UIWIX勒索软件恶意样本技术分析与防护方案

上一周WannaCry利用MS17-010漏洞大肆盛行,趋势科技发布报告称其新发现了一种勒索软件也是利用同样的漏洞进行传播,其功能与WannaCry不同,因其加密后缀名为UIWIX,因此将此样本称为UIWIX勒索软件。

此事件引起绿盟科技的高度关注,并在第一时间获取相关样本进行分析,经分析后发现,勒索软件样本为dll文件,包含分析对抗和杀软对抗,能够加密除指定目录下的所有文件,推测此勒索软件是通过漏洞(如MS17-010)或其他传播工具进行传播。

相关链接:

https://www.symantec.com/security_response/writeup.jsp?docid=2017-051811-1414-99

https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-may-19th-2017-uiwix-wannacry-imitators-and-wallet-decrypted/

样本分析

TAC检测结果:

图 TAC检测结果

主要功能

  • 分析对抗:样本使用了反调试与反沙箱功能,检测了Cuckoo、VMware、VBox、Sandboxie等沙箱;
  • 杀软对抗:样本执行过程中会检测杀毒软件,包括:COMODO、AVAST 、360安全卫士等;
  • 文件加密:样本为勒索软件,使用AES加密文件;
  • 网络行为: 样本执行过程中连接.onion网站,发送系统信息以及加密受攻击者文件的密钥;

执行流程概要图

分析对抗和杀软对抗

反沙箱和杀软对抗:使用函数获取指定名称的dll文件(沙箱和杀软所使用的特定的dll文件),如果成功获取到相关dll文件句柄,则说明运行在沙箱内或者执行环境中包含杀软,程序直接退出。

样本中所包含的特定dll文件与沙箱的对应关系如下所示:

特定Dll文件沙箱
sbiedll.dll Sandboxie
dbghelp.dll VMware
api_log.dll SunBelt SandBox
dir_watch.dll SunBelt SandBox
pstorec.dllSunBelt Sandbox
vmcheck.dll Virtual PC
wpespy.dll WPE Pro
VBoxHook.dllVirtualBox
VBoxMRXNP.dllVirtualBox

样本中所包含的特定dll文件与杀软的对应关系如下所示:

特定Dll文件杀毒软件
cmdvrt32.dll科摩多网络安全套装

COMODO Internet Security

SxIn.dll360安全卫士
snxhk.dllAVAST

样本使用是否能成功使用虚拟机命名管道的方式,检查虚拟机环境。

命名管道沙箱
\\\\.\\pipe\\cuckoo cuckoo
\\\\.\\VBoxMiniRdrDNVirtualBox
\\\\.\\VBoxGuestVirtualBox
\\\\.\\pipe\\VBoxMiniRdDNVirtualBox
\\\\.\\VBoxTrayIPCVirtualBox
\\\\.\\pipe\\VBoxTrayIPCVirtualBox
\\\\.\\HGFSVMware
\\\\.\\vmciVMware

检测国家代码,当检测到指定国家代码(RU/KZ/BY)时,程序直接退出。其指定国家代码分别对应的国家为Russian、Kazakhstan、Belarus。同时,创建互斥区,确保只有一个程序在运行。

加密过程

样本首先创建提示文件,随后生成一个随机的AES密钥,使用这个密钥加密指定文件以外的所有文件,并使用硬编码的RC4密钥加密受攻击者的主机信息数据和AES密钥,发送给攻击者。这些功能分别由不同的线程执行,其中加密文件所属的线程共创建了30次,也就是说同时有30个线程完成加密行为。加密完成后,样本使用shutdown.exe关闭计算机,销毁内存中可能存留的密钥数据。

样本在加密目录下生成_DECODE_FILES.txt提示文件,包含获取解密密钥的一系列操作步骤说明。

样本创建AES密钥并写入结构体,供加密线程读取密钥、加密文件使用。

样本使用AES加密文件,随后使用RC4加密AES密钥并上传给攻击者。

样本根据获取的系统信息(计算机名、用户名等)生成code标识用户,随后加密这些标识数据发送给攻击者。

样本加密受感染机器中的所有文件,除了目录\ Windows和\ Program Files中的文件以及文件名中包含以下字符串的文件:

