勒索软件Crypt888技术分析

勒索软件攻击的初始向量 Crypt888

我们获得了两个样本并对其进行了分析：

2e0f1385a0eb72f189c3d3cffa38020d71370ab621139c5688647c5bab6bc7f2ba2598fdd2e5c12e072fbe4c10fcdc6742bace92c0edba42ca4ca7bc195cb813

我们观察到攻击初始阶段的两种形式：第一种，该文件伪装成 Google Chrome 网络浏览器的安装程序，另一种则伪装成 PDF 文档。

对于 Google Chrome 浏览器安装程序，恶意软件采用带有 Google Chrome 图标的可执行文件的形式。

对于 PDF 文档，该文件也是可执行文件，但具有双扩展名。它的标题是”Academics.pdf.exe”，但如果默认设置设置为 Windows 会话，文件资源管理器会隐藏已知的文件扩展名（在本例中为 .exe）。从视觉上看，如果没有扩展名的概念和极具暗示性的图标，用户不会意识到他正在处理可执行文件而不是 PDF 文档。

图 1 – 在 Windows 资源管理器中显示示例

除了更改名称和图标之外，攻击者没有做出特别的努力来定制所使用的样本。缺少声明性文件详细信息（描述、公司或产品名称等）。

图 2 – 两个样本的文件详细信息

我们没有足够的证据来确认该恶意软件是如何在受害者的计算机上分发的。然而，将样本冒充合法可执行文件的意图使得可能通过网络钓鱼（PDF 文档）和下载站点（软件安装程序）进行分发。

勒索软件 Crypt888 的语言和混淆

除了图标和壁纸之外，这两个示例是相同的，因为它们的源代码相似。为了其余分析的简单性和可读性，我们将把这两个样本视为同一恶意软件的变体，以“Crypt888”勒索软件的名称出现。

该恶意软件使用了多层混淆技术。基本上，逻辑以 AutoIT 脚本的形式开发，然后将其打包以从代码中删除所有常量值（字符串和数值）。

删除的数据被序列化并放置在随脚本分发的文件中。然后，该脚本和所有相关文件被编译为可执行文件，并由 UPX 打包。

以下是 AutoIT 代码的摘录。注释是从附录文件中重建的值：

图 3 – 摘自其中一个示例的 AutoIT 代码

勒索软件攻击的年表 Crypt888

快速版的时间线如下：勒索病毒以禁用UAC机制开始；然后，它使用固定密钥加密位于用户和公共文件夹中的文件；最后，它通过更换壁纸来启动显示赎金要求。

详细的年表要复杂得多，总结如下图所示。

图 4 – Crypt888 攻击原理概要图

勒索软件感染本身分为四个阶段，将在以下专门段落中详细描述：

1. 通过旁加载绕过UAC

2. UAC停用

3. 文件浏览和加密

4. 显示勒索信

通过旁加载绕过UAC

准备侧载：勒索软件首先将两个 CAB 格式的存档（32.cab 和 64.cab）放置在当前用户的临时文件夹中：“C:Users<userName>AppDataLocalTemp”。

这些档案分别包含名为 .dll 的 DLL 库的 32 位和 64 位版本”cryptbase.dll”。稍后我们会看到这个 DLL 文件包含恶意代码。然后，恶意软件尝试在系统文件夹中部署与处理器架构相对应的版本”C:WINDOWSsystem32migwiz”。

此时，恶意软件会耗尽权限，但会使用”Microsoft Windows Update Standalone Installer”带有参数的 (wusa.exe)”/extract”来避免卡住。此命令可以将存档的内容放置在任意位置，而无需在具有默认配置的 Windows 系统上显示 UAC 警告窗口。

注意：“wusa.exe”工具是随 Windows Vista 引入的，并在 Windows 更新过程中使用。为了应对各种滥用行为，微软决定”/extract”从 Windows 10 附带的版本中删除该参数。这意味着该恶意软件仅针对“较旧”的 Windows。

图 5 – 侧面加载实施概要图

触发侧面加载

然后，恶意软件会”888.vbs”在用户的临时文件夹中存放一个名为的 VBS 脚本并执行它。VBS 脚本的内容显示了”migwiz.exe”具有以下参数的实用程序的启动：

图6-888.vbs脚本内容

该”migwiz.exe”程序是一款合法的 Microsoft 工具，用于将数据从一个 Windows 工作站迁移到另一个。它还具有自动 UAC 提升功能，使其成为 UAC 绕过尝试的潜在候选者。

恶意行为不是由该程序直接执行的。为了进行操作，它需要加载该”cryptbase.dll”模块，在攻击的技术背景下，该模块已被恶意软件存放在目录中”migwiz.exe”。

因此，该模块的恶意版本会优先加载，而不是 Microsoft 提供的官方版本。因此，恶意代码将在此合法可执行文件的上下文中运行，该可执行文件会以管理员权限自动启动。

图 7 – 侧面加载触发概要图

UAC停用

一旦触发侧面加载，”cryptbase.dll”恶意软件沉积的恶意模块就会确保它被进程加载”migwiz.exe”。如果是，它将执行作为命令行参数给出的命令，从而使命令能够在进程的上下文中执行”migwiz.exe”，这受益于 UAC 自动提升。

