吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 26889|回复: 151
收起左侧

[转载] 无法解密!首个利用WinRAR漏洞传播的未知勒索软件(JNEC)分析

    [复制链接]
tfrist 发表于 2019-3-20 00:50
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 tfrist 于 2019-3-20 01:45 编辑

转自安全客 原贴在这里 https://www.anquanke.com/post/id/173612

背景

2019年3月17日,360威胁情报中心截获了首个利用WinRAR漏洞(CVE-2018-20250[4])传播未知恶意勒索软件的ACE文件[1]。该恶意压缩文件名为vk_4221345.rar,当受害者在本地计算机上通过WinRAR解压该文件后便会触发漏洞,漏洞利用成功后会将内置的勒索软件写入到用户计算机启动项目录中,当用户重启或登录系统都会执行该勒索软件从而导致重要资料被加密。由于该勒索软件执行后并没有保存生成的RSA公私钥,也没有通过其他渠道将公私钥信息发送给攻击者,所以即便受害者向勒索软件作者支付相应的赎金也不可能解密文件。360威胁情报中心提醒用户,如遇到类似的勒索软件攻击,切忌支付赎金。并再次提醒广大用户务必对此高危漏洞做好十足的防护措施。该勒索软件会加密指
定文件后缀的文件,并修改文件后缀为.Jnec。故360威胁情报中心将该未知勒索软件命名为JNEC勒索软件并进行分析。



JNEC勒索软件在VirusTotal上的检测情况

样本分析

360威胁情报中心针对该利用WinRAR漏洞进行传播的勒索软件样本进行了分析,相关分析如下。

利用受损图片诱导解压

MD59ebe2ee958ddd61c93400293d6903ab0
文件名vk_4221345.rar

该恶意压缩文件包含一张图片,当在WinRAR中双击打开后会看到一张看似破损并不完整的女性图片




并且还会弹出疑似图片解压错误的提示框,而该解压出错提示框疑为攻击者故意为之,压缩包的CRC校验值疑似攻击者故意修改以致打开压缩包中的图片文件后会弹出错误框,以此来诱导用户通过解压后查看图片文件:



出于好奇,用户则可能通过解压后查看疑似受损的图片文件,而这样的操作正好会触发WinRAR漏洞,从而释放内置的勒索软件到用户启动目录中:




当用户重新启动计算机或登录系统后将执行释放的恶意勒索软件GoogleUpdate.exe。


勒索软件分析(GoogleUpdate.exe)

文件名GoogleUpdate.exe
MD535f050c384154c4ae23e02b3fce79847
SHA256d3f74955d9a69678b0fabb4cc0e298fb0909a96ea68865871364578d99cd8025
壳信息ConfuserEx




GoogleUpdate.exe采用ConfuserEx混淆,Exeinfo工具截图如下:




去混淆后可以看到,样本运行后将解密并加载名为koi的模块:





核心模块分析(Koi.exe)
文件名Koi.exe
MD546de4ba92d3030c030494c7b6937f037
SHA25628a5fa2687f8f5923e9724fd40fe093c7fda05fb61a3ff987b394b1d712d3d12
壳信息ConfuserEx


Koi.exe同样使用ConfuserEx混淆,如下图:




去混淆后入口截图如下:





勒索功能分析

进程运行环境检测

勒索功能部分首先会创建一个任务用于检测虚拟机、沙箱及任务管理器进程。虚拟机检测的相关代码如下:




检测沙盒的相关代码如下:


检测任务管理器进程相关代码如下:





生成加解密密钥

入口代码接下来生成RSA-2048密钥对,虽然程序会将公私钥以十六进制的形式保存到变量pubKeyHex和priKeyHex中,但这两个变量在之后的代码中均没有被使用。该样本只是用RSA公钥来加密随机生成的字符串,加密后的数据将被用于生成在文件加密阶段所需的AES密钥:




生成及导出RSA密钥函数代码:



生成随机字符串函数代码:


使用RSA公钥加密、编码随机字符串的函数相关代码如下:




最后通过定时器启动加密任务:




加密过程分析
加密任务创建后首先会调用GetLastInputInfo函数检测是否被调试:




