RansomEXX木马出现Linux变种
2020-11-12 13:00:00 Author: www.4hou.com(查看原文) 阅读量:196 收藏

Kaspersky研究人员近期发现有个新的文件加密木马,可以加密基于Linux 的操作系统的设备上的数据。经过初步分析,研究人员发现该木马是知名勒索软件RansomEXX 的Linux 版本。该恶意软件以攻击大型组织而知名,在今年早期最为活跃。

RansomEXX 恶意软件的每个样本中都含有硬编码的受害者组织名。此外,加密的文件扩展名和联系人邮箱地址也都使用了受害者的名字。

近几个月来,许多知名公司都成为了该恶意软件的受害者,包括德克萨斯州交通部(TxDOT)和柯尼卡-米诺尔塔(Konica Minolta)。

技术细节

研究人员分析的样本是有个64位的ELF 可执行文件。该木马用来自mbedtls开源库的函数实现了其加密方案。

启动后,木马会生成一个256 位的密钥,并用该密钥使用ECB模式的AES加密来加密所有的受害者文件。AES 密钥会被一个嵌入了木马主体和每个加密文件中的4096 位的RSA 公钥加密。

此外,恶意软件还会启动一个线程每0.18秒就重新生成和重新加密AES 密钥。但是从实现的情况来看,密钥每秒钟才会发生变化。

除了加密文件和留下勒索信息外,恶意软件样本中没有其他木马中使用的功能,比如没有C2 通信、没有运行进程终止、没有反分析技术等。

文件加密过程伪代码片段,变量和函数名都保存在调试信息中,必须与源代码相一致

但是ELF 二进制文件中包含一些调试信息,包括函数名、全局变量和恶意软件开发者使用的一些源代码文件。

嵌入在木马中的源文件名

木马在Kaspersky Linux沙箱中的执行日志

和RansomEXX Windows版本的相似之处

虽然之前发现的RansomEXX 木马 PE版本使用WinAPI,但是木马代码的组织以及使用mbedtls 库中的特定函数表明ELF文件和PE 文件都来自相同的源代码。

下图是加密AES 密钥的过程的比较。左侧是ELF样本aa1ddf0c8312349be614ff43e80a262f,右侧是TxDOT 攻击中使用的PE 样本fcd21c6fca3b9378961aa1865bee7ecb。

虽然使用了不同的优化选择和平台以及不同的编译器,但是相似性还是非常明显的。加密文件内容的过程,以及代码的整个布局都非常相似。

此外,勒索信息也是相同的,在标题和类似字段中都有受害者的名字。

巴西的攻击实例

据媒体报道,巴西一家政府机构最近受到了定向勒索木马的攻击。从勒索信息来看,几乎与上面的样本完全相同。

样本aa1ddf0c8312349be614ff43e80a262f 的勒索信息 

最近巴西攻击活动中的勒索信息

本文翻译自:https://securelist.com/ransomexx-trojan-attacks-linux-systems/99279/如若转载,请注明原文地址:


文章来源: https://www.4hou.com/posts/XnZV
如有侵权请联系:admin#unsafe.sh