LOCKY勒索者新花样:通过PDF投递

摘 要

最近安恒APT团队截获一个新版的LOCKY勒索者病毒样本,区别之前大多数样本采用WORD文档投递并用宏代码远程下载执行的方式,该样本在原有的WORD文档基础上再加一层PDF“壳”较有新意。其整个“包装”及运行方式如下:

可惜依然逃不出安恒APT产品沙盒对未知病毒的检测:

流程技术分析

PDF样本分析

该PDF样本(MD5: 6EC30F978AB576597A9C139806D3846F)包含一个OpenAction,并直接指向ID:5的JS流:

所以,一旦双击该PDF文档就会直执行JS脚本将DOCX文档释放到临时目录:

Adobe Reader会调用默认的WORD软件打开,但在高版本种会跳出“包含宏”的告警窗口:

DOCX样本分析

释放的文档(MD5: 7D2CAFF06D859F3D3E7D0324B27B7BDA)是docm后缀,如果在宏的安全设置不当,会导致恶意的宏代码自动运行。

该文档被打开后显示一张图片,图片内容的大概意思是“本文件已经被加密保护,如果需要查看内容,请启用宏”。很明显它为了诱导用户启用宏:

该样本的宏使用的混淆的方式也较为新奇:采用Windows1窗体并将关键的字符串保存到个组件的属性中,如关键字符串数组IIIIII保存在Window1.Tas.Tag中,使用“FSUKE”分隔。这种方式可以绕过不支持窗体的VBA检测引擎,也增加了分析人员的分析时间成本:

宏运行后,它会循环去如下地址下载远程恶意程序:

  • Kar***s.com.au/jhg67g
  • Pur***ehosting.com.au/jhg67g
  • Fk***obnn43.org/r55/jhg67g

根据下载的内容,我们发现其采用的简单的硬编码XOR KEY进行加解密:

KEY及算法片段如下:

解密后保存到临时目录并Wscript.shell执行。其完整的运行“进程关系树”如下:

勒索软件的行为大同小异,该EXE样本不再重复分析,但从VIRUSTOTAL的扫描记录来看,多数引擎检无法检测。

最后跳出LOCKY勒索者标志的警告图片窗口和IE窗口,很明显的勒索软件特征:

总结

勒索软件直接的高额利益获取会导致该威胁长时间存在并活跃,而像本次样本修改一种新的投递方式,一方面实现成本极低但对安全厂商的引擎却是功能模块的添加、甚至检测效率降低;另一方面对用户来说新的载体和陌生的告警信息会麻痹用户的警惕性提高感染成功率。

- END -

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2017-05-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏SpringBoot 核心技术

印象笔记下的MarkDown

印象笔记终于还是终于出了markdown语法编辑方式,苦苦等了几年的我们是一个什么样子的体验?

25120
来自专栏FreeBuf

没有准考证号我是如何暴力查询英语六级成绩的

8月22日上午9时,CET6级成绩开始查询了。然而,忘记自己准考证号的也不在少数,而我,非常幸运,成为其中一员。仔细想了想,自己的准考证号是不太可能找回来了。 ...

45070
来自专栏机器之心

业界 | 微信团队开源围棋AI技术PhoenixGo,复现AlphaGo Zero论文

26640
来自专栏数据魔术师

词云图:论一个精致猪猪男孩的数据修养

“词云”就是对网络文本中出现频率较高的“关键词”予以视觉上的突出,形成“关键词云层”或“关键词渲染”,从而过滤掉大量的文本信息,使浏览网页者只要一眼扫过...

17140
来自专栏知识分享

STM32采集电阻触摸贴膜

公司的项目用电阻屏,触摸的时候发现获取的位置会漂,后来自己发现是由于压力的问题....如果亲们用电阻屏发现触摸的位置有问题,可以看一下这篇文章,,先测量触摸的压...

32260
来自专栏机器学习算法与Python学习

值得收臧 | 从零开始搭建带GPU加速的深度学习环境(操作系统、驱动和各种机器学习库)

关键字全网搜索最新排名 【机器学习算法】:排名第一 【机器学习】:排名第一 【Python】:排名第三 【算法】:排名第四 原文:https://medium....

40560
来自专栏FreeBuf

安卓新型恶意木马Xavier的发展过程和技术分析

近日,一个名为Xavier的安卓系统广告库木马被发现,它会在用户不知情的情况下窃取和泄露用户的信息,同时还可以在root过的安卓设备上静默安装任何APK。 据统...

35670
来自专栏北京马哥教育

用python爬虫抓站的一些技巧总结

这些脚本有一个共性,都是和web相关的,总要用到获取链接的一些方法,再加上simplecd这 个半爬虫半网站的项目,累积不少爬虫抓站的经验,在此总结一下,那么以...

29450
来自专栏机器之心

从零开始:深度学习软件环境安装指南

40880
来自专栏数据派THU

手把手教你安装深度学习软件环境(附代码)

来源:机器之心 本文长度为2800字,建议阅读5分钟。 本文向你解释如何在一台新装的 Ubuntu 机器上安装 Python 和 Nvidia 硬件驱动、各类库...

23280

扫码关注云+社区

领取腾讯云代金券