跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

Hidden Tear:以疫情为话题的勒索事件分析

HACK1949
HACK1949
问答中心

精选回复

发布于

Hidden Tear:以疫情为话题的勒索事件分析

6015fa2260651.png

近日,微步情报局在对一恶意样本进行分析时,对样本的 C2 地址进行关联分析发现该地址还接受到勒索软件的回传,通过对回传信息的格式进行关联,发现使用了一款名为“Hidden Tear”的勒索软件。

发现某恶意样本会从域名 xyz 下载后续脚本文件执行。

对域名 xyz 进行关联分析,发现该域名有着一表示格式的回传请求,通过对回传信息的分析发现,是首款针对Windows的开源勒索软件,名为“Hidden Tear”。

在近一年中,发生了多起使用该款勒索软件利用 COVID-19 的话题对受害者进行攻击。

勒索软件“Hidden Tear”使用 AES 加密,在本地生成 AES 密钥,并使用固定格式将密钥和主机信息回传到 C2 地址。

详情

近期捕获到一枚 .LNK 格式的恶意软件,在分析过程中发现该木马后续会调用 Powershell 继续从域名 dllhost.xyz 下载后续.js文件,而 .js 文件会尝试向另一域名 dlldns.xyz 发起请求进行下一步操作。1610539657_5ffee289de5593531962c.png!sma

图1 .lnk 执行的代码

1610539671_5ffee29749525d86fa994.png!sma

图2 .js 中的后续地址

通过对样本相关域名(dllhost.xyz、dlldns.xyz)的关联分析发现,域名中还含有另一使用 .pdf 图标的恶意文件,且在回传信息时会使用固定格式:1610539690_5ffee2aa0ae6b3f3802c9.png!sma

图3. 回传信息的请求

“write.php?Computername=XXXUsername=XXXPassword=XXXallow=ransom”

通过对格式的分析,确定了一款名为“Hidden Tear”的开源勒索软件。

1610539710_5ffee2be362abddd90426.png!sma图4. X社区中关于域名情报

Hidden Tears 是第一个针对 Microsoft Windows 的开源勒索软件,由土耳其安全研究员Utku Sen 于 2015 年首次上传到 GitHub,目前原始仓库的代码已被删除,但在删除前已被 fork 了 490 次,在其他用户的仓库中依然可以找到原始的代码。 1610539724_5ffee2cc88d4ea1106e23.png!sma

图5. Hidden Tear 页面

关联发现,近一年来,发生了多起使用基于该勒索软件的修改版本利用 COVID-19 的话题对受害者发起攻击的事件,例如:3 月,有攻击者向参与 COVID-19 研究的卫生组织与大学发送钓鱼邮件,邮件中包含勒索软件。5 月,有攻击者注册仿冒官方域名,向意大利发送 COVID-19 疫情图的诱饵文件,加密受害者主机勒索比特币。

“Hidden Tear”勒索软件使用 AES 加密,获取用户的主机信息并由此生成密钥,并将用户的信息按照固定格式,和密钥一同发送到 C2 地址。不过值得注意的是,生成密钥的步骤在本地生成,并且在发往 C2 地址时并没有进行加密操作,这意味着在流量数据中可以直接找到密钥对文件进行解密。1610539742_5ffee2deed87ea1b2832b.png!sma

图6. 回传信息的固定格式

相关事件

2020 年 3 月,攻击者利用伪造的邮箱发件地址 [email protected](176.223.133.91)向参与 COVID-19 研究的加拿大卫生组织与大学发送电子邮件,电子邮件内包含了文件名为“20200323-sitrep-63-covid-19.doc”的RTF文件。

1610539762_5ffee2f266a82ab2987b7.png!sma

图7. 诱饵文档,看起来并不是很想引诱用户

2020 年 5 月,基于 Hidden Tear 的变种勒索软件 FuckUnicorn 利用 COVID-19 对意大利发起攻击,通过注册”意大利药剂师联合会”(fofi.it)的仿冒域名(fofl.it)来进行恶意软件的分发。

1610539783_5ffee307b75434b5398f2.jpg!sma

图 8. 攻击者伪造的钓鱼页面

样本分析

1. 20200323-sitrep-63-covid-19.doc

基本信息:

File NameFile TypeSHA256
20200323-sitrep-63-covid-19.docRansomware62d38f19e67013ce7b2a84cb17362c77e2f13134ee3f8743cbadde818483e617

一旦受害者将 .rtf 打开后,文档会尝试利用 CVE-2012-0158 漏洞,将勒索软件释放到C:\Users\User\AppData\Local\svchost.exe 并执行,释放出的 svchost.exe 具有隐藏属性,且带有一个 Adobe Acrobat 的图标。

样本执行后,会尝试从地址 tempinfo.96[.]lt/wras/RANSOM20.jpg 请求一张显示勒索通知的图片并将图片保存到 C:\Users\User\ransom20.jpg,然后将图片设置为桌面壁纸.

