百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 软件资讯 > 正文

又见勒索软件,它的名字是“PureLocker”

dezehang 2024-11-22 13:05 1 浏览

最近,Intezer和IBM X-Force IRIS研究团队发现了一种此前从未被公开披露过的新型勒索软件——PureLocker,能够同时攻击Windows和Linux操作系统。

据称,PureLocker与后门恶意软件“more_eggs”存在部分代码重叠,并且已经被Cobalt Gang和FIN6等多个黑客组织使用过。

初步分析

这里分析的PureLocker样本是一个适用于Windows操作系统的版本,伪装成一个名为“Crypto++”的C++加密库:

分析表明,该文件并不是一个C++加密库,而是一个可能与Cobalt Gang有关存在关联的恶意二进制文件,但代码经过了大幅修改。

深入观察

样本是采用PureBasic编写的,这是一种不太常用的编程语言,也就导致恶意软件能够顺利绕过某些杀毒软件的检测。此外,PureBasic代码还可以在Windows、Linux和OS-X之间移植,这就使得开发适用于不同平台的恶意软件更加容易。

PureLocker被设计为由regsrv32.exe作为COM服务器DLL执行,它将调用DllRegisterServer导出,恶意软件的代码驻留在导出中。

字符串被编码并存储为Unicode十六进制字符串,通过调用字符串解码函数,可以根据需要对每个字符串进行解码。

代码首先会检查它是否正在按照攻击者的意图执行,以及是否正在被分析或调试。有任何一项检查不符,恶意软件就会立即退出,但不会删除自身:

一旦有效载荷执行,恶意软件就会立即删除自身。

PureLocker很可能只是完整攻击链的一部分

有几个迹象表明,PureLocker很有可能只是一个高针对性、多阶段攻击的一部分。恶意软件首先会检查其自身是否是使用“/s/i”参数执行的,这个参数的作用是指示regsrv32.exe安装DLL组件而不引发任何对话(静默):

稍后,恶意软件会验证它是否确实由“regsrv32.exe”执行,并验证其文件扩展名是否为“.dll”或“.ocx”、计算机上的当前年份是否为“2019”,以及是否具有管理员权限。有任何一项检查不符,恶意软件就将在不执行任何恶意活动的情况下退出。

这种行为在勒索软件中并不常见,勒索软件通常倾向于感染尽可能多的受害者,以便获取得尽可能多的收益。此外,被设计为以非常规方式执行的DLL文件的行为也表明,该勒索软件是多阶段攻击的后期组件。

规避和反分析技术

与其他勒索软件不同,该恶意软件通过手动加载“ ntdll.dll”的另一个副本来使用反钩挂技术,并从此处手动解析API地址,这么做的目的是逃避用户模式下ntdll函数的挂钩。尽管这是一个已知的技巧,但很少在勒索软件中使用。

导入本身被存储为32位哈希值,PureLocker使用了常规的哈希解析方法来获取函数地址。

同样值得注意的是,PureLocker使用的是ntdll.dll中的低级别Windows API函数来实现其大部分功能(kernel32.dll和advapi32.dll除外),尤其是用于文件操作。

除了利用advapi32.dll(RtlGenRandom)的SystemFunction036进行伪随机数生成外,它并不使用Windows Crypto API函数,而是依赖于内置的purebasic加密库来满足其加密需求。

加密和赎金票据

在完成了所有的反分析和完整性测试之后,PureLocker将继续使用硬编码的RSA密钥,通过标准AES + RSA组合对受害者计算机上的文件进行加密并添加“.CR1”扩展名。(主要加密数据文件,并会根据特定文件的扩展名跳过对可执行文件的加密。)

然后,它会删除原始文件,以防止恢复。

完成加密后,PureLocker会在用户桌面上留下一个名为“YOUR_FILES.txt”的赎金票据。

代码重叠和溯源

对代码的分析表明,PureLocker与Cobalt Gang在其攻击链中使用的特定组件存在代码重叠——“more_eggs”JScript后门(也称为“SpicyOmelette”)的加载器组件。

不仅如此,“more_eggs”还被其他两个黑客组织使用过,包括黑客组织FIN6。

研究人员再将PureLocker与最近的“more_eggs”加载器组件样本进行对比后发现,它们极有可能是同一伙人创建的,因为它们存在很多相似之处:

  • COM Server DLL组件都是使用PureBasic编写的;
  • 载入有效载荷前,函数和代码几乎相同,且使用的是相同的逃避和反分析方法;
  • 相同的字符串编码和解码方法。

结论

PureLocker并不是一种常规的勒索软件,它没有试图感染尽可能多的受害者,而是尽可能地隐藏其意图和功能。用于实现逃避和反分析的代码似乎是直接从“more_eggs”加载器组件中复制过来的,这使得它能够避开自动分析系统而不被发现。

由于PureLocker是作为一种恶意软件即服务(MaaS)出售的,基于目前掌握的线索,还很难判定它是出自Cobalt Gang或FIN6,还是一个新的黑客组织之手。

相关推荐

WIN10系统如何安装UG10.0

随着科技的不断进步与更新,现在有很多公司己经安装上了WIN10的系统以及使用UG10.0了,但很多人反映WIN10系统安装UG10.0不好装,以下详细介绍一下1如果WIN10系统没有自带有JAVA需...

