ExPetr會是BlackEnergy的變異體嗎？

迄今為止，沒有人能夠發現ExPetr/Petya和一些過去惡意軟體之間的相似之處，比如，重要代碼共享。在ExPetr爆發開始之初，研究人員就發現ExPetr使用的擴展名稱與2015年和2016年BlackEnergy的KillDisk勒索軟體使用的擴展名稱非常相似。

BlackEnergy所實施的APT攻擊是一個複雜的過程，BlackEnergy病毒最早出現在2007年，開發者把BlackEnergy的源代碼賣掉之後很多黑客使用它來作為DDoS攻擊工具。

然而安全研究人員在2014年就發現了有黑客集團利用BlackEnergy攻擊工業控制系統（ICS）和能源系統並搜集工具和監控，這讓BlackEnergy升級為APT攻擊。該黑客集團最主要的攻擊目標就是烏克蘭，在2014年到2016年期間烏克蘭陸續傳出了數起遭到BlackEnergy攻擊的報告。

以下是ExPetr中的目標擴展列表以及BE APT在2015年使用的 wiper版本：

顯然，這些列表的組合和格式非常相似，但不完全相同。此外，舊版本的BE破壞性模塊具有更長的列表。以下是2015年BE樣本的擴展列表代碼片段：

不過，這些列表在以相同的點分隔格式存儲的意義上是相似的。雖然這表明了一個可能的聯繫，但我們想知道是否可以找到更多的相似之處，特別是在BlackEnergy和ExPetr的舊版本的代碼中。

於是，我們嘗試構建一個功能列表，以便可以使用這些功能來製作YARA規則來檢測ExPetr和BlackEnergy的wiper。

在分析期間，我們專註於類似的擴展列表和負責解析文件系統以進行加密或擦除的代碼。以下是負責檢查當前版本的ExPetr中目標擴展名的代碼：

這可以通過遞歸方法執行目標文件系統，然後檢查每個文件的擴展名是否包含在點分隔列表中。不過，在較老BlackEnergy變體中實現的方式是完全不同的，代碼更通用，目標擴展列表在開頭初始化，並傳遞給遞歸磁碟列表功能。

不過，我們採用了自動化代碼比較的結果，以期發掘相似之處。我們想通用代碼和有趣的字元串的組合，將它們整合成一個凝聚的規則，以列出BlackEnergy KillDisk組件和ExPetr示例。這個通用代碼的主要示例是由編譯器優化合并的內聯wcscmp函數，用於檢查文件名是當前文件夾，名稱為「.」。當然，這個代碼是非常通用的，可以顯示在遞歸列出文件的其他程序中。由於它包含在一個類似的擴展列表中，所以引起了我們特別的興趣，但仍然是一個低信度指標。

進一步看，我們確定了一些其他候選字元串，雖然不是唯一的，但是當組合在一起時，我們可以以更精確的方式從我們的案例中標記二進位文件，比如：

1.exe /r /f

2.COMSPEC

3.InitiateSystemShutdown

當與wcscmp內聯代碼一起檢查文件名時，我們得到以下YARA規則：

當我們對運行大量惡意軟體的樣本時，上述YARA規則僅在BlackEnergy和ExPetr示例上觸發。毫不奇怪，當單獨使用時，每個字元串可能會產生誤報或捕獲其他無關的惡意軟體。然而，當以YARA規則方式組合在一起時，檢測就會變得非常精確。將通用或流行字元串分組為獨特組合的技術是編寫強大Yara規則的最有效方法之一。

當然，這不應該被認為是一個明確的鏈接標誌，但卻說明了這些惡意軟體家族之間的某些代碼設計具有相似之處。

譯者註：6月28日，卡巴斯基實驗室經過初步研究顯示，席捲全球的勒索軟體並非Petya變種，而是一種之前從未見過的全新勒索軟體「ExPetr」。儘管這種勒索軟體同Petya在字元串上有所相似，但功能卻完全不同，卡巴斯基將這種最新威脅命名為「ExPetr」。

Hashs

ExPetr:

BE:

11b7b8a7965b52ebb213b023b6772dd2c76c66893fc96a18a9a33c8cf125af80

5d2b1abc7c35de73375dd54a4ec5f0b060ca80a1831dac46ad411b4fe4eac4c6

368d5c536832b843c6de2513baf7b11bcafea1647c65df7b6f2648840fa50f75

F9f3374d89baf1878854f1700c8d5a2e5cf40de36071d97c6b9ff6b55d837fca

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！