.sys;.com;boot.ini;NTDETECT.COM;Bootfont.bin;ntldr;bootmgr;BOOTNXT;BOOTSECT.; PDOXUSRS.NET;

因为样本AES加密所用密钥是运行时随机生成的,加密完成后关机,所以在没有成功获取上传数据时,无法解密。

网络行为

样本会向服务端(http://mrfxohuptyfbzkz7.onion)发送RC4加密后的数据,发送数据的原始数据为加密使用的密钥和受感染的系统的信息,使用的RC4密钥为硬编码的“3kjl5h34kj5h34poio34saz5x3cb”。与服务器的通信使用tor暗网通信,具有隐蔽性。

当受攻击者需要解密时,攻击者所给的提示信息中要求受攻击者所连接的站点为:

https://4ujngbdqqm6t2c53.onion.to

https://4ujngbdqqm6t2c53.onion.cab

https://4ujngbdqqm6t2c53.onion.nu

http://4ujngbdqqm6t2c53.onion

防护方案

用户检测防护方案

由于此勒索软件利用了和WannaCry类似的传播方式,只是勒索部分的流程不同,因此用户可以使用同样的方法来防护:

  • 用户应该及时升级Windows官方提供的升级补丁,将系统升级至最新版本;
  • 用户应该开启系统防火墙或者安装杀毒软件等终端防护软件;
  • 若用户不方便更新升级,还可以关闭系统的445端口来防止被该恶意软件感染,绿盟科技提供了一键加固脚本帮您完成系统加固,参考链接:

http://toutiao.secjia.com/wannacrypt-worm-detect-protection

注:绿盟科技强烈建议用户下载安装微软官方的相关补丁,将Windows系统升级至最新版本,相关链接:MS17-010补丁。

绿盟科技解决方案

  • 绿盟科技远程安全评估系统(RSAS)已经支持对MS17-010漏洞的扫描,可以对对应的windows主机进行漏洞扫描。对应漏洞编号如下:
漏洞标题(MS17-010)CVE 编号
Windows SMB 远程代码执行漏洞CVE-2017-0143
Windows SMB 远程代码执行漏洞CVE-2017-0144
Windows SMB 远程代码执行漏洞CVE-2017-0145
Windows SMB 远程代码执行漏洞CVE-2017-0146
Windows SMB 远程代码执行漏洞CVE-2017-0148

通过以下链接,将插件升级到最新版本即可检测:

RSAS 6.0:

http://update.nsfocus.com/update/listRsasDetail/v/vulsys

RSAS 5.0:

http://update.nsfocus.com/update/listAurora/v/5

  • 绿盟入侵防御系统NIPS可以根据规则ID 41489检测并阻断EternalBlue后门入侵防护系统,升级链接:(NIPS):http://update.nsfocus.com/update/downloads/id/18051
  • 绿盟威胁分析系统TAC利用新型虚拟执行检测技术可以有效检测出该蠕虫,并联动入侵防御系统NIPS,进行阻断,升级连接:

(TAC): http://update.nsfocus.com/update/downloads/id/18052

总结

样本为dll格式文件,不能够独立运行,可能通过其他感染工具或传播途径,加载到其他正常程序中执行,一旦电脑受到此样本感染,将很难发现,危害大。同时样本通信使用暗网通信,难以追踪其源头,隐蔽性强。

附录

其他参考链接

http://blog.trendmicro.com/trendlabs-security-intelligence/wannacry-uiwix-ransomware-monero-mining-malware-follow-suit/?utm_source=trendlabs-social&utm_medium=smk&utm_campaign=05-2017-uiwix

https://www.bleepingcomputer.com/news/security/uiwix-ransomware-using-eternalblue-smb-exploit-to-infect-victims/

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-6843

Spread the word. Share this post!

Meet The Author

Leave Comment