然后创建两个线程分别用于搜索磁盘中的文件以及把待加密文件路径写入到日志文件中:





加密的文件后缀包括txt、doc、docx、dat、xls、xlsx、ppt、pptx、odt、jpg、jpeg、png、csv、xml、psd和sef:




待文件搜索结束后,执行加密文件的任务:




函数从日志文件中读取待加密文件列表,并依次加密每个文件:




文件加密函数将会计算之前随机字符串经RSA加密、编码处理后的SHA256值,并用做AES加密文件的密钥:




最后通过加盐AES实现文件加密:




待文件加密完成后将弹出对话框展示勒索信息:







最后在桌面生成勒索信息文件:




勒索信息中包含随机生成的12个字符的Gmail邮箱:


以下是勒索软件的README信息,大致意思是让受害者向比特币钱包地址1JK1gnn4KEQRf8n7pHZiNvmV8WXTfq7kVa支付0.05 BTC,并注册JSOqxz4E1cYL@gmail.com邮箱,随后将在邮箱中收到解密密钥:




无法解密成因分析

由于勒索软件自身设计的原因,亦或者勒索软件作者根本未想过要替受害者解密文件,即便受害者向勒索软件作者支付相应的赎金也无法从攻击者那里拿到相应的解密密钥,相关原理如下:
  • 勒索软件作者并没有保存生成的RSA公私钥,更没有回传公私钥信息。
  • 邮箱是随机生成的,但是并没有通过网络发送给勒索软件作者。因此即使受害者注册了对应的邮箱,勒索软件作者也不知道该邮箱的存在,更不会向它发送解密密钥。

总结


正如我们的预测,利用WinRAR漏洞(CVE-2018-20250)传播恶意程序的攻击行为正处在爆发阶段,360威胁情报中心除了观察到多个利用此漏洞进行的APT攻击活动外,还首次截获了利用该漏洞传播恶意勒索软件的病毒,攻击者企图制造更广泛的危害。由于从设计上看被加密的文件事实无法再被解密,所以目前无法排除这是一起勒索掩盖下的定向破坏攻击活动。360威胁情报中心再次提醒各用户及时做好该漏洞防护措施。(见“缓解措施”一节)

缓解措施
  • 软件厂商已经发布了最新的WinRAR版本,360威胁情报中心建议用户及时更新升级WinRAR(5.70 beta 1)到最新版本,下载地址如下:32 位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe    64 位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe
  • 如暂时无法安装补丁,可以直接删除漏洞的DLL(UNACEV2.DLL),这样不影响一般的使用,但是遇到ACE的文件会报错。
目前,基于360威胁情报中心的威胁情报数据的全线产品,包括360威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、360 NGSOC等,都已经支持对此类攻击的精确检测。

IOCs
恶意ACE文件MD5
9ebe2ee958ddd61c93400293d6903ab0
JNEC勒索软件MD5
35f050c384154c4ae23e02b3fce79847
攻击者比特币钱包地址
1JK1gnn4KEQRf8n7pHZiNvmV8WXTfq7kVa



参考链接
  • https://twitter.com/360TIC/status/1099987939818299392
  • https://mp.weixin.qq.com/s/Hz-uN9VEejYN6IHFBtUSRQ(首个完整利用WinRAR漏洞传播的恶意样本分析)
  • https://mp.weixin.qq.com/s/hAoee3Z90FyxSdomHfqZqA(警惕!WinRAR漏洞利用升级:社工、加密、无文件后门)
  • https://research.checkpoint.com/extracting-code-execution-from-winrar/
  • https://ti.360.net/advisory/articles/360ti-sv-2019-0009-winrar-rce/

