新型勒索軟件 WastedLocker 變種分析

新型勒索軟件 WastedLocker 變種分析一、簡介

WastedLocker 是一種新型勒索軟件,在 2020 年 5 月首次發現,此後一直持續發現該勒索軟件的各類變種。我們認爲這個勒索軟件已經經過了幾個月的開發,其版本變更往往與 Evil Corp 惡意組織的其他惡意軟件版本變更同步進行。在此前,Evil Corp 惡意組織被認爲與 Dridex 惡意軟件和 BitPaymer 勒索軟件相關,而 BitPaymer 在 2017 年上半年非常流行。近期,Evil Corp 調整了許多其運營期間的 TTP,本文將對變化部分進行詳細描述。我們認爲,這些變化是由於對 Olegovich Turashev 和 Maksim Viktorovich Yakubets 的起訴,以及在 2019 年 12 月對 Evil Corp 的經濟制裁所導致的。這些法律事件引發了一系列事件,導致 Evil Corp 惡意組織失去了與兩個被起訴成員的聯繫,從而才轉變了該惡意組織的行動方式。

新型勒索軟件 WastedLocker 變種分析二、惡意組織背景

近年來,我們持續追蹤 Evil Corp 惡意組織的活動,該組織在 2011 年曾調整了其成員構成,但我們仍然沿用原有的名稱來標識這一惡意組織。

2.1 攻擊者追蹤

在有組織的網絡犯罪團體中,商業類惡意組織往往非常活躍,這類組織與具有國家背景的惡意組織相比,往往會有更爲頻繁的人員變化或相互合作。具有國家背景的惡意組織通常會在更長的時間內以類似的形式運作。因此,如果難以維持對新型網絡犯罪集團能力的評估,形成的網絡威脅情報報告可能就會存在一些誤讀。

例如,Anunak 惡意組織(也稱爲 FIN7 或 Carbanak)經常更改其組成,因此針對該惡意組織的各種公開和內部威脅情報分析往往會與現實存在出入。Anunak 惡意組織常常會與 TA505 惡意組織開展密切合作,因此,TA505 的惡意活動有時候會被認爲是 Evil Corp 的惡意活動,儘管自 2017 年下半年以來這些小組未曾開展過合作。

由於惡意組織往往會將惡意軟件出售給感興趣的各方成員並進行大規模分發,或者將惡意軟件提供給在針對特定領域的攻擊中有豐富經驗的成員,因此很難準確地將一個惡意軟件的爆發歸因到正確的惡意組織。同樣,我們在追蹤許多以經濟爲目的的有組織犯罪集團時,也容易產生混亂。由於犯罪分子會將“攻破受害者組織的方式”作爲一種商品進行交易,因此不同組織之間經常會存在業務聯繫,而這種業務聯繫不一定與惡意組織的日常運作有關。

2.2 Evil Corp 惡意組織分析

儘管存在上述困難,但我們還是深入追蹤了 Evil Corp 惡意組織,因爲該惡意組織對我們的客戶已經構成了重大威脅。Evil Corp 自 2014 年 7 月以來持續在運營 Dridex 惡意軟件,並向多個組織和單獨的威脅參與者提供過該惡意軟件的訪問權限。但是,到 2017 年底,Evil Corp 的活動範圍開始縮小,開始利用 Dridex 在特定目標上部署 BitPaymer 勒索軟件。大多數受害者都是位於北美(主要是美國),有少數受害者位於西歐,除此之外的地區只是零星感染。在 2018 年,Evil Corp 與 TheTrick 惡意組織建立了短暫的合作關係,互相交換使用了 Ryuk 和 BitPaymer 惡意軟件。

在 2019 年,出現了一個 BitPaymer 的變種,被稱爲 DoppelPaymer,儘管惡意組織同樣提供了“勒索軟件即服務”(RaaS),但二者並非是相同的業務模型。我們已經觀察到這兩個組織之間存在一些合作,但是對於這兩個組織目前的關係,還不能做出明確的結論。

