感染流程

盡管每一個(gè)攻擊活動(dòng)的特定要素均有略微差異，包括使用不同的XOR密鑰值等，但它們都具有一些共同的特性。試圖傳播此惡意軟件的電子郵件攻擊活動(dòng)均具備標(biāo)準(zhǔn)的垃圾郵件特征。它們的主題行均使用“Copy_”或“Document_”作為開頭，后面附帶一串隨機(jī)數(shù)字進(jìn)行偽裝，如“Copy_30396323”和“Document_3758”等。在我們監(jiān)控這些攻擊活動(dòng)的同時(shí)，我們也注意到又出現(xiàn)了更多的攻擊活動(dòng)，每一個(gè)均采用了略微不同的主題。首輪攻擊活動(dòng)相關(guān)的電子郵件的正文沒有任何內(nèi)容，僅帶有名為“nm.pdf”的附件。這一攻擊活動(dòng)的電子郵件示例如下。

圖A：電子郵件示例

正如我們?cè)谏厦娴钠聊豢煺罩锌吹降?，攻擊者在生成與這些攻擊活動(dòng)相關(guān)的電子郵件時(shí)并未花費(fèi)很大的心思。不久以后，我們注意到在后續(xù)的攻擊活動(dòng)中，電子郵件正文開始包含以下文本：

“Image data in PDF format has been attached to this email.(這一電子郵件的附件包含PDF格式的圖像數(shù)據(jù)。)”

在所有情況中，附件文件都是一個(gè)惡意PDF文檔，內(nèi)嵌了Microsoft Word文檔。當(dāng)受害者打開PDF時(shí)，在PDF正文中將會(huì)顯示一段內(nèi)容，然后試圖打開內(nèi)嵌的Microsoft Word文檔。

圖B：PDF附件示例

與我們?cè)谧罱腖ocky攻擊活動(dòng)中觀察到的現(xiàn)象類似，當(dāng)PDF試圖打開內(nèi)嵌的Microsoft Word文檔時(shí)，系統(tǒng)會(huì)提示受害者批準(zhǔn)這一操作。此處繼續(xù)感染流程需要用戶的交互，以逃過組織可能部署的自動(dòng)檢測(cè)機(jī)制。此時(shí)在用戶批準(zhǔn)之前，將不會(huì)發(fā)生惡意活動(dòng)。在未配置模擬這一審批活動(dòng)的沙盒環(huán)境中，感染可能永遠(yuǎn)不會(huì)發(fā)生，并可能會(huì)導(dǎo)致沙盒環(huán)境判定此文件為正常文件，偏離其惡意本質(zhì)的事實(shí)，而這主要是因?yàn)楦腥疚幢挥|發(fā)。

該P(yáng)DF附件包含以下Javascript，用于打開內(nèi)嵌的Microsoft Word文檔：

圖C：PDF中的Javascript

單擊“OK(確定)”按鈕會(huì)導(dǎo)致PDF打開惡意Microsoft Word文檔，整個(gè)行為與我們?cè)谄渌艋顒?dòng)中看到的行為基本類似。毫無意外的是，用戶還將會(huì)被提示啟用編輯，以查看Word文檔的內(nèi)容。需要指出的是，該惡意Microsoft Word文檔包含兩頁，而不像大多數(shù)惡意Word文檔一樣只有一頁。

圖D：惡意Word文檔示例

一旦惡意內(nèi)容被啟用，該Microsoft Word文檔將會(huì)執(zhí)行一個(gè)VBA宏，它的作用就是充當(dāng)勒索軟件下載程序，試圖獲取勒索軟件二進(jìn)制文件以感染系統(tǒng)。

該VBA宏包含多個(gè)下載域名，使用大寫字母“V”隔開。這就給該惡意軟件提供了多個(gè)機(jī)會(huì)來嘗試從多個(gè)來源下載惡意載荷。

圖E：VBA下載程序

用于下載Jaff二進(jìn)制文件的URL與我們?cè)贚ocky攻擊活動(dòng)中觀察到的URL非常類似。

圖F：下載URL

以上下載的二進(jìn)制blob之后會(huì)使用惡意Word文檔中內(nèi)嵌的XOR密鑰進(jìn)行XOR處理，我們?cè)谶@一攻擊活動(dòng)中觀察到多個(gè)XOR密鑰。下面的屏幕快照是我們?cè)赩BA宏的Module3中發(fā)現(xiàn)的，其中XOR密鑰為“d4fsO4RqQabyQePeXTaoQfwRCXbIuS9Q”

