首个“微信支付”勒索木马覆灭记
“微信支付”勒索病毒传播始末
UNNAMED1989”微信支付”勒索病毒让不少用户过了一个不平静的周末,文件无法正常打开,重要数据被加密。在用户一筹莫展之际,360安全卫士迅速推出了解密工具,帮用户解决了数据被加密的难题。但病毒从何而来,以后又该如何预防呢?本文将对这个事件做一次全面分析,帮助用户一起应对此类勒索病毒威胁。
感染原理
分析感染原理之前,我们先从此次勒索病毒的传播源说起,在之前的报告中,我们已经提到,受感染机器多是由于使用了“辅助外挂”,由这些外挂携带的木马下载器造成的感染。那为什么会有这么多的外挂软件同时携带这款病毒呢?是这些外挂作者开发了这个木马下载器和勒索病毒么?带着这个疑问,我们深入分析发现,受影响的软件集中在易语言编写的程序上,更进一步分析显示,他们使用了同样的被感染的易语言库文件,造成编译发布的外挂辅助软件均被感染了本次的下载器木马。那这些被感染的库文件从何而来的呢,我们在网上找到了线索。
该带毒模块最初是经由一名用户发布到“精易论坛”的,以模块源码分享的名义传播恶意模块:
而精易论坛的管理人员也发现了有人利用论坛传播木马,对相关事件进行了处理和说明:https://bbs.125.la/thread-14274716-1-1.html
经分析,该代码模块中确实夹杂了“私货”。使用这个模块编译出来的程序,会向特定目录下释放恶意程序:
其次,恶意模块还会访问两个指定的URL网址:
而这两个URL网址,和我们之前分析的下载者木马所访问的网络配置文件地址相同,其内容是被黑客加密过的配置信息(内容现已被编辑):
在木马读取到上述配置信息后,会到本地解密成明文的配置内容。这其中,就含有一个名为JingYiMoKuai.ec的易语言库文件和一个名为“krnlnstatic5.7.lib”的静态链接库文件。
下载器木马会查找系统中的“精易模块*.ec”、“JingYiMoKuai.ec”以及“krnln_static.lib”文件,并使用网上下载的这两个模块,替换本地对应的模块,污染这台计算机的开发环境:
也就是说,恶意代码的扩散并不仅仅局限于木马自身的传播,还会通过污染开发环境,利用其他开发者进行二次传播,即:
1.原始攻击者A发布了隐藏有恶意功能的代码模块; 2.其他开发者B从论坛获取了上述模块,并加入到其开发环境中,这样B所开发的程序就同样带有了恶意功能; 3.如果B开发的一个工具被其它开发者使用,比如C,则开发者C可能会因为使用了这个开发工具也导致自己开发的软件被感染; 4.用户D使用C开发的软件时,也会遭到恶意代码的入侵。
如上所述,即便最终的用户D不知道原始攻击者A,也从没用过他的软件。但依然难逃被其间接攻击的命运。更形象的传播扩散流程图如下:
这类直接感染源代码或代码编译程序手法并非首次出现,2015年9月,就曾出现过震惊世界的iOS应用感染XCodeGhost病毒的事件。由于大量苹果开发者使用了被感染的XCode开发工具,导致众多iOS应用携带了恶意代码,盗取用户信息。这其中甚至包括了很多几乎所有人都会使用的一些“必备应用”,也均未能幸免。
同样,就在上个月也发生过类似的案件——一款热门JavaScript库被黑客植入了恶意代码。而使用Copay的用户一旦访问含有该JS库文件的网页就有可能被窃取钱包中的比特币:
在追溯过程中我们发现,“微信支付”勒索病毒作者早在2017年就开始制作并传播恶意软件,在2018年4月已经开始尝试,在开发者论坛散布携带病毒的项目,下面是其今年攻击过程的一个时间轴,可以看出攻击者是做了大量准备的,经过长时间测试后才对外正式传播病毒。
受影响用户
我们统计了这次被感染的软件,目前共计整理出918款软件,这个数量还在进一步增加。其中绝大部分是辅助类软件,可以看出有大量辅助工具的开发环境中招,这也造成更多使用这些辅助工具的用户受到威胁。
下面是部分受影响的辅助工具的文件名截图:
我们抽取了其中的一些关键词,可以据此看到被攻击群体的一些特点:
完整的列表可以到此链接处下载:https://yunpan.360.cn/surl_yHyXqCqKtat
开发者和用户都可以检查一下,自己发布或者使用的软件是否在其中, 如果发现有自己使用过的软件,请尽快使用360安全卫士清除机器中隐藏的病毒木马!
