通過 Discord 聊天平臺(tái),作為聊天消息附件發(fā)送給了受害者。Discord 是一種語音和文字聊天平臺(tái),允許兩名或更多參與者直接通信。托管惡意軟件附件的 URL 如下所示:
hxxps://cdn[.]discordapp[.]com/attachments/230687913581477889/424941165339475968/fastleafdecay.exe
此示例中使用的文件名是 “ fastleafdecay.exe ”,這可能表明,攻擊者通過冒充電子游戲 Minecraft 中的同名 mod ,誘騙受害者執(zhí)行了該惡意軟件。在執(zhí)行時(shí),此樣本向受害者顯示以下勒索信:
從上面的屏幕截圖可以看出,惡意軟件制作者沒有提供任何支付贖金的說明,而是指出文件無法解密,這表明這個(gè)特例中攻擊者的目標(biāo)并不是為了謀取錢財(cái),而是為了破壞受害者系統(tǒng)中的數(shù)據(jù)。有趣的是,Talos 團(tuán)隊(duì)分析發(fā)現(xiàn),此樣本的 PDB 路徑完好無損而且與其他樣本不同。在此示例中,PDB 路徑如下:
C:\Users\Artur\Desktop\csharp - js\косте пизда\Release\Thanatos.pdb
大多數(shù)其他樣本中,PDB 路徑如下:
D:\Work\Thanatos\Release\Thanatos.pdb
Talos團(tuán)隊(duì)還發(fā)現(xiàn)一個(gè)以調(diào)試模式編譯的樣本,其中包含以下 PDB 路徑:
- D:\Работа\Локер шифровчик\Thanatos-master\Debug\Thanatos.pdb
- Thanatos 運(yùn)行和加密過程
在受害者的系統(tǒng)上執(zhí)行時(shí),Thanatos 會(huì)將自身復(fù)制到它在 %APPDATA%/Roaming 中創(chuàng)建的子目錄下。該子目錄名稱和可執(zhí)行文件名稱是根據(jù)系統(tǒng)正常運(yùn)行時(shí)間隨機(jī)生成的,并在每次惡意軟件執(zhí)行時(shí)都會(huì)更改
Thanatos 以遞歸方式掃描當(dāng)前用戶配置文件中的以下目錄,以識(shí)別要加密的文件:
- Desktop
- Documents
- Downloads
- Favorites
- Music
- OneDrive
- Pictures
- Videos
雖然許多勒索軟件系列都有支持加密的特定文件擴(kuò)展名列表,但 Thanatos 支持對(duì)任何具有擴(kuò)展名的文件進(jìn)行加密。每當(dāng)該惡意軟件找到一個(gè)文件時(shí),它都會(huì)調(diào)用GetTickCount,從而根據(jù)受感染系統(tǒng)運(yùn)行的毫秒數(shù)來衍生出加密密鑰。然后該惡意軟件會(huì)使用高級(jí)加密標(biāo)準(zhǔn) ( AES ) - 256 對(duì)文件進(jìn)行加密,并丟棄加密密鑰。由于丟棄了加密密鑰,因此即使受害者支付了贖金,攻擊者也無法提供對(duì)解密數(shù)據(jù)的訪問權(quán)限。之后該惡意軟件使用 .THANATOS 文件擴(kuò)展名將加密文件寫入文件系統(tǒng),并刪除原始文件。
該惡意軟件還會(huì)利用名為 iplogger 的外部網(wǎng)站。該網(wǎng)站提供自定義 URL,可用于跟蹤有關(guān)訪問 URL 的系統(tǒng)的信息。通過使用這些硬編碼 URL 發(fā)出 HTTP GET 請(qǐng)求,攻擊者可以獲取有關(guān)已感染 Thanatos 的所有不同系統(tǒng)的信息。
這些 HTTP GET 請(qǐng)求都是使用以下用戶代理發(fā)出的:
Mozilla/5.0 (Windows NT 6.1) Thanatos/1.1
Talos團(tuán)隊(duì)觀察到有以下 iplogger URL 被硬編碼到我們所分析的各種 Thanatos 樣本中:
- hxxp://iplogger[.]com:80/1CUTM6
