Kaspersky研究人員近期發現有個新的加密木馬文件。是一個ELF文件,可加密基于Linux操作系統設備上的數據。經過初步分析,研究人員發現該木馬是知名勒索軟件RansomEXX的Linux版本。該惡意軟件以攻擊大型組織而知名,并在今年早期最為活躍。
Kaspersky還總結說:“該木馬的贖金提示與RansomEXX的非常類似,因此很可能是RansomEXX的Linux變種。”RansomEXX惡意軟件的每個樣本中都含有硬編碼的受害者組織名。此外,加密的文件擴展名和聯系人郵箱地址也都使用了受害者的名字。
近幾個月來,許多知名公司都成為了該惡意軟件的受害者,其中就包括德克薩斯州交通部(TxDOT)和柯尼卡-米諾爾塔(Konica Minolta)等。
技術分析說明
研究人員分析的樣本是基于64位的ELF文件。該木馬使用來自mbedtls開源庫的函數實現了其加密手段。啟動后,木馬會生成一個256位的密鑰,并使用ECB模式下的AES分組密碼來加密所有的受害者文件。AES密鑰可通過嵌入木馬程序主體中的RSA-4096來加密每個文件。
此外,該惡意軟件還會自啟動一個線程.就現實情況而言,密鑰間隔一秒才會發生變化。
該惡意軟件除了加密文件和留下勒索信息外,其惡意軟件樣本中沒有其他惡意攻擊(如:C2通信、運行進程終止、反分析技術等)。
文件加密過程偽代碼片段,變量和函數名都保存在調試信息中,必須與源代碼相一致。但是ELF二進制文件中包含一些調試信息,包括函數名、全局變量和惡意軟件開發者使用的一些源代碼文件。
嵌入在木馬中的源文件名
木馬在Kaspersky Linux沙箱中的執行日志
和RansomEXX Windows版本的相似之處
雖然之前發現的RansomEXX木馬PE版本使用WinAPI,但是木馬的代碼以及使用mbedtls庫中的特定函數,都表明ELF文件和PE文件都來自相同的源代碼。
下圖是加密AES密鑰的過程的比較。左側是ELF樣本aa1ddf0c8312349be614ff43e80a262f,右側是TxDOT攻擊中使用的PE樣本fcd21c6fca3b9378961aa1865bee7ecb。
雖然使用了不同的優化選擇和平臺以及不同的編譯器,但是相似性還是非常明顯的。加密文件內容的過程,以及代碼的整個布局都非常相似。
此外,勒索信息也是相同的,在標題和類似字段中都有受害者的名字。
巴西的攻擊實例
據媒體報道,巴西一家政府機構最近受到了定向勒索木馬的攻擊。從勒索信息來看,幾乎與上面的樣本完全相同。
樣本aa1ddf0c8312349be614ff43e80a262f 的勒索信息
最近巴西攻擊活動中的勒索信息
參考鏈接:https://securelist.com/ransomexx-trojan-attacks-linux-systems/99279/
題圖來源:由Pete Linforth在Pixabay上發布
及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統
本文來源:securelist.com
如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明
工商執照