在美國司法部解封起訴書,美國財政部開始對 Evil Corp 採取行動之後,我們發現 Evil Corp 的活動暫時停止了,直到 2020 年 1 月。在 2020 年 1 月,該惡意組織的活動開始恢復,仍然針對此前關注的地區發動攻擊。但是,這可能是惡意組織採取的一種計策,向公衆表明 Evil Corp 仍然活躍,因爲我們從 2020 年 3 月中旬開始,並沒有觀察到太多的 BitPaymer 部署惡意活動。當然,其原因也可能是由於 COVID19 大流行期間的居家措施。

新惡意軟件的開發需要花費時間,而這個惡意組織很可能已經開始開發新的技術和新的惡意軟件。之所以做出這樣的判斷,是因爲我們發現該惡意組織使用了 Gozi 變種,我們將其稱之爲 Gozi ISFB 2。我們認爲,這個變種會替代惡意組織在目標網絡上的持久性工具——Dridex 僵屍網絡 501。同時,我們還觀察到存在 Cobalt Strike 加載工具的自定義版本,可能是打算替代此前使用的 Empire PowerShell 框架。

該惡意組織具有較高級別的漏洞利用和軟件開發技術,有能力繞過不同級別的網絡防護設施。該惡意組織似乎在繞過 EDR (終端防護產品)方面付出了很多努力。當在受害網絡上檢測到特定版本的惡意軟件時,該惡意組織會使用未被檢測到的版本進行替換,並保證惡意軟件在短時間內繼續運行。這表明,受害者充分了解每個事件的重要性。也就是說,如果我們發現並阻止了攻擊者的一個行爲,並不代表着已經徹底消除了威脅。

在 Evil Corp 嘗試繞過終端防護產品過程中,他們還濫用了受害者的電子郵件,冒充廠商的合法潛在客戶,並要求獲取知名終端防護產品的試用證書,而這種行爲並不常見。

該惡意組織基於多年的實踐經驗,經常能夠發現創新且實用的網絡檢測繞過方式。該惡意組織還表現出了耐心與毅力,在一個案例中,他們在未能獲得特權訪問後的 6 個月持續嘗試,最終攻陷了目標。此外,該惡意組織還關注細節,例如他們在部署勒索軟件之前,首先確保獲取到用於禁用網絡上安全工具的密碼。

2.3 WastedLocker 分析

新型 WastedLocker 勒索軟件在 2020 年 5 月出現。這個名稱是根據其創建的文件名而命名的,在文件名中包含受害者姓名的縮寫和字符串“wasted”。在 BitPaymer 中,也可以看到受害者姓名的縮寫,但 BitPaymer 絕大部分都使用了組織的名稱,並且個別字母會被相似的數字代替。

從技術上講,WastedLocker 與 BitPaymer 並沒有太多共同之處,除了在受害者特定元素都是使用特定生成器(而非在編譯時)添加的這一點上 WastedLocker 類似於 BitPaymer。此外,兩種惡意軟件使用的勒索提示信息也存在一些相似之處。我們發現的第一個 WastedLocker 樣本中,包含 BitPaymer 勒索提示信息中的受害者名稱,還包含相同的 protonmail.com 和 tutanota.com 電子郵件地址。在更高版本的惡意軟件中,還包含其他 Protonmail、Tutanota、Eclipso 和 Airmail 的電子郵件地址。值得關注的是,在 WastedLocker 生成的勒索提示消息中,列出的電子郵件地址用戶部分是數字(通常是 5 位數字),類似於 BitPaymer 在 2018 年使用的郵箱地址(6-12 位數字)。

Evil Corp 僅針對特定的基礎架構部署勒索軟件。通常,勒索軟件會針對文件服務器、數據庫服務、虛擬機和雲環境開展供給。當然,這些選擇也會受到業務模型的影響,它們理論上也可以禁用或破壞備份應用程序和相關基礎架構。這樣一來,就增加了受害者恢復數據所需的時間,並且在某些場景中,由於離線備份不可用,用戶根本無法自行恢復數據。

有趣的是,該惡意組織似乎沒有像 DoppelPaymer 以及其他許多目標勒索軟件那樣,進行大規模的信息竊取,或者威脅要公開受害者的隱私信息。我們猜測,這可能是因爲惡意組織想要避免引起執法人員和公衆不必要的關注。