- hxxp://iplogger[.]com:80/1t3i37
與 Thanatos 關(guān)聯(lián)的勒索信使用文件名 README.txt 保存到受感染用戶的桌面。該勒索軟件創(chuàng)建了一個(gè)注冊(cè)表項(xiàng),以便每次系統(tǒng)啟動(dòng)時(shí),系統(tǒng)都會(huì)使用記事本應(yīng)用顯示勒索信。該注冊(cè)表項(xiàng)位于以下路徑下:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
除此之外,該惡意軟件不會(huì)讓可執(zhí)行文件本身持久潛伏在受害者系統(tǒng)中。
ThanatosDecryptor
如前文所述,攻擊者用于加密受害者系統(tǒng)中文件的加密密鑰是根據(jù)系統(tǒng)最近一次啟動(dòng)后經(jīng)過的毫秒數(shù)衍生而來的。此數(shù)值為 32 位,這意味著加密密鑰實(shí)際上也是 32 位。此外,一個(gè) 32 位值中能存儲(chǔ)的最大毫秒數(shù)大約相當(dāng)于 49.7 天,比很多系統(tǒng)的平均正常運(yùn)行時(shí)間都要長(由于需要安裝補(bǔ)丁、重啟系統(tǒng)和其他因素,系統(tǒng)偶爾會(huì)中斷運(yùn)行)。所以,從時(shí)間的角度來看,使用暴力破解方法來獲得密鑰值明顯成本更低。
此外,由于系統(tǒng)正常運(yùn)行時(shí)間會(huì)寫入到 Windows 事件日志中,大約每天一次,因此還可以據(jù)此優(yōu)化解密方法。既然 Thanatos 不會(huì)在加密文件上修改文件創(chuàng)建日期,那我們就可以將密鑰搜索范圍進(jìn)一步縮小至 24 小時(shí)內(nèi)感染之前大約經(jīng)過的毫秒數(shù)。在這類情況下,按照每秒可進(jìn)行 10 萬次暴力破解嘗試計(jì)算(這是虛擬機(jī)測(cè)試所采用的基準(zhǔn)),大約需要 14 分鐘就可以成功恢復(fù)加密密鑰。
Talos 團(tuán)隊(duì)特此發(fā)布一種解密實(shí)用程序 ThanatosDecryptor,Thanatos 受害者可以利用該解密程序嘗試重新獲得對(duì)受感染系統(tǒng)上存儲(chǔ)的數(shù)據(jù)和文件的訪問權(quán)限。該解密程序在 1 和 1.1 版本的 Thanatos 勒索軟件以及 Talos 團(tuán)隊(duì)目前檢測(cè)到的所有已知 Thanatos 樣本上進(jìn)行了測(cè)試。
注意:為了盡快解密文件,受害者應(yīng)該在受感染的原始設(shè)備上,對(duì)該惡意軟件創(chuàng)建的原始加密文件執(zhí)行 ThanatosDecryptor。
此解密程序目前支持解密以下類型的文件:
- 圖片:。gif、。tif、。tiff、。jpg、。jpeg、。png
- 視頻:。mpg、。mpeg、。mp4、。avi
- 音頻:。wav
- 文檔:。doc、。docx、。xls、。xlsx、。ppt、
- pptx、。pdf、。odt、。ods、。odp、。rtf
- 其他:。zip、。7z、。vmdk、。psd、。lnk
首先,該解密程序會(huì)搜索與此勒索軟件相同的目錄,找到包含 .THANATOS 文件擴(kuò)展名的文件。然后,對(duì)包含 .THANATOS 文件擴(kuò)展名的文件,該解密程序會(huì)獲取原始文件擴(kuò)展名( 感染期間,原始文件擴(kuò)展名保持不變 ),并將其與上述支持的文件類型列表進(jìn)行比較。如果是支持的文件類型,該解密程序會(huì)將文件加入解密隊(duì)列。
ThanatosDecryptor 還可以解析 Windows 事件日志以獲取正常運(yùn)行時(shí)間消息,并且可以使用加密文件創(chuàng)建時(shí)間元數(shù)據(jù)來為解密確定起始值。然后,它會(huì)利用此值衍生出加密密鑰,并且對(duì)文件內(nèi)容執(zhí)行 AES 解密運(yùn)算。接著,它會(huì)將所得的字節(jié)與特定文件類型的已知有效文件頭的值進(jìn)行比較。如果不匹配,則意味著解密過程失敗,ThanatosDecryptor 會(huì)將加密密鑰的種子值遞增,再重復(fù)上述過程。一旦成功,原始文件就會(huì)寫入文件系統(tǒng),從而恢復(fù)原始文件名。成功解密一個(gè)文件之后,ThanatosDecryptor 會(huì)將成功的解密嘗試的種子值用作對(duì)其他文件執(zhí)行解密嘗試的起始值,因?yàn)檫@兩個(gè)值可能很相似。
