tfrist 发表于 2019-3-20 00:50

无法解密!首个利用WinRAR漏洞传播的未知勒索软件(JNEC)分析

本帖最后由 tfrist 于 2019-3-20 01:45 编辑

转自安全客 原贴在这里 https://www.anquanke.com/post/id/173612

背景

2019年3月17日,360威胁情报中心截获了首个利用WinRAR漏洞(CVE-2018-20250)传播未知恶意勒索软件的ACE文件。该恶意压缩文件名为vk_4221345.rar,当受害者在本地计算机上通过WinRAR解压该文件后便会触发漏洞,漏洞利用成功后会将内置的勒索软件写入到用户计算机启动项目录中,当用户重启或登录系统都会执行该勒索软件从而导致重要资料被加密。由于该勒索软件执行后并没有保存生成的RSA公私钥,也没有通过其他渠道将公私钥信息发送给攻击者,所以即便受害者向勒索软件作者支付相应的赎金也不可能解密文件。360威胁情报中心提醒用户,如遇到类似的勒索软件攻击,切忌支付赎金。并再次提醒广大用户务必对此高危漏洞做好十足的防护措施。该勒索软件会加密指
定文件后缀的文件,并修改文件后缀为.Jnec。故360威胁情报中心将该未知勒索软件命名为JNEC勒索软件并进行分析。

https://p5.ssl.qhimg.com/t0185ad80ae681fa631.png

JNEC勒索软件在VirusTotal上的检测情况

样本分析

360威胁情报中心针对该利用WinRAR漏洞进行传播的勒索软件样本进行了分析,相关分析如下。

利用受损图片诱导解压


MD59ebe2ee958ddd61c93400293d6903ab0
文件名vk_4221345.rar

该恶意压缩文件包含一张图片,当在WinRAR中双击打开后会看到一张看似破损并不完整的女性图片

:https://p0.ssl.qhimg.com/t0195656e247260c0a6.png


并且还会弹出疑似图片解压错误的提示框,而该解压出错提示框疑为攻击者故意为之,压缩包的CRC校验值疑似攻击者故意修改以致打开压缩包中的图片文件后会弹出错误框,以此来诱导用户通过解压后查看图片文件:

https://p4.ssl.qhimg.com/t01c33eb94517e37c6c.png

出于好奇,用户则可能通过解压后查看疑似受损的图片文件,而这样的操作正好会触发WinRAR漏洞,从而释放内置的勒索软件到用户启动目录中:


https://p3.ssl.qhimg.com/t01394835ffc7731073.png

当用户重新启动计算机或登录系统后将执行释放的恶意勒索软件GoogleUpdate.exe。


勒索软件分析(GoogleUpdate.exe)


文件名GoogleUpdate.exe
MD535f050c384154c4ae23e02b3fce79847
SHA256d3f74955d9a69678b0fabb4cc0e298fb0909a96ea68865871364578d99cd8025
壳信息ConfuserEx




GoogleUpdate.exe采用ConfuserEx混淆,Exeinfo工具截图如下:


https://p0.ssl.qhimg.com/t019a32da4b1a3fa44f.png

去混淆后可以看到,样本运行后将解密并加载名为koi的模块:


https://p5.ssl.qhimg.com/t01cd8c40d88312a52b.png


核心模块分析(Koi.exe)

文件名Koi.exe
MD546de4ba92d3030c030494c7b6937f037
SHA25628a5fa2687f8f5923e9724fd40fe093c7fda05fb61a3ff987b394b1d712d3d12
壳信息ConfuserEx