新型勒索軟件 WastedLocker 變種分析三、惡意軟件分發

儘管在最近,Evil Corp 的 TTP 發生了許多變化,但其中有一個關鍵的元素沒有發生變化,就是通過 SocGholish 虛假更新框架進行分發。儘管現在攻擊者選擇使用該框架直接分發 4.1 中描述的自定義 Cobalt Strike 加載程序,但目前也是在依然使用這個框架,不再像過去幾年那樣使用 Dridex。這個框架最顯著的特徵之一就是會評估受害者系統是否屬於大型網絡的一部分,因爲攻擊者往往不關注單一的最終用戶操作系統。當 SocGholish JavaScript 殭屍程序在瀏覽器用戶的權限下運行時,它可以從系統本身訪問信息。殭屍程序會收集大量信息,並將其發送到 SocGholish 服務器端,SocGholish 服務器端又將 Payload 返回給受害系統。攻擊者似乎也在使用其他的攻擊方法,但在撰寫本文時,我們暫時還不能獨立進行驗證。

新型勒索軟件 WastedLocker 變種分析四、技術分析

4.1 Cobalt Strike Payload

Cobalt Strike Payload 會嵌入在兩種類型的 PowerShell 腳本中。第一種類型(僅適用於 Windows 64 位)對 Base64 Payload 進行兩次解碼,然後使用 AES 算法(CBC 模式)對其進行解密。AES 的密鑰是通過計算編碼字符串“saN9s9pNlD5nJ2EyEd4rPym68griTOMT”的 SHA256 哈希值得出的,而初始向量(IV)則是從經過兩次 Base64 解碼後的 Payload 的前 16 個字節得出。該腳本將解密的 Payload (使用 Base64 編碼的字符串)轉換爲字節,並在執行之前分配內存。

第二種相對簡單一些,包括兩個嵌入式的 Base64 編碼的 Payload、Cobalt Strike Payload 的注入工具和加載工具。看起來,使用的注入工具和加載工具都是“Donut”項目的一部分。

我們可以從第二種 PowerShell 腳本提供的 Cobalt Strike Payload 中發現一種有趣的行爲。在這裏,已經對加載工具進行了修改,目的是檢測 Crowd Strike 軟件。如果存在 C:\\Program Files\\CrowdStrike 目錄,則在加載 Cobalt Strike Payload 後將調用“FreeConsole” Windows API。否則,在加載 Cobalt Strike Beacon 之前,將會調用“FreeConsole”函數。儘管目前還不清楚是否屬於這種情況,但可以認爲,這是一種繞過 Crowd Strike 終端解決方案的嘗試。

通過反編譯,顯示了 CrowdStrike 特定的檢測邏輯:

新型勒索軟件 WastedLocker 變種分析

4.2 加密過程

WastedLocker 受到自定義加密工具的保護,Fox-IT inTell 將該加密工具稱爲 CryptOne。經檢查,這部分代碼非常基礎,並且也被其他惡意軟件家族所使用的,例如:Netwalker、Gozi ISFB v3、ZLoader 和 Smokeloader。

加密工具中包含大量垃圾代碼,用於隱藏實際的代碼。我們發現有兩個加密工具的變體,二者之間存在一些代碼差異,但大多數都應用了相同的邏輯。

加密工具執行的第一個操作是檢查某些特定的註冊表項。在我們所分析的變種中,註冊表項是 interface\{b196b287-bab4-101a-b69c-00aa00341d07} 或 interface\{aa5b6a80-b834-11d0-932f-00a0c90dcaa9} 。這些鍵分別與 UCOMIEnumConnections 接口和 IActiveScriptParseProcedure32 接口有關。如果未檢測到密鑰,則加密工具將會進入無限循環或退出,這也是攻擊者所使用的一種反分析技術。

