TellYouThePass 勒索再度来袭

逆向病毒分析 2年前 (2022) admin
802 0 0

简述


近期奇安信病毒响应中心在云端检测到TellYouThePass勒索家族存在异常活动,此家族启用了新c2,黑客通过业务漏洞(通常是OA系统漏洞)获取权限,并最终调用msiexec.exe执行从c2

  • hxxp://74[.]119[.]194[.]37/css.png

  • hxxp://74[.]119[.]194[.]37/a.png

  • hxxp://74[.]119[.]194[.]37/b.png

下载的恶意msi文件。


新变种由C#Golang语言编写而成,下图为此次检测到的攻击链示意图:


TellYouThePass 勒索再度来袭


基于云端大数据观测到的C2活跃趋势:


TellYouThePass 勒索再度来袭


由于新C2前期均无活动,因此奇安信病毒响应中心认为这是此家族背后团伙重新开始活动的重要征兆。

 

事件涉及样本分析


C#编写的32位平台样本为例,Msi文件的CustomAction绑定了勒索模块,msiexec调用msi文件时候会触发 source._D7D112F049BA1A655B5D9A1D0702DEE5 update 执行


TellYouThePass 勒索再度来袭


病毒会先创建互斥体WindowsUpdateProcess,保证程序单例运行。

TellYouThePass 勒索再度来袭

然后会判断C:ProgramData目录下是否存在pubkey.txtshow.txt这两个文件,均不存在则生成这两个文件并开启勒索

TellYouThePass 勒索再度来袭

生成一对RSA密钥,用自带的RSA公钥加密生成的RSA私钥,将生成的公钥和加密后的私钥分别写入pubkey.txtshow.txt。遍历文件进行加密,生成的公钥使用RSA算法加密随机生成的AES密钥,加密后的aes密钥被保存在加密文件的开始部分,然后使用AES算法加密文件。

TellYouThePass 勒索再度来袭

加密文件后缀包括:“1cd”,”3dm”,”3ds”,”3fr”,”3g2″,”3gp”,”3pr”,”602″,”7z”,”ps1″,”7zip”,”aac”,”ab4″,”accdb”,”accde”,”accdr”,”accdt”,”ach”,”acr”,”act”,”adb”,”adp”,”ads”,”aes”,”agdl”,”ai”,”aiff”,”ait”,”al”,”aoi”,”apj”,”arc”,”arw”,”asc”,”asf”,”asm”,”asp”,”aspx”,”asx”,”avi”,”awg”,”back”,”backup”,”backupdb”,”bak”,”bank”,”bat”,”bay”,”bdb”,”bgt”,”bik”,”bin”,”bkp”,”blend”,”bmp”,”bpw”,”brd”,”c”,”cdf”,”cdr”,”cdr3″,”cdr4″,”cdr5″,”cdr6″,”cdrw”,”cdx”,”ce1″,”ce2″,”cer”,”cfg”,”cgm”,”cib”,”class”,”cls”,”cmd”,”cmt”,”conf”,”config”,”contact”,”cpi”,”cpp”,”cr2″,”craw”,”crt”,”crw”,”cs”,”csh”,”csl”,”csr”,”css”

自带的RSA公钥如下:

TellYouThePass 勒索再度来袭

由于缺少RSA私钥,被加密的文件暂时无法解密。

加密前会调用控制台关闭一些软件

TellYouThePass 勒索再度来袭

在加密和运行过程中,病毒会把一些信息与字符串拼接,上传到c274.119.194.37

TellYouThePass 勒索再度来袭


勒索信

被加密文件的后缀名会被加上.locked,在每一个文件夹下会创建勒索信READ_ME.html,勒索信如下:

TellYouThePass 勒索再度来袭

产品查杀能力

目前奇安信两个自主引擎QOWLQDE均可对此病毒及其未知变种形成有效查杀:

TellYouThePass 勒索再度来袭


IOCs:

1ea6e5f4951fbb6a5f7d350cb96b88f9

2cacbad0ac43a93ee80050d4ebd37a60

43054aa09c2a7be9d01a9a9d3ab77a03

71c872aee0b76f02f70c8b52543dc335

83e6d42b1cd006a9caeb02ccb55a9999

e023aa8398ffa257e71f52d96324c0f4

hxxp://74[.]119[.]194[.]37/css.png

hxxp://74[.]119[.]194[.]37/a.png

hxxp://74[.]119[.]194[.]37/b.png

 


附录: 奇安信病毒响应中心

奇安信病毒响应中心是北京奇安信科技有限公司(奇安信集团)旗下的病毒鉴定及响应专业团队,背靠奇安信核心云平台,拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验,基于集团自主研发的QOWL和QDE(人工智能)引擎,形成跨平台木马病毒、漏洞的查杀与修复能力,并且具有强大的大数据分析以及实现全平台安全和防护预警能力。

奇安信病毒响应中心负责支撑奇安信全线安全产品的病毒检测,积极响应客户侧的安全反馈问题,可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒事件、参与重大活动安全保障工作,受到客户的高度认可,提升了奇安信在业内的品牌影响力。


原文始发于微信公众号(奇安信病毒响应中心):TellYouThePass 勒索再度来袭

版权声明:admin 发表于 2022年4月2日 下午3:08。
转载请注明:TellYouThePass 勒索再度来袭 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...