標籤:

qkG勒索軟體:利用office漏洞自複製、文件加密

qkG是一款利用VBA宏進行文件加密的勒索軟體變種,這是一款經典的宏惡意軟體,會感染word的模板文件(normal.dot),因此所有基於模板文件的新的和空word文檔都會感染。

通過對qkG深入的分析發現它更像是實驗的項目或者PoC,而不是投入使用的惡意軟體。然而,這並不意味著qkG的威脅小。qkG的樣本證明,程序開發者和其他威脅製造者可以調整qkG的行為和所用的技術。比如,去年11月21日發現第一個樣本時,還沒有勒索的比特幣地址。僅僅2天後,就有了比特幣地址,而且可以在特定的時間加密文檔。第3天的時候,就出現了不同行為的qkG樣本。

惡意軟體行為

qkG文件加密器是一款完全用VBA宏寫的文件加密惡意軟體,在市面上這類軟體很少。也是少數使用惡意宏代碼的勒索軟體,一般宏在應用中主要是用於下載勒索軟體。qkG使用惡意宏聚集了Locky勒索軟體變種使用的技術,該勒索軟體使用了Auto Close VBA宏。當用戶關閉文檔時,惡意宏就會自動執行。Ukitus Locky宏代碼會提取和幫助執行勒索軟體,然後加密被感染主機中的目標文件,但是qkG的宏代碼只scramble文件。

qkG中值得注意的行為包括加密文件的內容,但是不破壞文件的結構,也不改變文件名。系統中不會有勒索注釋,但是預先考慮到文件的內容。qkG會影響ActiveDocument,這意味著只有打開的文檔會被加密。

Figure 1 qkG body中的名字和作者

從越南上傳到VirusTotal的樣本含有一些越南語。宏惡意軟體的主體表明開發者命名它為qkG,字元串TNA-MHT-TT2應該是作者的名字。

感染鏈

當即將感染的受害者開啟了宏,normal.dot模版就被感染了,惡意宏代碼就被加入到模板文件中了。當word的實例被打開後,含有惡意代碼的normal.dot模版就會被載入和執行。

惡意宏代碼會降低word的安全設置,這樣就不用要求用戶開啟宏了。如何降低office安全設置等級依賴於office的版本和需求:

· 通過修改下面的註冊表來解除保護視圖(Protected View):DisableAttachmentsInPV, DisableInternetFilesInPV,和DisableUnsafeLocationsInPV

· 關閉特徵——阻止來自Internet內容的執行(Blockcontentexecutionfrominternet)

· 開啟對 VBA object model (AccessVBOM)的程序訪問

· 把安全等級設置為low

之前的修改執行後,qkG就會感染normal.dot模板文件,增加Document_Close() autostart 宏並把自己複製到文檔中。

Figure 2 增加到normal.dot模板中的惡意宏代碼

qkG工作原理

當用戶打開未受感染的文檔,剛開始並不會發生什麼。但是一旦用戶關閉文檔,qkG就會加密文件的內容。並且會展示一條帶有郵箱和比特幣地址的消息和加密的內容。qkG文件加密器會增加Document_Open() autostart 宏到加密的文檔,並把自己複製到body中。也就是說,如果一個文檔在安全的機器中打開,感染鏈就會重複。

Figure 3文檔加密後展示給受害者的勒索消息

所用的加密方法就是簡單的XOR密碼,加密密鑰是相同的,並且就在每個加密的文檔中。

假設我們創建了一個內容為「1234567890」的文檔,在受感染的機器上關閉文檔後,奇數字元就會被硬編碼的密碼』m QkG@PTM17! by TNA@MHT-TT2中對應的字元XOR加密,偶數字元是不變的。加密後的文檔內容如圖所示:

1 2 3 4 5 6 7 8 9 0n31 00 32 00 33 00 34 00 35 00 36 00 37 00 38 00 39 00 30 00n31 XOR 49 (I) = 78 n32 remainsn33 XOR 27 (『) = 14n34 remainsn

樣本

樣本2d20d5751ffbac9290271969860106fdd34309878a1e06f9dbcac23a7f50b571 含有解密路徑。但是並不包含在惡意軟體body中,因此不工作。這可能是因為該惡意軟體仍在開發中。

Figure 4 qkG樣本中的解密路徑

樣本2e1136a2bfddb108cd3b3a60761113797265b281085ae35e185a4233d2e75d8e不含有解密路徑,這也是一個未完成的勒索軟體,因為clipboard是不會出現在完成了的加密勒索軟體中的。

Figure 5 另外一個qkG樣本

樣本e6b15419059e833424e9c726e9b0b085d9f0fcb2cccbfe1025b0d0f8a1735a66在關閉的時候不立即感染所有的文件,而是添加一個條件,日期的星期必須等於現在時間的分模10。

Figure 6 qkG變種加密文件的時間條件

我們發現這個比特幣地址目前還沒有任何交易記錄。

14zA1NdTgtesLWZxtysLQQtsuKzjFbpydg (二維碼自動識別)

緩解措施

關閉宏可以明顯減少基於宏的惡意軟體的攻擊,比如qkG。經常更新系統和應用,備份數據,限制可以被攻擊者利用的工具、組件等的使用。基於宏的惡意軟體經常利用社會工程學的文

IoC

Hashes (SHA-256):

· 2d20d5751ffbac9290271969860106fdd34309878a1e06f9dbcac23a7f50b571

· 2e1136a2bfddb108cd3b3a60761113797265b281085ae35e185a4233d2e75d8e

· e6b15419059e833424e9c726e9b0b085d9f0fcb2cccbfe1025b0d0f8a1735a66.doc

本文翻譯自blog.trendmicro.com/tre 如若轉載,請註明原文地址: 4hou.com/typ/8749.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

Satori殭屍網路事件分析:華為路由器0day漏洞(CVE-2017-17215)曝光
Google:微軟優先給Windows 10修漏洞,讓舊版本系統用戶陷入危險之中
解密:全球超過400個知名網站正在記錄你的每一個擊鍵過程
「周二補丁日」,微軟修復影響Windows系統的48個安全漏洞
反取證、密碼學、逆向工程軟體…… 10大最好的網路安全Reddit都在這兒

TAG:信息安全 |