圖G：XOR密鑰

當(dāng)這一XOR流程完成后，惡意軟件將使用以下的命令行語法，使用Windows Command Processor啟動(dòng)實(shí)際的勒索軟件PE32可執(zhí)行程序：

圖H：?jiǎn)?dòng)可執(zhí)行程序

勒索軟件會(huì)重復(fù)對(duì)系統(tǒng)上存儲(chǔ)的文件夾進(jìn)行加密，這一特定勒索軟件附加到每個(gè)文件的文件擴(kuò)展名為“jaff”。它會(huì)在受害者的“My Documents(我的文檔)”目錄下寫入一個(gè)名為ReadMe.txt的文件，其中包含了勒索聲明。

圖I：文本格式的勒索聲明

它同時(shí)還會(huì)修改桌面背景，如下所示：

圖J：修改的桌面壁紙

需要指出的有趣一點(diǎn)是，上面的說明并未指示用戶使用Tor2Web等Tor代理服務(wù)，相反它指示用戶安裝整個(gè)Tor瀏覽器軟件包，以訪問贖金付費(fèi)系統(tǒng)。樣本和攻擊活動(dòng)中使用的Tor地址也似乎沒有變化。訪問贖金付費(fèi)系統(tǒng)時(shí)，受害者將會(huì)看到以下信息，要求他們輸入在被感染系統(tǒng)上的勒索聲明中列出的解密ID。

圖K：指定解密ID

在此網(wǎng)站中輸入正確的ID值后，受害者將會(huì)看到完整的說明頁，列出了攻擊者要索取的贖金金額，以及具體的付費(fèi)說明。

圖L：贖金付費(fèi)系統(tǒng)

值得一提的是，贖金付費(fèi)系統(tǒng)的外觀與我們?cè)贚ocky中看到的系統(tǒng)非常相似。在這一案例中，被索取的贖金金額為2.01117430個(gè)比特幣，按當(dāng)下價(jià)格計(jì)算相當(dāng)于約3700美元，大幅高于其他勒索軟件活動(dòng)所索取的金額。通過查看贖金付費(fèi)服務(wù)器指定的比特幣錢包，我們確定這一錢包當(dāng)前處于零成交狀態(tài)。

圖M：比特幣錢包交易情況

攻擊活動(dòng)傳播/規(guī)模

截至目前為止，思科Talos觀察到超過10萬封電子郵件與這些新Jaff攻擊活動(dòng)有關(guān)。相對(duì)于一種新攻擊而言，這種通過垃圾郵件傳播的勒索軟件規(guī)?？芍^極其龐大。它們與Necurs的緊密關(guān)系使得其垃圾郵件攻擊活動(dòng)能夠在短期內(nèi)達(dá)到超大規(guī)模。首輪垃圾郵件攻擊活動(dòng)開始于2017年5月11日UTC時(shí)間上午8點(diǎn)，包含約35,768封電子郵件，均帶有附件“nm.pdf”。在這一垃圾郵件攻擊活動(dòng)中，思科Talos觀察到約184個(gè)獨(dú)特的樣本。

思科Talos還觀察到第二輪攻擊活動(dòng)于第二天開始，包含約72,798封電子郵件。這一輪的攻擊活動(dòng)開始于2017年5月12日UTC上午9點(diǎn)，傳播了約294個(gè)獨(dú)特樣本。該輪攻擊活動(dòng)使用的附件文件名為“201705*.pdf”，其作用與我們?cè)谑纵喒艋顒?dòng)中觀察到的附件完全相同。

這是一種新的LOCKY攻擊嗎?

這兩輪攻擊活動(dòng)使用了一些共同的特征來傳播Jaff，其使用的C2流量模式與我們?cè)贚ocky和Dridex等活動(dòng)中已經(jīng)習(xí)以為常的模式相似。然而，我們相信這并非是Locky勒索軟件的一個(gè)新版本或改頭換面的版本。兩種攻擊的代碼庫間的相似度非常低，雖然曾使用Necurs傳播Locky的攻擊者與現(xiàn)在傳播Jaff的攻擊者可能是同一批人，但該惡意軟件本身還是存在著明顯的區(qū)別，應(yīng)被區(qū)別看待，并劃分到不同的勒索軟件家族中。