本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/173612
安全客 - 有思想的安全新媒体

免费评分

参与人数 41吾爱币 +38 热心值 +39 收起 理由
godehi + 1 + 1 我很赞同!
Nemoris丶 + 1 + 1 我很赞同!
ch12 + 1 + 1 我很赞同!
xuwenyi123 + 1 我很赞同!
Colse + 1 + 1 我很赞同!
alipincins + 1 + 1 谢谢@Thanks!
cynthina2010 + 1 + 1 谢谢@Thanks!
脑子进秋刀鱼 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
AVEN5219 + 1 + 1 用心讨论,共获提升!
AngMer + 1 + 1 谢谢@Thanks!
raixen + 1 + 1 用心讨论,共获提升!
dadao815 + 1 + 1 用心讨论,共获提升!
Aug6thSml + 1 + 1 谢谢@Thanks!
ssh0221 + 1 + 1 用心讨论,共获提升!
a48602 + 1 + 1 谢谢@Thanks!
wanjuny + 1 热心回复!
hbwazxf + 1 + 1 热心回复!
阿尔伯特 + 1 + 1 用心讨论,共获提升!
Fancok + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
sh4159 + 1 + 1 用心讨论,共获提升!
HDxian + 1 + 1 感谢分享
jinxiangqiang + 1 + 1 谢谢@Thanks!
zqguang3708 + 2 + 1 用心讨论,共获提升!
天狗机器人 + 1 + 1 我很赞同!
ron1994 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
hackcat + 1 谢谢@Thanks!
aceryao + 1 + 1 用心讨论,共获提升!
Honey丶Linux + 2 github上刚好有这个漏洞的python源码
tanglin + 1 + 1 谢谢@Thanks!
我有麒麟臂 + 1 + 1 我很赞同!
hwolf1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
leaves_xp + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Bartle + 1 + 1 谢谢@Thanks!
you920928 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
WA自动机 + 1 用心讨论,共获提升!
Caitingting + 1 + 1 今天我的第一次就给你啦。。。☆⌒(*^-゜)v THX!!
willJ + 3 + 1 鼓励转贴优秀软件安全工具和文档!
乐观的周小赖 + 1 用心讨论,共获提升!
tanyoubin + 1 我很赞同!
jrf + 1 + 1 用心讨论,共获提升!
J20 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

bilv 发表于 2019-3-20 08:41
dszsdyx 发表于 2019-3-20 02:51
就是说在漏洞没有修复之前尽量不要用WinRAR 反正也不怎么用 基本都是用7z

把安装目录下的UNACEV2.dll文件进行了删除就行了,7zip没有这个漏洞是因为它不支持ace压缩文件。
这个漏洞不是WINRAR的问题,是WINACE的漏洞,作者十几年前就已经不更新了,根本不可能修复

免费评分

参与人数 1热心值 +1 收起 理由
山高人为蜂 + 1 热心回复!

查看全部评分

shj2k 发表于 2019-3-20 07:43
Feng52 发表于 2019-3-20 01:02
BE一诺 发表于 2019-3-20 01:32 来自手机
仔细看完了,感谢,虽然早已在用Bandizip了
 楼主| tfrist 发表于 2019-3-20 01:41
Feng52 发表于 2019-3-20 01:02
楼主排一下版吧,图片的顺序好乱

不好意思 发的时候没有仔细看效果  现在重新手动调整了一下
 楼主| tfrist 发表于 2019-3-20 01:43
BE一诺 发表于 2019-3-20 01:32
仔细看完了,感谢,虽然早已在用Bandizip了

谢谢阅读  刚才排版不好 重新排版了一下  现在看着更清楚!
 楼主| tfrist 发表于 2019-3-20 01:45
BE一诺 发表于 2019-3-20 01:32
仔细看完了,感谢,虽然早已在用Bandizip了

我一直用7-zip 也很好用的
 楼主| tfrist 发表于 2019-3-20 02:48
l-s-a 发表于 2019-3-20 02:23
分析的很详细不错。。就是排版有点乱

不好意思  当时没注意排版。 现在已经重新手动排版了
dszsdyx 发表于 2019-3-20 02:51
就是说在漏洞没有修复之前尽量不要用WinRAR 反正也不怎么用 基本都是用7z
 楼主| tfrist 发表于 2019-3-20 04:46
dszsdyx 发表于 2019-3-20 02:51
就是说在漏洞没有修复之前尽量不要用WinRAR 反正也不怎么用 基本都是用7z

winrar已经出了新版本了  需要下载新版本才能解决这个问题
s785093878 发表于 2019-3-20 04:50
好久没用WINRAR了,原因是压缩比不咋样,现在都是7Z
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 04:49

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表