FavoriteLoading
0

解碼新型勒索病毒Spora ,通過IE、Flash漏洞等方式傳播

一、綜述
近日,火絨實驗室截獲了一個新勒索病毒Spora,通過漏洞和誘騙方式傳播,除了加密被感染電腦的本機文件外(doc/ppt/psd/jpg……等各種文件類型),還會加密局域網共享文件夾中的文件,然后彈出窗口,向受害者索取贖金。
Spora利用漏洞和假冒網站彈窗傳播。該病毒利用的第1個漏洞是IE漏洞,存在于IE9以上的瀏覽器版本中,該病毒利用的第2個漏洞是Flash漏洞。該病毒假冒的網站彈窗,模仿的是Chrome瀏覽器。因此,使用IE9/10/11、FlashPlayer和Chrome瀏覽器的用戶要格外小心。
該病毒團伙制造大量以假亂真的仿冒網站,通過百度、谷歌等搜索引擎去傳播。一部分受害者在訪問這些假冒網站時,Spora病毒通過漏洞進入用戶電腦;另一部分受害者則是被這些假冒網站的Chrome瀏覽器彈窗所欺騙,這些彈窗謊稱電腦缺少HoeflerText字體,并提示用戶下載安裝字體文件,所謂的字體文件就是病毒。
火絨安全團隊分析,Spora病毒未來可能會產生兩種變化:首先,該病毒進入電腦經過兩步,先下載病毒下載器,再由病毒下載器下載病毒,所以病毒團伙可以通過該病毒下載器下載各種新病毒。其次,病毒團伙制作仿冒網站時使用的是付費漏洞工具RIGEK,而RIGEK還提供其他多種服務,所以該勒索病毒可能會出現新的傳播方式。
廣大火絨用戶不用擔心,“火絨安全軟件”默認開啟的監控功能即可攔截該病毒的下載,保持開啟火絨軟件即可完美地防御Spora病毒,同時“火絨安全軟件”也完成了升級,可以徹底查殺清除該病毒。
針對最近勒索軟件層出不窮的狀況,火絨實驗室再次提醒廣大用戶,安裝合格的安全軟件是電腦的最基本安全措施,保持相應的安全設置和升級功能,可以有效防御勒索軟件等各種惡性安全威脅。
二、傳播方式
火絨近期截獲到一組病毒樣本,其通過如IE、FlashPlayer漏洞或者誘騙用戶點擊的方式進行惡意代碼傳播,其傳播的惡意代碼中包含有勒索病毒。
1、漏洞傳播

病毒作者會將帶有Flash漏洞或者IE漏洞的頁面發布到互聯網中,之后通過仿冒網址等手段,誘騙用戶訪問帶有漏洞的網站頁面。在觸發漏洞后IE進程會啟動wscript.exe執行惡意腳本,下載惡意代碼到本地進行執行。如下圖所示:

觸發漏洞
經過對該漏洞頁面進行解密之后,我們得到了一段JavaScript代碼,如下圖所示:

JavaScript代碼
將變量“s”中的數據用Base64算法進行解密之后,可以得到VBScript代碼,在其腳本代碼中存放有一個動態庫。如下圖所示:

 

VBScript代碼
VBScript代碼中存放有一個動態庫的二進制數據,根據其代碼結構我們得知該報告中所提及的兩個傳播頁面都是使用漏洞工具箱RigEK生成的。RigEK是一個專門制作釣魚頁面的滲透工具箱,工具箱會通過仿冒網址、掛馬廣告頁面等多種手段進行病毒推送,雖然該工具箱的服務費用高達每周150美元,但是其依然在黑產市場中擁有龐大的用戶群。該工具箱會使用多種不同漏洞進行傳播,火絨截獲樣本中帶有漏洞的HTML頁面包含CVE-2016-0189的漏洞利用代碼。該工具箱經常利用的漏洞,如下圖所示:

RigEK工具箱常見使用漏洞列表
該工具箱制作組織維護有數量龐大的病毒推送代理域名,黑客僅需上傳病毒Payload部分,就可以通過這些共享的代理域名在互聯網中傳播自己的病毒程序。
漏洞觸發后會運行命令行執行惡意JScript代碼。命令行參數,如下圖所示:

根據我們的整理和分析,其漏洞觸發后運行的腳本為下載者病毒,可以根據病毒作者需求下載執行任意可執行文件或者動態庫。其遠程服務器中所存放的病毒數據是進行過加密的,該惡意腳本會先將下載到的病毒數據存放在內中進行解密,之后根據PE結構IMAGE_FILE_HEADER結構中的Characteristics屬性判斷下載到的PE文件是否為動態庫,如果是動態庫則使用regsvr32.exe啟動,如果不是動態庫則直接使用cmd.exe執行。代碼如下圖所示:

下載者病毒代碼
2、欺騙用戶方式傳播
病毒作者依然會以仿冒網站為誘騙用戶訪問頁面的主要形式,但是其下載運行病毒的方式卻沒有利用漏洞傳播那么暴力,而是以欺騙用戶點擊的方式進行。在訪問帶有網頁時,用戶會看到頁面顯示的字符全是亂碼,過一秒之后會彈出仿冒的Chrome彈窗提示:未找到“HoeflerText”字體,需要下載執行Chrome_Font.exe,當瀏覽器彈出是否運行該文件時點擊“是”。如果用戶按照其提示的步驟進行操作,最終會下載運行勒索病毒。如下圖所示:

下載執行勒索病毒
病毒作者會將其想要仿冒的網站頁面代碼通過保存頁面,在下載到的網頁代碼中插入惡意腳本。如下圖所示:

分頁閱讀: 1 2 3
【聲明】:8090安全小組門戶(http://www.jvwkvg.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。