主要危害
木马下载器
无论是恶意易语言代码模块,还是被感染的应用程序。都会进一步下载更多的恶意软件到受害用户机器中执行。其工作流程如下图:
在传播的最后阶段,木马母体会通过读取网络配置文件的形式获取包括MySQL、FTP、自身更新地址以及病毒分发列表等一系列信息:
这其中的downURL22字段所对应的地址,就是后续的“病毒木马大礼包”。
而在配置文件中所给出的FTP服务器中,我们看到了与前文中所写的Github中相同的配置文件:
其内容如下:
同时,分析人员还在里面发现了部分木马源码,使用了与此木马相似的C&C服务器:
信息窃取/源码窃取
此外,同样在配置文件中给出的MySQL数据库目前已无法连接。我们目前无法获知其中的具体数据内容。但根据木马母体中的代码可以看出,该母体会与MySQL数据库保持通信,并获取其中的指令信息。在获取到指令后,会根据指令进行对应的操作,功能列表如下:
其中文件回传功能,很可能被用来窃取开发者的源代码。
勒索病毒
回到核心的“病毒木马大礼包”中来:这其中最主要的当然就是我们的主角“UNNAMED1989”勒索病毒了。其相关分析和具体危害本文不再重复,有兴趣可以移步我们之前发布的报告中《勒索病毒“UNNAMED1989”中招用户有解了!》
盗号木马
除了本次事件的主角之外,在“大礼包”中还包含了一款盗号木马。经过我们分析,该木马会试图窃取支付宝、京东、163邮箱、微博、百度网盘、QQ、天猫、阿里旺旺、酷狗、迅雷、百度云等的账号密码。
首先,该木马会初始化要窃取信息所需的字符串:
完成后,木马会遍历进程,找到AliIM.exe,AliWorkbench.exe,360chrome.exe等进程:
一旦找到这些进程,会进一步查找其窗口,并通过GetGetWindowTextA获取窗口标题栏的内容:
木马此时会将获取到的窗口标题与之前的字符串进行匹配,并发送到MySQL数据库中。此外,木马还专门针对支付宝的界面设计了定制化的盗号方案。该方案与我们熟知的QQ粘虫类似(我们就叫它“支付宝粘虫”好了)——会在出现支付宝支付界面时,创建一个编辑框贴在原本的支付宝支付密码输入框上面。这样一来,用户输入的支付密码实际上是输入到了木马创建的虚假支付框中。用户输入完密码,密码也就被发送到了黑客的手中:
预防方案
分析并复盘此次勒索病毒传播的始末,我们提出如下一些关键点需要大家格外留意:
1.软件开发人员更要留意计算机安全问题,因为软件源文件被感染,造成整个软件产品被植入恶意代码的事件时有发生,而受危害的往往是数量庞大的软件用户。软件开发者应该从正规渠道下载编译工具及开发环境相关文件,以免下载到被污染的开发文件,影响整个工程环境;
2.无论是开发者还是普通用户,都应安装安全软件并确保其正常运行,保护计算机安全;
3.作为普通用户,应该从正规渠道获取软件,同时做到不在安全软件退出的情况下使用来源不明的软件;
4.重要数据要及时备份。如果有条件,尽可能分开备份,以免备份数据与原始数据被同时加密或删除;
5.请相信安全软件的判断结果!切勿相信某些软件声称自己是被误报的论调。发现感染勒索病毒后,可以第一时间联系360互联网安全中心。
本文作者:360安全卫士,转载请注明来自FreeBuf.COM