Koi.exe同样使用ConfuserEx混淆,如下图:


https://p3.ssl.qhimg.com/t015619dfc720300fc1.png

去混淆后入口截图如下:


https://p5.ssl.qhimg.com/t01a524c7d57e54144e.png


勒索功能分析

进程运行环境检测

勒索功能部分首先会创建一个任务用于检测虚拟机、沙箱及任务管理器进程。虚拟机检测的相关代码如下:


https://p5.ssl.qhimg.com/t01aac6179dd3e72331.png

检测沙盒的相关代码如下:
https://p1.ssl.qhimg.com/t0134bba582cc79d810.png

检测任务管理器进程相关代码如下:


https://p2.ssl.qhimg.com/t011f8fdd65fb6c5577.png


生成加解密密钥

入口代码接下来生成RSA-2048密钥对,虽然程序会将公私钥以十六进制的形式保存到变量pubKeyHex和priKeyHex中,但这两个变量在之后的代码中均没有被使用。该样本只是用RSA公钥来加密随机生成的字符串,加密后的数据将被用于生成在文件加密阶段所需的AES密钥:


https://p4.ssl.qhimg.com/t01498b9d2887ad366d.png

生成及导出RSA密钥函数代码:

https://p0.ssl.qhimg.com/t014eec1148a803ef2a.png

生成随机字符串函数代码:
https://p5.ssl.qhimg.com/t01f962c0cab5a5b3e6.png

使用RSA公钥加密、编码随机字符串的函数相关代码如下:


https://p3.ssl.qhimg.com/t01509d8de890e8329c.png

最后通过定时器启动加密任务:


https://p1.ssl.qhimg.com/t01efc37dfb222f047f.png

加密过程分析
加密任务创建后首先会调用GetLastInputInfo函数检测是否被调试:


https://p0.ssl.qhimg.com/t0124cde9939ef7d3d4.png

然后创建两个线程分别用于搜索磁盘中的文件以及把待加密文件路径写入到日志文件中:


https://p3.ssl.qhimg.com/t013f965b52162aa354.png


加密的文件后缀包括txt、doc、docx、dat、xls、xlsx、ppt、pptx、odt、jpg、jpeg、png、csv、xml、psd和sef:


https://p3.ssl.qhimg.com/t010655ef1fec5afaa4.png

待文件搜索结束后,执行加密文件的任务:


https://p0.ssl.qhimg.com/t0140c7d6486d0d2188.png

函数从日志文件中读取待加密文件列表,并依次加密每个文件:


https://p1.ssl.qhimg.com/t0107174ac715eae1f4.png

文件加密函数将会计算之前随机字符串经RSA加密、编码处理后的SHA256值,并用做AES加密文件的密钥:


https://p3.ssl.qhimg.com/t01005d580db3856253.png

最后通过加盐AES实现文件加密:


https://p4.ssl.qhimg.com/t016038f8668d80e1b1.png

待文件加密完成后将弹出对话框展示勒索信息:


https://p4.ssl.qhimg.com/t01e45a6a3f11f043e1.png


https://p5.ssl.qhimg.com/t01d87f4653b5de84be.jpg

最后在桌面生成勒索信息文件:


https://p0.ssl.qhimg.com/t01f7f59aef7d081527.png

勒索信息中包含随机生成的12个字符的Gmail邮箱:
https://p1.ssl.qhimg.com/t01f2ca9da06fbd408b.png

以下是勒索软件的README信息,大致意思是让受害者向比特币钱包地址1JK1gnn4KEQRf8n7pHZiNvmV8WXTfq7kVa支付0.05 BTC,并注册JSOqxz4E1cYL@gmail.com邮箱,随后将在邮箱中收到解密密钥:


https://p4.ssl.qhimg.com/t01d94976bc2e7212a3.png

无法解密成因分析

由于勒索软件自身设计的原因,亦或者勒索软件作者根本未想过要替受害者解密文件,即便受害者向勒索软件作者支付相应的赎金也无法从攻击者那里拿到相应的解密密钥,相关原理如下:
[*]勒索软件作者并没有保存生成的RSA公私钥,更没有回传公私钥信息。
[*]邮箱是随机生成的,但是并没有通过网络发送给勒索软件作者。因此即使受害者注册了对应的邮箱,勒索软件作者也不知道该邮箱的存在,更不会向它发送解密密钥。

总结

正如我们的预测,利用WinRAR漏洞(CVE-2018-20250)传播恶意程序的攻击行为正处在爆发阶段,360威胁情报中心除了观察到多个利用此漏洞进行的APT攻击活动外,还首次截获了利用该漏洞传播恶意勒索软件的病毒,攻击者企图制造更广泛的危害。由于从设计上看被加密的文件事实无法再被解密,所以目前无法排除这是一起勒索掩盖下的定向破坏攻击活动。360威胁情报中心再次提醒各用户及时做好该漏洞防护措施。(见“缓解措施”一节)