自学UG编程的心得分享

为什么有的人3个月学会基本的UG建模画图编程,有的断断续续3——5年才学会,还有的人干了7年的加工中心还不会电脑画图编程。这是什么原因?1.顾虑太多,什么都想得到,什么都想一起抓,总是上班加班没时间,...

UG/NX 绘制一个捞笊(zhào)模型,或者也可以叫它漏勺?

今天我们来看看这个模型,起因是群里有小伙伴说要做一个捞笊的模型,看见这名字直接给我整懵了,然后他发了张家里漏勺的图片才知道原来这玩意还有个这种名字。这东西相信每个小伙伴家里都有吧,它的建模方法也比较...

再也不用为学UG编程发愁了!380集最新UG资料免费送

上期发的UG教程很多粉丝都领到了,收获越来越多的好评!有你们一直陪伴真的很高兴,谢谢各位粉丝!为了给大家提供更优质的资源,这两个月都在整理你们最关心的UG资源,都是多位编程工厂老师傅的工厂实战精华,真...

优胜原创UG_3-4-5轴后处理下载

反复上机调试,安全稳定可靠,请放心使用2020.11.21,修复YSUG4-5轴后处理锁轴输出...

青华模具学院-UG10.0安装文件说明

青华模具学院分享:今天我们来跟大家一起学习NX10.0版本的安装方法,网上有很多这个版本的安装视频以及方法图文,但到最终安装软件时仍有很多新手对安装仍然感到头痛,基于这样的情况,我们特别就NX10.0...

UGnx10安装说明

温馨提示,安装前,请退出杀毒软件,关闭防火墙,因为这些软件可能阻断NX主程序和许可程序间的通信,导致安装后,软件无法启动。1、解压下载后的压缩包,右键,选择‘’解压到UGNX10_64位正式版(csl...

正版UG软件,正版UG代理,正版软件和盗版软件的区别

大家都知道,UG软件是制造业必不可少的一款三维软件,广泛应用于:CAE(有限元分析),CAD(产品设计/模具设计),CAM(计算机辅助制造编程),那么有人不禁要问了,正版软件和盗版软件在使用上有明显区...

非常全面的UG加工模块中英对照(图标注释)

大家好,我是粥粥老师,听说很多同学都在学习UG但是没有学习资料和安装包,今天粥粥老师就全部打包好免费发放给你们,那么怎么获取全套资料图档安装包呢领取途径①关注②评论、点赞、转发③私信“UG或者...

腾讯自研Git客户端 UGit|Git 图形界面客户端

支持平台:#Windows#macOS腾讯推出的一款Git图形界面客户端,简化了Git的使用流程,特别适合处理大型项目和文件。支持直接提交和推送操作,避免在大规模项目中由于远程频繁变更而导致...

经典收藏:UG重用库的一些不为人知小技巧

免费领取UG产品编程、UG多轴UG模具编程、安装包安装教程图档资料关注私信我“领取资料”,即可免费领取完整版,感谢支持,爱你们哟,么么主题:UG后处理+仿真+外挂UG重用库的正确使用方法:首先有...

UG编程常用指令G、M代码,快收藏好

今天给大家分享数控编程常用的指令代码,希望对正在学习路上的你带来一丝丝帮助。最好的方法就是转发到自己空间,方便以后学习。对了,如果你还需要其他UG教程学习资料,CNC加工中心的一些参数,以及UG画图,...

UG NX7.0中文版从入门到精通

Unigraphics(简称UG)是一套功能强大的CAD/CAE/CAM应用软件,UGNX7是其最新版本。《UGNX7从入门到精通(中文版)》以UGNX7为平台,从工程应用的角度出发,通过基...

经典UG建模基础练习图纸

UG是目前工作中比较优秀拥有大量用户的一款机械模具产品行业三维设计软件,cam加工丶软件支持全中文汉化;能够带给用户更为非凡的设计与加工新体验。很多朋友私信小编问有没有UG建模练习图纸,今天给大家分享...

UG NC软件基础操作,如何设置UG草图精度

默认情况下我们绘制草图一般只保留一位小数,即使你输入多位小数软件也会自动四舍五入,这个你做一些国标的图还好,国标以毫米为单位,一般保留小数点后一位就够了,但如果你做的图是英制单位,那么保留一位小数肯定...