内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

usdt搬砖套利(www.payusdt.vip):SunCrypt勒索软件:eCh0raix新型衍生变种

2021-04-02 09:09 出处:  人气:   评论( 0

USDT第三方支付平台

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

先容

恶意软件作者在编写新的恶意软件时通常会重用自己写过的代码,因此在做恶意软件的关联剖析时,常通过代码段的对比来作为判别尺度,但需要注重的是,这类代码需要具有强烈的标识性,能将其归因到详细的组织或小我私人。随着新型攻击组织和恶意软件的不停涌现,“老酒装新瓶”征象也时常发生,例如GandCrab运营团队在2019年5月间宣布将住手勒索软件流动,但不久后又泛起了一种名为REvil(也被称为Sodinokibi)的新型勒索软件,两者的代码具有很强的相似性,解释当GandCrab勒索软件关停时代,其作者用GandCrab的部门代码又开发出了一款新的勒索软件。

本文将剖析勒索软件SunCrypt和QNAPCrypt之间的联系,QNAPCrypt在2019年被用于攻击群晖科技(Synology)、威联通(QNAP)等NAS品牌装备。这两款勒索软件在代码重用和手艺方面存在很强的关联性,现在由差其余整体在操作。虽然这两款软件可能是统一人编写,但差其余操作者可能会使用差其余战术、手艺和程序(TTPs),或是使用新的逃避手艺,防御者必须保持小心。

手艺关联

SunCrypt是一种勒索软件即服务(RaaS),对其溯源可到2019年10月,此版本的SunCrypt由Go语言编写,针对Windows机械,此时检测到的攻击次数并不多,一直到2020年中期,泛起了C / C 编写的新版,攻击数目也最先增添。当其他威胁组织最先将恶意软件从C / C 改为Go版本时,它却逆其道而行之。

SunCrypt与QNAPCrypt(也称为eCh0raix)勒索软件在代码上高度关联,可以一定的是,两者的代码是从相同的源代码编译而来。

SunCrypt 2020和SunCrypt 2019

SunCrypt 2020年的新变种由C编写,与2019年的早期版本没有配合代码。除了功效相似外,有其他信息辅助我们将其归类:

SunCrypt窃取并加密了受熏染机械上的文件后,会向用户显示勒索纪录,如下图1所示。 

图1:SunCrypt的赎金页面。左侧显示2019年版本,右侧显示当前版本,两者具有相同的单词和语法错误。当前的勒索页面宣布了指向展示私人信息的链接,而老版页面没有。

2020年变种的勒索页面,有英语、德语、法语、西班牙语和日语版本,并带有一个输入框,当用户输入唯一ID时,会向用户发送谈天界面。2019年款的赎金页面具有类似的文本,主要区别在于靠山颜色以及未支付赎金情形下胁迫话语。

SunCrypt 与QNAPCrypt的关联

2021版本可能是beta版本,PDB路径中显示的版本名为“ 0.1”,如图2所示。该图显示了redress(一款剖析Go二进制文件的工具)处置后的部门输出,可以看到一个名为“ aes.go”的文件,其中包罗两个函数,其中一个函数的名称中有一个错字,应该是“ EncAES”而不是“ EncEAS”。

这个错误也曾泛起在QNAPCrypt版本2的两个样本中(8dd59345cc034317630b2ac2ee19b362和516291d10b370c7be3863335cf5d57eb)。图3中显示了QNAPCrypt样本之一的redress输出。在搜索了我们的恶意软件数据集和VirusTotal后,只有这三个样本具有两个函数名。由此可以得出结论,错别字是唯一的,两个勒索软件之间可能共享代码。

 

图2:SunCrypt 2019变种的部门redress输出。

 

图3:QNAPCrypt版本的redress输出,具有相同拼写错误。 

对函数的进一步剖析解释,它们泉源相同。“ EncFile”的流程图如图4所示,“ EncEAS”的流程图如图5所示。 

,

usdt支付接口

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

图4:EncFile函数的流程图,两者一致。

上述样本是针对差其余操作系统和架构使用差异版本的Go编译器编译的,导致所天生的汇编代码略有差异。EncFile函数为要加密的文件启动文件处置程序,它使用Go的尺度库提供的“stat”函数来确定文件巨细,凭证文件巨细将其分为两类。

对于SunCrypt,文件巨细的分类尺度是100 MB,而QNAPCrypt使用10 MB的阈值。在大文件类中,SunCrypt使用尺度库“io”包的“ReadAtLeast”函数读取前100 MB,QNAPCrypt执行的也是相同的操作,只是在前10 MB中执行。

对于较小的文件,两个软件都使用都使用来自“io”包的“ReadFile”函数,读取的数据被转达给加密数据的“EncEAS”函数。最后,在删除原始文件时,将EncEAS输出内容作为新文件写入磁盘,并附加响应扩展名。除了巨细限制之外,两款软件的函数逻辑是相同的。 