缓解措施
[*]软件厂商已经发布了最新的WinRAR版本,360威胁情报中心建议用户及时更新升级WinRAR(5.70 beta 1)到最新版本,下载地址如下:32 位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe    64 位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe
[*]如暂时无法安装补丁,可以直接删除漏洞的DLL(UNACEV2.DLL),这样不影响一般的使用,但是遇到ACE的文件会报错。
目前,基于360威胁情报中心的威胁情报数据的全线产品,包括360威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、360 NGSOC等,都已经支持对此类攻击的精确检测。

IOCs

恶意ACE文件MD5
9ebe2ee958ddd61c93400293d6903ab0
JNEC勒索软件MD5
35f050c384154c4ae23e02b3fce79847
攻击者比特币钱包地址
1JK1gnn4KEQRf8n7pHZiNvmV8WXTfq7kVa



参考链接
[*]https://twitter.com/360TIC/status/1099987939818299392
[*]https://mp.weixin.qq.com/s/Hz-uN9VEejYN6IHFBtUSRQ(首个完整利用WinRAR漏洞传播的恶意样本分析)
[*]https://mp.weixin.qq.com/s/hAoee3Z90FyxSdomHfqZqA(警惕!WinRAR漏洞利用升级:社工、加密、无文件后门)
[*]https://research.checkpoint.com/extracting-code-execution-from-winrar/
[*]https://ti.360.net/advisory/articles/360ti-sv-2019-0009-winrar-rce/

本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/173612
安全客 - 有思想的安全新媒体

bilv 发表于 2019-3-20 08:41

dszsdyx 发表于 2019-3-20 02:51
就是说在漏洞没有修复之前尽量不要用WinRAR 反正也不怎么用 基本都是用7z

把安装目录下的UNACEV2.dll文件进行了删除就行了,7zip没有这个漏洞是因为它不支持ace压缩文件。
这个漏洞不是WINRAR的问题,是WINACE的漏洞,作者十几年前就已经不更新了,根本不可能修复

shj2k 发表于 2019-3-20 07:43

已升级到winrar5.70

Feng52 发表于 2019-3-20 01:02

楼主排一下版吧,图片的顺序好乱

BE一诺 发表于 2019-3-20 01:32

仔细看完了,感谢,虽然早已在用Bandizip了

tfrist 发表于 2019-3-20 01:41

Feng52 发表于 2019-3-20 01:02
楼主排一下版吧,图片的顺序好乱

不好意思 发的时候没有仔细看效果现在重新手动调整了一下

tfrist 发表于 2019-3-20 01:43

BE一诺 发表于 2019-3-20 01:32
仔细看完了,感谢,虽然早已在用Bandizip了

谢谢阅读刚才排版不好 重新排版了一下现在看着更清楚!

tfrist 发表于 2019-3-20 01:45

BE一诺 发表于 2019-3-20 01:32
仔细看完了,感谢,虽然早已在用Bandizip了

我一直用7-zip 也很好用的

tfrist 发表于 2019-3-20 02:48

l-s-a 发表于 2019-3-20 02:23
分析的很详细不错。。就是排版有点乱

不好意思当时没注意排版。 现在已经重新手动排版了

dszsdyx 发表于 2019-3-20 02:51

就是说在漏洞没有修复之前尽量不要用WinRAR 反正也不怎么用 基本都是用7z

tfrist 发表于 2019-3-20 04:46

dszsdyx 发表于 2019-3-20 02:51
就是说在漏洞没有修复之前尽量不要用WinRAR 反正也不怎么用 基本都是用7z

winrar已经出了新版本了需要下载新版本才能解决这个问题

s785093878 发表于 2019-3-20 04:50

好久没用WINRAR了,原因是压缩比不咋样,现在都是7Z{:1_896:}
页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: 无法解密!首个利用WinRAR漏洞传播的未知勒索软件(JNEC)分析