下一步,加密工具分配一個內存緩衝區,該緩衝區調用 VirtualAlloc API。使用 while 循環將一系列數據 Blob 放入分配的緩衝區中,然後使用 XOR 算法對該緩衝區的內容進行解密。在解密後,解密工具就會跳入數據 Blob,該數據 Blob 是負責解密實際 Payload 的 Shellcode。Shellcode 負責將加密的 Payload 複製到另一個緩衝區中,該緩衝區同樣是通過調用 VirtualAlloc API 來實現的分配。隨後,使用與上述類似的方式,使用 XOR 算法對其進行解密。爲了執行 Payload,Shellcode 使用剛剛解密的 Payload 代碼,去替換內存中的加密代碼,然後跳轉到其入口點。

如上所述,我們觀察到其他惡意軟件家族也在使用這一加密工具。相關信息和威脅指標請參考附錄。

4.3 WastedLocker 勒索軟件分析

WastedLocker 勒索軟件用於加密受感染主機的文件。但是,在運行加密過程之前,WastedLocker 還要執行其他一些任務,以確保勒索軟件能夠正常運行。

首先,WastedLocker 解密存儲在 .bss 段中的字符串,然後計算一個 DWORD 值,該值將在稍後用於查找與加密過程相關的解密字符串。我們在“字符串加密”一節對此進行了更詳細的描述。此外,勒索軟件還會創建一個日誌文件 lck.log,然後設置一個異常處理程序,該異常處理程序將在 Windows 臨時文件夾中創建一個崩潰轉儲文件,其文件名是勒索軟件的二進制文件名。

如果勒索軟件未以管理員權限運行,或者被感染的主機運行 Windows Vista 或更高版本的操作系統,則勒索軟件會嘗試提升特權。簡而言之,WastedLocker 使用了比較流行的 UAC 繞過方法。它會從 Windows system32 文件夾中選擇一個隨機文件(EXE 或 DLL),然後將其複製到 %APPDATA% 路徑下,隱藏該文件並重命名。接下來,它會在名爲 bin 的文件中創建備用數據流(ADS),並將勒索軟件複製到其中。然後,WastedLocker 將 winsat.exe 和 winmm.dll 複製到位於 Windows 臨時文件夾中新創建的文件夾中。在加載之後,對被劫持的 DLL (winmm.dll)進行修補,以執行上述備用數據流。

勒索軟件支持以下命令行參數。

WastedLocker 命令行參數:

-r 刪除卷影副本,將勒索軟件二進制文件複製到 %windir%\system32 並獲得其所有權(takeown.exe /F filepath),重置 ACL 權限,創建並運行服務,在加密過程完成後再刪除該服務。

-s 執行服務的條目。

-p 加密指定目錄中的文件,然後繼續處理驅動器中的其餘文件。

-f 加密指定目錄中的文件。

值得注意的是,如果前兩個參數(-r 和-s)出現任何問題,勒索軟件還將繼續進行加密,但會在註冊表項 Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap 中應用以下修改:

ProxyBypass:刪除該條目;

IntranetName:刪除該條目;

UNCAsIntranet:將值設置爲 0;

AutoDetect:將值設置爲 1。

以上的修改適用於 32 位和 64 位系統,並且可能用於確保勒索軟件可以訪問遠程驅動器。但是,在體系結構標識代碼中包含一個 Bug。勒索軟件的作者使用了一種常用的方式來識別操作系統的體系結構,即讀取內存地址 0x7FFE0300 (KUSER_SHARED_DATA)並檢查指針是否爲 0。如果爲 0,則證明勒索軟件的 32 位進程正在 64 位 Windows 主機上運行。但是,這裏的問題在於,這種方法不適用於 Windows 10 操作系統。

反編譯後顯示了用於識別操作系統體系結構的方法:

新型勒索軟件 WastedLocker 變種分析

此外,WastedLocker 從名稱列表中選擇一個隨機名稱,用於生成文件名或服務器的名稱。勒索軟件通過讀取存儲在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control 中的註冊表項來創建這個列表,然後在讀取到大寫字母時分隔其名稱。例如,註冊表項 AppReadiness 將會被分爲 App 和 Readiness 兩個詞。

4.4 字符串加密

與勒索軟件有關的字符串將會被加密,並存儲在二進制文件的 .bss 段中。其中包括勒索提示信息,以及執行勒索軟件任務所需的其他重要信息。該字符串的解密密鑰使用了 .bss 段的大小、原始地址以及勒索軟件的編譯時間戳組合而成。