图5:SunCrypt与QNAPCrypt的“EncEAS”函数流程图对照。

其他相似之处

两款勒索软件除了文件加密函数代码相同外,还具有其他相似之处,QNAPCrypt中的函数与SunCrypt中的函数的相似之处。

图6:QNAPCrypt和SunCrypt之间具有相似功效的函数。文件加密逻辑相同,而密钥天生和密钥加密又异常相似,且均通过盘算机的语言环境和GeoIP来确定盘算机的位置。

两种勒索软件都设计为不能在某些自力国家团结体(CIS)上运行,若是QNAPCrypt以为文件在白俄罗斯语,俄语或乌克兰语的盘算机上运行,则不会对其举行任何加密,SunCrypt也有类似处置,名单中包罗吉尔吉斯斯坦和叙利亚。

在确定盘算机用户国籍这一点上,两款勒索软件接纳的方式异常相似——使用了两个信息源。一是盘算机的语言环境,由于QNAPCrypt针对Linux机械,而SunCrypt针对Windows机械,因此获取此信息的方式也有所差异;第二个是凭证机械的外部IP地址通过地理位置举行,两种勒索软件都与外部服务联系以获取此信息,SunCrypt使用“ ip-api.com”,QNAPCrypt使用“ ipapi.co”。

两款软件都在CFB模式下使用AES对文件举行加密,均天生唯一的32个字符的密码,天生的历程逻辑也异常相似。如图7所示,密码中的字符是从有用字符列表中随机选择的,包罗所有英文字母的巨细写以及数字0到9,由尺度库中的math包中的rand实现,在随机性上是不加密的。以当前时间为随机种子,每次挪用认真天生密码的函数时,SunCrypt都市重置种子,而QNAPCrypt会在初始化时代设置种子,SunCrypt还使用该函数天生受害者标识符。

图7:天生加密密码。该函数循环32次,并使用“ rand.Intn”从有用字符列表中选择一个随机字符,循环完成后,字符的字节片将转换为字符串。

加密密码是用二进制文件中的公钥RSA加密的。这段代码的逻辑于图8所示,代码使用“EncryptPKCS1v15”函数,属于“crypto/rsa”包。

图8:使用二进制文件中包罗的公共密钥对密码举行加密。

两款勒索软件都有作为Tor隐藏服务托管的C2设施。QNAPCrypt的第一个版本通过C2获取赎金票据的信息和比特币钱包,SunCrypt发送流动信息并将窃取文件上传到C2服务器。为了接见隐藏的服务,两者都使用公共可用的SocksV5署理,QNAPCrypt直接毗邻到一个IP地址(192.99.206[.]61),而SunCrypt使用的署理通过域vie8hoos[.]xyz接见。

勒索软件加密的文件类型也相似,都有一个文件扩展名列表,用于确定是否加密文件。SunCrypt具有589个文件扩展名的列表,若是将SunCrypt列表与QNAPCrypt的第一个版本使用的列表举行对照,可以看到SunCrypt的列表添加了四个新条目,并删除了19个条目。列表未举行任何排序,因此提取列表的顺序与恶意软件中泛起的顺序完全相同。下面的代码片断显示了两个列表的“diff”。

$ diff suncrypt_ext.lst qnap_ext_20190705.lst
460d459
< .mp4
562, 564d560
< .java
< .swift
< .go
589a586, 604
> .gcode
> .ngc
> .sldprt
> .sldasm
> .x_t
> .step
> .fits
> .cat
> .ctlg
> .fit
> .rsn
> .eml
> .vhdx
> .cfg
> .plist
> .bckup
> .far
> .tbz
> .abf

将SunCrypt的列表与统一年8月的QNAPCrypt第二版使用的列表举行对照,重叠部门会更多,差其余是SunCrypt增添了三个条目,删除了两个。整体上看,字符串相似度为0.991,这是一个很强的相似度。“diff”输出如下所示。

$ diff suncrypt-files.lst qnap_ext_20190801.lst
562, 564d561
< .java
< .swift
< .go
589a587, 588
> .gcode
> .ngc

总结

只管两款勒索软件在代码上相似,但其幕后的操作者在暗网论坛上的宣传方式、攻击目的等的选取上却截然差异,eCh0raix和SunCrypt很可能由两个差其余运营团队在操作。平安职员应思量到这一点,不能由于一个恶意软件家族是另一个恶意软件家族的迭代,就把它们的运营团队划上等号,若是被其他攻击者接手,操作方式、功效和规避手艺上可能都市有所改变。防御者必须保持小心。

本文翻译自:https://www.intezer.com/blog/malware-analysis/when-viruses-mutate-did-suncrypt-ransomware-evolve-from-qnapcrypt/:
分享给小伙伴们:
本文标签: 勒索软件

相关文章

Copyright © 2002-2019 白城新闻 版权所有 Power by DedeMao