如果要將其視作一種“新的”Locky，原因可能包括其肆無忌憚的風(fēng)格、與Locky一樣橫空出世、主要通過惡意垃圾電子郵件傳播、以及利用惡意Word文檔等，但攻擊活動(dòng)自身的特點(diǎn)不應(yīng)用于判斷惡意軟件是否相同。這是一種新的勒索軟件，攻擊者在代碼庫、基礎(chǔ)設(shè)施和規(guī)模方面都開展了大量的工作。然而，它不是Locky 2.0。它是另一種攻擊性非常強(qiáng)的向最終用戶推送勒索軟件產(chǎn)品的全新惡意軟件，目前應(yīng)與Locky分開看待。

我們注意到攻擊者已開始使用Necurs來通過多個(gè)大規(guī)模垃圾郵件活動(dòng)的形式傳播Jaff。我們將會(huì)繼續(xù)監(jiān)控此攻擊活動(dòng)，我們會(huì)對(duì)每一封電子郵件進(jìn)行威脅分析，以確定這是一次曇花一現(xiàn)的攻擊，還是這一勒索軟件家族將會(huì)繼續(xù)感染未得到可靠保護(hù)的組織。

IOCS

電子郵件主題

Copy_數(shù)字串

Document_數(shù)字串

Scan_數(shù)字串

PDF_數(shù)字串

File_數(shù)字串

Scanned Image

附件文件名：

nm.pdf

String of Digits.pdf(示例：20170511042179.pdf)

附件哈希值：

與這一攻擊活動(dòng)相關(guān)的附件列表可以在此處找到。

Word文檔哈希值：

與PDF內(nèi)嵌的Microsoft Word文檔相關(guān)的哈希值列表可以在此處找到。

二進(jìn)制哈希值：

03363f9f6938f430a58f3f417829aa3e98875703eb4c2ae12feccc07fff6ba47

C2服務(wù)器IP：

108.165.22[.]125

27.254.44[.]204

傳播域名：

與這些攻擊活動(dòng)相關(guān)的傳播域名列表可以在此處找到。

結(jié)論

這是全球掀起的新惡意軟件變種的又一示例。這一攻擊現(xiàn)在很常見，它向我們揭示出為何此類攻擊對(duì)于犯罪分子極具吸引力。其市場(chǎng)價(jià)值高達(dá)數(shù)百萬美元，每個(gè)人都想從中分一杯羹。Jaff通過基于Necurs的常見垃圾郵件機(jī)制進(jìn)行傳播。然而，它勒索的贖金非常高，此處的問題在于，當(dāng)贖金達(dá)到多高時(shí)，用戶就將不會(huì)付費(fèi)。未來，我們很可能會(huì)看到攻擊者不斷嘗試找到合理的價(jià)位，以在確保能夠收到贖金的同時(shí)最大化利潤(rùn)。

在當(dāng)今的威脅環(huán)境中，勒索軟件開始占據(jù)主流地位，并被傳播到全球幾乎所有系統(tǒng)上。隨著漏洞利用套件活動(dòng)的大規(guī)模減少，它可能會(huì)繼續(xù)主要通過電子郵件傳播，或在攻擊者嘗試通過Samsam等威脅進(jìn)入網(wǎng)絡(luò)或系統(tǒng)時(shí)，通過次要載荷傳播。

規(guī)避辦法

下方列出了客戶可以檢測(cè)并阻止此威脅的其他辦法。

高級(jí)惡意軟件防護(hù)(AMP)能夠有效避免執(zhí)行這些攻擊者使用的惡意軟件。

CWS或WSA網(wǎng)絡(luò)掃描能夠阻止訪問惡意網(wǎng)站，并發(fā)現(xiàn)這些攻擊中使用的惡意軟件。

Email Security可以阻止攻擊者在其攻擊活動(dòng)中發(fā)送的惡意電子郵件。

IPS和NGFW的網(wǎng)絡(luò)安全防護(hù)功能可以提供最新的簽名，用來檢測(cè)攻擊者發(fā)起的惡意網(wǎng)絡(luò)活動(dòng)。

AMP Threat Grid能夠幫助發(fā)現(xiàn)惡意軟件二進(jìn)制文件，并在所有思科安全產(chǎn)品中建立防護(hù)措施。

Umbrella能夠阻止對(duì)與惡意活動(dòng)相關(guān)的域名進(jìn)行DNS解析。