惡意代碼作者使用了一種有趣的方法,來查找與加密過程有關的加密字符串。爲了找到加密字符串,勒索軟件會計算一個在加密字符串列表中查找的校驗和。校驗和是根據每個字符串唯一的常數值和按位 XOR 的固定值得出的。加密的字符串表結構類似如下:

struct ransomware_string

{

WORD total_size; // string_length + checksum + ransom_string

WORD string_length;

DWORD Checksum;

BYTE[string_length] ransom_string;

};

4.5 加密過程

加密過程非常簡單,勒索軟件針對可移動驅動器、本地驅動器、共享驅動器和遠程驅動器進行文件的加密。除了目標列表之外,WastedLocker 中還包含一個排除的列表,其中包含不進行加密的目錄和擴展名。

小於 10 個字節的文件也會被忽略,如果文件較大,勒索軟件會將文件分成 64MB 的塊,並逐塊進行加密。

一旦找到驅動器,勒索軟件便開始搜索並加密文件。每個文件使用新生成的 AES 密鑰和 IV (CBC 模式下爲 256 位)進行加密。AES 密鑰和 IV 使用嵌入式 RSA 公鑰(4096 位)進行加密。RSA 加密後的密鑰在進行 Base64 編碼後寫入到勒索提示中。

對於每個加密文件,勒索軟件都會創建一個包含勒索贖金提示的附件文件。加密文件的擴展名會根據目標組織名稱和 wasted 前綴進行設置。例如,加密後的文件名稱爲 test.txt.orgnamewasted,勒索贖金提示文件名稱爲 test.txt.orgnamewasted_info。在下文的附錄中,包含了勒索軟件贖金提示信息,以及需要排除的目錄和擴展名列表。最後,在完成每個文件的加密之後,勒索軟件會使用以下信息更新日誌文件:

1、目標文件數;

2、加密文件數;

3、因爲訪問限制而未進行加密的文件數。

4.6 WastedLocker 解密工具

在我們的分析過程中,我們成功定位到 WastedLocker 的解密程序。解密程序需要管理員特權,並且與加密過程類似,包含成功解密的文件數。

WastedLocker 解密工具的命令行輸出:

新型勒索軟件 WastedLocker 變種分析

新型勒索軟件 WastedLocker 變種分析五、參考資料

[1] hxxps://medium.com/tenable-techblog/uac-bypass-by-mocking-trusted-directories-24a96675f6e

[2] hxxps://github.com/hfiref0x/UACME

[3] hxxps://github.com/TheWover/donut/

新型勒索軟件 WastedLocker 變種分析六、附錄

6.1 勒索提示信息

ORGANIZATION_NAME

YOUR NETWORK IS ENCRYPTED NOW

USE EMAIL1 | EMAIL2 TO GET THE PRICE FOR YOUR DATA

DO NOT GIVE THIS EMAIL TO 3RD PARTIES

DO NOT RENAME OR MOVE THE FILE

THE FILE IS ENCRYPTED WITH THE FOLLOWING KEY:

[begin_key]*[end_key]

