qkG勒索軟體：利用office漏洞自複製、文件加密

01-28

qkG是一款利用VBA宏進行文件加密的勒索軟體變種，這是一款經典的宏惡意軟體，會感染word的模板文件（normal.dot），因此所有基於模板文件的新的和空word文檔都會感染。

通過對qkG深入的分析發現它更像是實驗的項目或者PoC，而不是投入使用的惡意軟體。然而，這並不意味著qkG的威脅小。qkG的樣本證明，程序開發者和其他威脅製造者可以調整qkG的行為和所用的技術。比如，去年11月21日發現第一個樣本時，還沒有勒索的比特幣地址。僅僅2天後，就有了比特幣地址，而且可以在特定的時間加密文檔。第3天的時候，就出現了不同行為的qkG樣本。

惡意軟體行為

qkG文件加密器是一款完全用VBA宏寫的文件加密惡意軟體，在市面上這類軟體很少。也是少數使用惡意宏代碼的勒索軟體，一般宏在應用中主要是用於下載勒索軟體。qkG使用惡意宏聚集了Locky勒索軟體變種使用的技術，該勒索軟體使用了Auto Close VBA宏。當用戶關閉文檔時，惡意宏就會自動執行。Ukitus Locky宏代碼會提取和幫助執行勒索軟體，然後加密被感染主機中的目標文件，但是qkG的宏代碼只scramble文件。

qkG中值得注意的行為包括加密文件的內容，但是不破壞文件的結構，也不改變文件名。系統中不會有勒索注釋，但是預先考慮到文件的內容。qkG會影響ActiveDocument，這意味著只有打開的文檔會被加密。

Figure 1 qkG body中的名字和作者

從越南上傳到VirusTotal的樣本含有一些越南語。宏惡意軟體的主體表明開發者命名它為qkG，字元串TNA-MHT-TT2應該是作者的名字。

感染鏈

當即將感染的受害者開啟了宏，normal.dot模版就被感染了，惡意宏代碼就被加入到模板文件中了。當word的實例被打開後，含有惡意代碼的normal.dot模版就會被載入和執行。

惡意宏代碼會降低word的安全設置，這樣就不用要求用戶開啟宏了。如何降低office安全設置等級依賴於office的版本和需求：

· 通過修改下面的註冊表來解除保護視圖（Protected View）：DisableAttachmentsInPV， DisableInternetFilesInPV，和DisableUnsafeLocationsInPV

· 關閉特徵——阻止來自Internet內容的執行(Blockcontentexecutionfrominternet)

· 開啟對 VBA object model (AccessVBOM)的程序訪問

· 把安全等級設置為low

之前的修改執行後，qkG就會感染normal.dot模板文件，增加Document_Close() autostart 宏並把自己複製到文檔中。

Figure 2 增加到normal.dot模板中的惡意宏代碼

qkG工作原理

當用戶打開未受感染的文檔，剛開始並不會發生什麼。但是一旦用戶關閉文檔，qkG就會加密文件的內容。並且會展示一條帶有郵箱和比特幣地址的消息和加密的內容。qkG文件加密器會增加Document_Open() autostart 宏到加密的文檔，並把自己複製到body中。也就是說，如果一個文檔在安全的機器中打開，感染鏈就會重複。

Figure 3文檔加密後展示給受害者的勒索消息

所用的加密方法就是簡單的XOR密碼，加密密鑰是相同的，並且就在每個加密的文檔中。

假設我們創建了一個內容為「1234567890」的文檔，在受感染的機器上關閉文檔後，奇數字元就會被硬編碼的密碼』m QkG@PTM17! by TNA@MHT-TT2中對應的字元XOR加密，偶數字元是不變的。加密後的文檔內容如圖所示：

1 2 3 4 5 6 7 8 9 0n31 00 32 00 33 00 34 00 35 00 36 00 37 00 38 00 39 00 30 00n31 XOR 49 (I) = 78 n32 remainsn33 XOR 27 (『) = 14n34 remainsn

樣本

樣本2d20d5751ffbac9290271969860106fdd34309878a1e06f9dbcac23a7f50b571 含有解密路徑。但是並不包含在惡意軟體body中，因此不工作。這可能是因為該惡意軟體仍在開發中。

Figure 4 qkG樣本中的解密路徑

樣本2e1136a2bfddb108cd3b3a60761113797265b281085ae35e185a4233d2e75d8e不含有解密路徑，這也是一個未完成的勒索軟體，因為clipboard是不會出現在完成了的加密勒索軟體中的。

Figure 5 另外一個qkG樣本

樣本e6b15419059e833424e9c726e9b0b085d9f0fcb2cccbfe1025b0d0f8a1735a66在關閉的時候不立即感染所有的文件，而是添加一個條件，日期的星期必須等於現在時間的分模10。

Figure 6 qkG變種加密文件的時間條件

我們發現這個比特幣地址目前還沒有任何交易記錄。

14zA1NdTgtesLWZxtysLQQtsuKzjFbpydg (二維碼自動識別)

緩解措施

關閉宏可以明顯減少基於宏的惡意軟體的攻擊，比如qkG。經常更新系統和應用，備份數據，限制可以被攻擊者利用的工具、組件等的使用。基於宏的惡意軟體經常利用社會工程學的文

IoC

Hashes (SHA-256):

· 2d20d5751ffbac9290271969860106fdd34309878a1e06f9dbcac23a7f50b571

· 2e1136a2bfddb108cd3b3a60761113797265b281085ae35e185a4233d2e75d8e

· e6b15419059e833424e9c726e9b0b085d9f0fcb2cccbfe1025b0d0f8a1735a66.doc

本文翻譯自http://blog.trendmicro.com/trendlabs-security-intelligence/qkg-filecoder-self-replicating-document-encrypting-ransomware/ 如若轉載，請註明原文地址： http://www.4hou.com/typ/8749.html 更多內容請關注「嘶吼專業版」——Pro4hou