要執(zhí)行 ThanatosDecryptor,請(qǐng)點(diǎn)擊頁面最下方 “閱讀原文” 獲取更多的信息,然后執(zhí)行釋放目錄下的 ThanatosDecryptor.exe。在該頁面可以獲取更多的信息和輸出示例。
對(duì)贖金情況(或未能收到贖金的情況)的分析
正如前面提到的,在 Thanatos 的各種攻擊活動(dòng)和相關(guān)樣本中,此威脅的幕后攻擊者會(huì)更改其聲稱接受支付贖金的加密貨幣類型。通過分析各種加密貨幣錢包和相應(yīng)的加密貨幣交易,我們發(fā)現(xiàn)了這些惡意軟件攻擊活動(dòng)的規(guī)模及其所取得的成功,結(jié)果很有意思。在所有樣本中,隨惡意軟件一起發(fā)送給受害者的勒索信中列明了以下加密貨幣錢包以及如何支付贖金的說明。
比特幣 ( $BTC ):
1HVEZ1jZ7BWgBYPxqCVWtKja3a9hsNa9Eh
1DRAsxW4cKAD1BCS9m2dutduHi3FKqQnZF
以太坊 ( $ETH ):
0x92420e4D96E5A2EbC617f1225E92cA82E24B03ef
比特幣現(xiàn)金 ( $BCH ):
Qzuexhcqmkzcdazq6jjk69hkhgnme25c35s9tamz6f
大零幣 ( $ZEC ):
t1JBenujX2WsYEZnzxSJDsQBzDquMCf8kbZ
我們?cè)诜治霰忍貛佩X包時(shí),發(fā)現(xiàn)攻擊者從受害者那里一筆贖金都沒收到。事實(shí)上,我們分析的所有樣本中最經(jīng)常列出的錢包(1HVEZ1jZ7BWgBYPxqCVWtKja3a9hsNa9Eh) 甚至都不是一個(gè)有效的比特幣錢包。
這意味著,即使受害者嘗試使用比特幣支付贖金,也無法完成支付。第二個(gè)錢包(1DRAsxW4cKAD1BCS9m2dutduHi3FKqQnZF) 也沒有任何交易往來。
同樣,樣本中列出的比特幣現(xiàn)金錢包也從來沒有任何交易。
我們分析了 Thanatos 的一封相關(guān)勒索信中列出的大零幣錢包,結(jié)果發(fā)現(xiàn)其中有幾筆交易,但是此錢包中收到的大零幣總金額只有 2.24767084 ZEC,大約相當(dāng)于 450 美元。
最后,攻擊者使用的以太坊錢包也收到了幾筆交易。但是,與網(wǎng)絡(luò)威脅領(lǐng)域更成功的常見勒索軟件攻擊活動(dòng)相比,該錢包中收到的以太坊幣總金額也很低,只有 0.52087597 ETH,約合 270 美元。
這說明,在我們所發(fā)現(xiàn)的所有真實(shí)樣本中,攻擊者的錢包總共只收到了 720 美元的贖金。如果這些錢包中收到的加密貨幣都是直接來自于受害者為 Thanatos 感染支付的贖金,則可以看出,與其他以謀取錢財(cái)為動(dòng)機(jī)的網(wǎng)絡(luò)犯罪活動(dòng)相比,很明顯此攻擊并未獲得可觀的收入。
結(jié)論
如今,攻擊者越來越頻繁地將目標(biāo)瞄準(zhǔn)最終用戶,意圖謀取錢財(cái)或者破壞數(shù)據(jù)。本文所述的這個(gè)勒索軟件證明,任何人都可以非常輕松地對(duì)用戶發(fā)起攻擊。他們無需掌握復(fù)雜的攻擊技術(shù),就可以制造災(zāi)難。此外,攻擊者還可以獲得源源不斷的攻擊媒介。例如,在此次攻擊中,攻擊者利用的是 Discord 聊天平臺(tái)。因此,您必須重視安全問題,采取必要措施保護(hù)您的系統(tǒng),這既包括個(gè)人系統(tǒng),也包括業(yè)務(wù)系統(tǒng)。另外,由于很多此類攻擊都是以用戶作為突破口,因此您在打開未知來源的附件或點(diǎn)擊未知鏈接時(shí),必須保持謹(jǐn)慎。
防護(hù)