KEEP IT

6.2 被排除的擴展名

*\ntldr

*.386

*.adv

*.ani

*.bak

*.bat

*.bin

*.cab

*.cmd

*.com

*.cpl

*.cur

*.dat

*.diagcab

*.diagcfg

*.dll

*.drv

*.exe

*.hlp

*.hta

*.icl

*.icns

*.ics

*.idx

*.ini

*.key

*.lnk

*.mod

*.msc

*.msi

*.msp

*.msstyles

*.msu

*.nls

*.nomedia

*.ocx

*.ps1

*.rom

*.rtp

*.scr

*.sdi

*.shs

*.sys

*.theme

*.themepack

*.wim

*.wpx

*\bootmgr

*\grldr

6.3 被排除的目錄

\$recycle.bin

\appdata

\bin

\boot

\caches

\dev

\etc

\initdr

\lib

\programdata

\run

\sbin

\sys

\system volume information

\users\all users

\var

\vmlinuz

\webcache

\windowsapps

c:\program files (x86)*

c:\program files*

c:\programdata*

c:\recovery*

c:\users %USERNAME%\appdata\local\temp*

c:\users %USERNAME%\appdata\roaming*

c:\windows*

新型勒索軟件 WastedLocker 變種分析七、威脅指標

7.1 Cobalt Strike C &C; 域名

adsmarketart.com

advancedanalysis.be

advertstv.com

amazingdonutco.com

cofeedback.com

consultane.com

dns.proactiveads.be

mwebsoft.com

rostraffic.com

traffichi.com

typiconsult.com

websitelistbuilder.com

7.2 CobaltStrike Beacon 配置

SETTING_PROTOCOL: short: 8 (DNS: 0, SSL: 1)

SETTING_PORT: short: 443

SETTING_SLEEPTIME: int: 45000

SETTING_MAXGET: int: 1403644

SETTING_JITTER: short: 37

SETTING_MAXDNS: short: 255

SETTING_PUBKEY: ''

SETTING_PUBKEY SHA256: 14f2890a18656e4e766aded0a2267ad1c08a9db11e0e5df34054f6d8de749fe7

ptr SETTING_DOMAINS: websitelistbuilder.com,/jquery-3.3.1.min.js

ptr SETTING_USERAGENT: Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko

ptr SETTING_SUBMITURI: /jquery-3.3.2.min.js

SETTINGS_C2_RECOVER:

print: True

append: 1522

prepend: 84

prepend: 3931

base64url: True

mask: True

SETTING_C2_REQUEST (transform steps):

_HEADER: Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8

_HEADER: Referer: http://code.jquery.com/

_HEADER: Accept-Encoding: gzip, deflate

BUILD: metadata

BASE64URL: True

PREPEND:__cfduid=

HEADER: Cookie

SETTING_C2_POSTTREQ (transform steps):

_HEADER: Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8

_HEADER: Referer: http://code.jquery.com/

_HEADER: Accept-Encoding: gzip, deflate

BUILD: metadata

MASK: True

BASE64URL: True

PARAMETER:__cfduid

BUILD: output

MASK: True

BASE64URL: True

PRINT: True

ptr DEPRECATED_SETTING_SPAWNTO:

ptr SETTING_SPAWNTO_X86: %windir%\syswow64\rundll32.exe

ptr SETTING_SPAWNTO_X64: %windir%\sysnative\rundll32.exe

ptr SETTING_PIPENAME:

SETTING_CRYPTO_SCHEME: short: 0 (CRYPTO_LICENSED_PRODUCT)

SETTING_DNS_IDLE: int: 1249756273

SETTING_DNS_SLEEP: int: 0

ptr SETTING_C2_VERB_GET: GET

ptr SETTING_C2_VERB_POST: POST

SETTING_C2_CHUNK_POST: int: 0

SETTING_WATERMARK: int: 305419896 (0x12345678)

SETTING_CLEANUP: short: 1

SETTING_CFG_CAUTION: short: 0

ptr SETTING_HOST_HEADER:

SETTING_HTTP_NO_COOKIES: short: 1

SETTING_PROXY_BEHAVIOR: short: 2

SETTING_EXIT_FUNK: short: 0

SETTING_KILLDATE: int: 0

SETTING_GARGLE_NOOK: int: 154122

ptr SETTING_GARGLE_SECTIONS: '`\x02\x00Q\xfd\x02\x00\x00\x00\x03\x00\xc0\xa0\x03\x00\x00\xb0\x03\x000\xce\x03'

SETTING_PROCINJ_PERMS_I: short: 4

SETTING_PROCINJ_PERMS: short: 32

SETTING_PROCINJ_MINALLOC: int: 17500

ptr SETTING_PROCINJ_TRANSFORM_X86: '\x02\x90\x90'

ptr SETTING_PROCINJ_TRANSFORM_X64: '\x02\x90\x90'

ptr SETTING_PROCINJ_STUB: *p?'??7???]

ptr SETTING_PROCINJ_EXECUTE: BntdllRtlUserThreadStart

SETTING_PROCINJ_ALLOCATOR: short: 1

Deduced metadata:

