能DDoS的勒索木馬FireCrypt進一步分析

近日，FreeBuf上對於一類FireCrypt木馬做了相關的報道：流氓會武功：這款勒索軟體不僅能勒索，還能DDoS。哈勃分析系統拿到了相關樣本，並對其進行了分析。

經分析，該類樣本通過木馬生成器自定義生成，運行該樣本會對特定文件類型進行AES加密，同時伴隨著持續但微弱的DDoS行為(請求特定網站下載文件)。以下是詳細的樣本分析結果。

一．樣本運行效果

該樣本運行後會加密系統所有盤符下的特定文件類型的文件，加密後會在文件名後加上firecrypt後綴，如下圖所示:

圖1.加密後的文件

在加密結束後，樣本會在桌面生成兩個文件分別為xxxx-READ_ME.html和xxxx-filesencrypted.html，xxxx-READ_ME.html是加密後提示給受害用戶的解密提示，xxxx-filesencrypted.html是當前受害者電腦所有被加密文件的路徑位置信息，如下圖所示：

圖2 xxxx-READ_ME.html

圖3 xxxx-filesencrypted.html

該解密提示界面警告受害者AES密鑰的銷毀時間，用戶需要在密鑰銷毀之前向特定比特幣地址支付500美元贖金以獲得AES密鑰和解密程序。木馬會在每台被加密的機器上生成一個唯一的USER ID用於識別受害機器。

此外，在文件加密完成後，該木馬會創建數個後台線程去固定的某個網站上下載文件到%Temp%目錄下，如下圖所示：

圖4 木馬文件下載

二．樣本運行流程：

此木馬是基於.NET環境開發，依賴.NET Framework 4.0及以上。通過reflector工具可以對木馬進行反編譯，從而分析出該木馬大致運行流程如下:

圖5 firecrypt木馬運行流程

三．文件加密分析：

1.樣本首先查找受害電腦的所有盤符:

圖6 查找盤符

然後遞歸遍歷所有系統盤符下的所有文件，查找符合如下後綴名的文件，將這些文件的路徑信息加入%AppData%SysWin32files.txt，加密文件類型如下:

圖7 加密文件類型

2.樣本會產生一個32個字元的隨機字元串，該隨機字元串用於後續AES256密鑰的生成:

其中隨機數產生的演算法如下:

3. AES256加密流程如下,Encrypt_Fun方法中調用的AES256_Encrypt為加密的主要函數:

AES256_Encrypt方法傳入帶加密的數據和用於加密的密碼，此密碼再與一些其它的參數生成真正的密鑰，具體流程如下:

至此，文件完整的加密流程已經完結了。該樣本在加密每個文件的時候都會產生一個32個字元的隨機字元串，然後通過該隨機字元串去生成AES加密密鑰。

這樣每次加密的密鑰都是不同的，但是在整個加密流程前後並未發現木馬通過網路將密鑰發送給遠端的伺服器，一旦用戶的電腦被此類木馬感染後，即使向作者給出的比特幣地址支付贖金，仍然無法獲取需要解密的AES密鑰。

四．木馬的DDoS行為：

當加密行為完成後，樣本將在後台創建多個線程:

在DownloadThread函數中會持續對www[.]pta[.]gov[.]pk/index[.]php發出請求，並將該頁面下載到%temp%目錄並存儲:

當樣本感染的機器足夠多的時候，這種正常的Url請求就會變成DDoS攻擊。

五．結束任務管理器：

除了以上的文件加密和DDoS行為，樣本還會創建一個Timer，每隔500ms將「taskmgr」進程殺掉:

以此防止用戶通過任務管理器發現木馬進程，進而結束該木馬進程。

六．木馬生成器與變種：

此類通過生成器生成的木馬樣本，每次生成的樣本的哈希值都會發生變化，可以通過不停變種繞過一些僅憑哈希值進行判定的防護措施。

不過，此木馬並未採取強烈的混淆手段，大多數情況下仍然可以通過靜態特徵或者動態行為，識別該類生成器產生的木馬。

*本文作者：騰訊電腦管家，轉載請註明來自Freebuf.COM