思科客戶可通過其他方式檢測(cè)并阻止此威脅,包括:
高級(jí)惡意軟件防護(hù) ( AMP ) 解決方案,可以有效防止執(zhí)行威脅發(fā)起者使用的惡意軟件。
思科云網(wǎng)絡(luò)安全 ( CWS ) 或網(wǎng)絡(luò)安全設(shè)備 ( WSA ),通過網(wǎng)絡(luò)掃描防止訪問惡意網(wǎng)站,并且可以檢測(cè)這些攻擊中所用的惡意軟件。
郵件安全設(shè)備,可以攔截威脅發(fā)起者在攻擊活動(dòng)中發(fā)出的惡意郵件。
網(wǎng)絡(luò)安全設(shè)備,例如下一代防火墻 ( NGFW )、下一代入侵防御系統(tǒng) ( NGIPS )和 Meraki MX,可以檢測(cè)與此威脅相關(guān)的惡意活動(dòng)。
AMP Threat Grid,可幫助識(shí)別惡意二進(jìn)制文件,使所有思科安全產(chǎn)品都有內(nèi)置保護(hù)措施。
Umbrella,我們的安全互聯(lián)網(wǎng)網(wǎng)關(guān) ( SIG ),可阻止用戶連接惡意域、IP 和 URL( 無論用戶是否位于公司網(wǎng)絡(luò)上 )。
開源 Snort 用戶規(guī)則集客戶可以在 Snort.org 上下載出售的最新規(guī)則包,保持最新狀態(tài)。
YARA 簽名
Talos 團(tuán)隊(duì)還提供了以下 YARA 簽名,可用于識(shí)別與 Thanatos 勒索軟件系列相關(guān)的樣本。
rule Thanatos
{
strings:
$s1 = ".THANATOS\x00" ascii
$s2 = "\\Desktop\\README.txt" ascii
$s3 = "C:\\Windows\\System32\\notepad.exe C:\\Users\\" ascii
$s4 = "AppData\\Roaming" ascii
$s5 = "\\Desktop\x00" ascii
$s6 = "\\Favourites\x00" ascii
$s7 = "\\OneDrive\x00" ascii
$s8 = "\\x00.exe\x00" ascii
$s9 = "/c taskkill /im" ascii
$s10 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" ascii
condition:
6 of ($s1, $s2, $s3, $s4, $s5, $s6, $s7, $s8, $s9, $s10)
}
感染指標(biāo) (IOC)
文件散列值 ( SHA256 )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hXXps://cdn[.]discordapp[.]com/attachments/230687913581477889/424941165339475968/fastleafdecay.exe
hXXp://iplogger[.]com:80/1CUTM6
hXXp://iplogger[.]com:80/1t3i37
用戶代理
Mozilla/5.0 (Windows NT 6.1) Thanatos/1.1
作者:Edmund Brumaghin、Earl Carter 和 Andrew Williams
思科 Talos 簡介
思科 Talos 團(tuán)隊(duì)由業(yè)界領(lǐng)先的網(wǎng)絡(luò)安全專家組成,他們分析評(píng)估黑客活動(dòng),入侵企圖,惡意軟件以及漏洞的最新趨勢(shì)。包括 ClamAV 團(tuán)隊(duì)和一些標(biāo)準(zhǔn)的安全工具書的作者中最知名的安全專家,都是思科 Talos 的成員。這個(gè)團(tuán)隊(duì)同時(shí)得到了 Snort、ClamAV、Senderbase.org 和 Spamcop.net 社區(qū)的龐大資源支持,使得它成為網(wǎng)絡(luò)安全行業(yè)最大的安全研究團(tuán)隊(duì)。也為思科的安全研究和安全產(chǎn)品服務(wù)提供了強(qiáng)大的后盾支持。