WANTDNS: False

SSL: True

MAX ENUM: 55

Version: CobaltStrike v4.0 (Dec 5, 2019)

7.3 自定義 Cobalt Strike 加載工具樣本 SHA256 哈希值

2f72550c99a297558235caa97d025054f70a276283998d9686c282612ebdbea0

389f2000a22e839ddafb28d9cf522b0b71e303e0ae89e5fc2cd5b53ae9256848

3dfb4e7ca12b7176a0cf12edce288b26a970339e6529a0b2dad7114bba0e16c3

714e0ed61b0ae779af573dce32cbc4d70d23ca6cfe117b63f53ed3627d121feb

810576224c148d673f47409a34bd8c7f743295d536f6d8e95f22ac278852a45f

83710bbb9d8d1cf68b425f52f2fb29d5ebbbd05952b60fb3f09e609dfcf1976c

91e18e5e048b39dfc8d250ae54471249d59c637e7a85981ab0c81cf5a4b8482d

adabf8c1798432b766260ac42ccdd78e0a4712384618a2fc2e3695ff975b0246

b0354649de6183d455a454956c008eb4dec093141af5866cc9ba7b314789844d

bc1c5fecadc752001826b736810713a86cfa64979b3420ab63fe97ba7407f068

c781c56d8c8daedbed9a15fb2ece165b96fdda1a85d3beeba6bb3bc23e917c90

c7cde31daa7f5d0923f9c7591378b4992765eac12efa75c1baaaefa5f6bdb2b6

f093b0006ef5ac52aa1d51fee705aa3b7b10a6af2acb4019b7bc16da4cabb5a1

7.4 .NET 注入工具(Donut) SHA256 哈希值

6088e7131b1b146a8e573c096386ff36b19bfad74c881ca68eda29bd4cea3339

7.5 Gozi C &C; 域名

bettyware.xyz

celebratering.xyz

fakeframes.xyz

gadgetops.xyz

hotphonecall.xyz

justbesarnia.xyz

kordelservers.xyz

tritravlife.xyz

veisllc.xyz

wineguroo.xyz

7.6 Gozi 版本

217119

217123

7.7 Gozi Group ID

30000

7.8 Gozi RSA 密鑰

00020000BEA9877343AD9F6EA8E122A5A540C071E96AB5E0C8D73991BFACB8D7867125966C60153EB1315F07FD8B276D7A45A5404642CC9D1F79357452BB84EDAA7CE21300000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000010001

7.9 Gozi 單獨網絡加密密鑰

8EzkwaSgkg565AyQ

eptDZELKvZUseoAH

GbdG3H7PgSVEme2r

RQ5btM2UfoCHAMKN

7.10 Gozi 樣本 SHA256 哈希值

5706e1b595a9b7397ff923223a6bc4e4359e7b1292eaed5e4517adc65208b94b

ba71ddcab00697f42ccc7fc67c7a4fccb92f6b06ad02593a972d3beb8c01f723

c20292af49b1f51fac1de7fd4b5408ed053e3ebfcb4f0566a2d4e7fafadde757

cf744b04076cd5ee456c956d95235b68c2ec3e2f221329c45eac96f97974720a

7.11 WastedLocker 樣本 SHA256 哈希值

5cd04805f9753ca08b82e88c27bf5426d1d356bb26b281885573051048911367

887aac61771af200f7e58bf0d02cb96d9befa11deda4e448f0a700ccb186ce9d

8897db876553f942b2eb4005f8475a232bafb82a50ca7761a621842e894a3d80

bcdac1a2b67e2b47f8129814dca3bcf7d55404757eb09f1c3103f57da3153ec8

e3bf41de3a7edf556d43b6196652aa036e48a602bb3f7c98af9dae992222a8eb

ed0632acb266a4ec3f51dd803c8025bccd654e53c64eb613e203c590897079b3

參考及來源:https://research.nccgroup.com/2020/06/23/wastedlocker-a-new-ransomware-variant-developed-by-the-evil-corp-group/

新型勒索軟件 WastedLocker 變種分析

新型勒索軟件 WastedLocker 變種分析

來源鏈接:mp.weixin.qq.com