在攻击链的情况下，传递的命令允许”migwiz.exe”将特定值写入注册表，从而禁用系统上的 UAC 机制。这样，如果 Crypt888 执行需要权限的操作，则可以直接执行这些操作，而无需用户接受验证消息。

注意：在 Windows 8 及以上版本中，此步骤不再起作用，因为”migwiz.exe”默认情况下不再存在。这再次表明该恶意软件仅针对“较旧”的 Windows。

文件浏览和加密

目标文件

最初的 Crypt888 可执行文件旨在加密当前用户文件夹的“文档”、“图片”、“视频”、“桌面”和“音乐”子目录以及用户之间共享的文件夹“公共”中的所有文件。

注意：所研究的样本令人惊讶的是，它们试图通过UAC绕过来获取更高级别的权限，而目标文件可以使用用户的默认权限进行修改。

文件加密

找到的文件使用应用于 DES 算法的固定密钥进行加密。下面是加密前后的文件内容：

图8-加密前后的文件内容

注意：DES 加密算法自 2000 年代初以来就已经贬值，因为与计算能力相比，它已经变得很弱。我们原本期望勒索软件使用“更强”的加密算法；但事实并非如此。这让我们再次相信它并不是一个非常先进的技术。

重命名加密文件

数据加密后，文件名就会以字符串 为前缀”Lock”。因此，可以解密已更改的文件，因为一方面加密的文件是可清楚识别的，另一方面加密算法是可逆的并且使用固定密钥。

以下是加密前后文件的内容：

图 9 和 10 – 列出加密前后的文件

显示勒索信

以下是两个样本配置的壁纸：

图 11 – 潜在勒索软件壁纸

注意：其中一个示例显示勒索字条，将其自身显示为“Pablukl0cker”恶意软件。对该恶意软件的分析表明，它与本报告中研究的样本并不相似。由于我们没有具体证据表明这些网络犯罪分子为何想要冒充其他人，因此有几种假设是合理的，例如利用另一个网络犯罪团体的恶名，或提供虚假指示来误导受害者以避免做出有效反应。

勒索软件攻击Crypt888的综合和建模

总之，“Crypt888”是一种非常简单的勒索软件，针对旧版本的 Windows（Vista 和 7）。该恶意软件的开发似乎只需要很少的资源，使用的动机肯定在于其使用的简单性、清醒性和有效性。例如，无需维护 C&C 基础设施来生成加密密钥。尽管勒索软件的概念由来已久（最早的踪迹可以追溯到 2016 年），但它似乎仍然在某些地理区域很活跃，例如东南亚。

有多种迹象表明，开发勒索软件的努力很少：

• 自 2000 年代初以来，加密算法 (DES) 已被弃用；

• 多年来，开发人员并未维护该恶意软件以支持 Windows 系统的演变：因此禁用 UAC 不适用于 Windows 8 及更高版本；

• 密码系统的设计使数据易于破译（固定加密密钥）；

• 未采取任何措施禁用卷影副本机制（恢复文件的本机 Windows 备份）；

• 例如，勒索软件不会针对其他用户的文件或网络共享。

该勒索软件是犯罪分子被易于使用、无需维护且技术技能极少的恶意软件所吸引的又一个例子。为了开发和利用勒索软件，网络犯罪分子几乎不需要任何编程技能，也不需要系统管理技能。事实上，托管 C&C 服务器不需要任何基础设施成本。此外，该恶意软件无需拥有源代码即可轻松重复使用。因此，除开发人员之外的网络犯罪团体很可能会使用勒索软件。

如需了解更多信息，请参阅 Crypt888 勒索软件实施的 MITRE 杀伤链：

勒索软件 Crypt888 的 IOC

2e0f1385a0eb72f189c3d3cffa38020d71370ab621139c5688680c5bab6bc7f2  初始样本ba2598fdd2e5c12e072fbe4c10fcdc6742bace92c0edba42ca4ca7bc195cb813  初始样本fc31b205d5e4f32fa0c71c8f72ee06b92a28bd8690f71ab8f94ff401af2228fe  32.cab6e438201a14a70980048d2377c2195608d5dc2cf915f489c0a59ac0627c98fa9  64.cab856623bc2e40d43960e2309f317f7d2c841650d91f2cd880003e0396299c3f98  DLL used in side loading (cryptbase.dll 32-bit version)c3cfa6c00f3d2536c640f1ee6df3f289818628c0e290be2f08df2c330097158a  DLL used in side loading (cryptbase.dll 64-bit version)35d7204f9582b63b80942a4df9a55b8825b6d0af295b641f6257c39f7dda5f5e  Deployed script VBS (888.vbs)864e67e05938c69d18b75e57745e5fc8be1c6d973e257e139c20e8046d19334a  Ransomware wallpaper image (wl.jpg)83310806a4c9013bc806c6f89d7a6d196ce5428541028e207cc23567c2019b3e  Ransomware wallpaper image (wl.jpg)

原文地址：

https://www.stormshield.com/news/technical-analysis-of-ransomware-crypt888