1610539866_5ffee35acfcf8eaab178f.png!sma

图9. 勒索信息页面

下载图片之后,会检查与 C2 地址的 HTTP 状态码是否为 100 Continue,向地址www.tempinfo.96.lt/wras/createkeys.php发送 POST 请求,发送主机如计算机名、用户名等相关信息。在原始的 Hidden Tear 中,POST 请求的页面为 /write.php?info=。 1610539889_5ffee3718ce5b294a4bf9.png!sma

图10. 流量数据包

发送信息完成后,会通过获取到的主机信息,在本地生成 AES 对称密钥,并将密钥发往C2 地址,并通过 POST 请求将主机信息与 AES 密钥一同发往 C2 地址。1610539903_5ffee37f996ca89ab05ec.png!sma

图11. 流量中的密钥

完成后开始对主机的文件进行加密,特定的后缀如下:

.abw.aww.chm.dbx.djvu.doc.docm.docx.dot
.bak.bbb.bkf.bkp.dbk.gho.iso.json.mdbackup
.pdf.pmd.pot.potx.pps.ppsx.ppt.pptm.pptx
.shs.snp.sxw.tpl.vsd.wpd.wps.wri.xps
.mht.mpp.odf.ods.odt.ott.oxps.pages.dotm
.spb.spba.tib.wbcat.zip7z.dll.dbf.nba
.ind.indd.key.keynote.dotx.epub.gp4.prn.pub
.old.rar.sbf.sbu.nbf.nco.nrg.prproj.ps
.pwi.rtf.sdd.sdw




加密过程中,样本加密的路径仅为主机桌面的目录和文件。加密算法也相对比较简单,加密后后缀为 .locked20 。1610539918_5ffee38ebb34b4ef93234.png!sma

图12. 加密算法

2. exe

通过钓鱼站点 fofl.it 进行下发。

基本信息:

File NameFile TypeMD5
IMMUNI.exeRansomwareb226803ac5a68cd86ecb7c0c6c4e9d00

样本是一个 exe 文件,图标带有一个新冠病毒,并且属性中的文件名为“FuckUnicorn”。1610539936_5ffee3a08fda5c83bdd9c.png!sma

图13. 文件属性页面

在样本运行后,会显示一个伪造的 COVID-19 疫情情况信息图表,来自 the Center for Systems Science and Engineering at Johns Hopkins University 。1610539951_5ffee3afb8cd6ee82558b.png!sma

图14. 诱饵文件,COVID-19 疫情图

在用户阅读图表的时候,样本会开始加密用户的文件,加密的文件夹包括主机的 /Desktop, /Links, /Contacts, /Documents, /Downloads, /Pictures, /Music, /OneDrive, /Saved Games, /Favorites, /Searches,  /Videos  。1610540102_5ffee446d3dcc4c6fdf25.png!sma

图15. 要加密的目录

加密后的后缀为“.fuckunicornhtrhrtjrjy”加密的类型包括:

.Txt.jar.exe.dat.contact.settings.doc.docx
.aspx.html.htm.xml.psd.pdf.dll.c
.lnk.iso.7-zip.ace.arj.bz2.cab.gzip
.ppt.pptx.odt.jpg.png.csv.py.sql
.mp4.f3d.dwg.cpp.zip.rar.mov.rtf
.uue.xz.z.001.mpeg.mp3.mpg.core
.php.asp.ico.pas.db.torrent.avi.apk
.xls.xlsx.lzh.tar.bmp.mkv.crproj.pdb
.cs.mp3.mdb.sln



加密完成后提供了钱包地址(195naAM74WpLtGHsKp9azSsXWmBCaDscxJ)及邮箱地址([email protected]),需要支付 300 欧元的比特币,但勒索信息留下的邮件地址无效,受害者根本无法通过此邮箱地址联系上攻击者。

1610540087_5ffee43736bc6c8689d2d.png!sma

图16. 勒索信息文本

结语

除了文中所提两类样本外,还有更多的 Hidden Tears 变种版本且一直有对外攻击的行为。由于代码作者将程序在网络公开开源,使得很多开发水平不足的人也能立马上手编译出勒索软件,使勒索攻击的门槛再次降低。虽然如此,但是好在样本使用 AES 对称加密,并且在本地生成密钥并且不加密传输,这意味着加密后的文件可以直接解密。

附录 - IOC

21a200dddb5b0fe53e4bccea55fcba47168f23f828e37cd91968572d975bee4b

434d16573c239561e412b6c0cb726a5ffed2d0e5186c46b9d91b3641581b687e

3c9fe993caef230c1a145bf71e8c696ec3900cdd1b536ec4d0d67bdd63f0c832

316ea0c930ecfddabef09da1ce67aafd3b4768398a935740e4ae16937713c0f6

1da8340926257a43ea1f9bbbd1eab3d2072394681579b46210c100c95d712901

7980ef30b9bed26a9823d3dd5746cdefe5d01de2b2eb2c5e17dbfd1fd52f62bf

55161ff4f1bc162ddbbead231ebc7a95e522833163f8c5bc3fcf2f3a6c83278e

2779863a173ff975148cb3156ee593cb5719a0ab238ea7c9e0b0ca3b5a4a9326

42f04025460e5a6fc16d6182ee264d103d9bcd03fffd782c10f0b2e82b84f768

tempinfo.96[.]lt/wras/RANSOM20.jpg

tempinfo.96[.]lt

www.tempinfo.96[.]lt/wras/createkeys.php

https://woll[.]pagekite.me/write.php

dllhost[.]xyz

116.203.210[.]127

创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。