新的惡意軟體——Rakhni，可以用勒索軟體或加密貨幣礦工來感染系統

新聞 07-11

早在2013年，我們的惡意軟體分析人員就發現了與Trojan-Ransom.Win32.Rakhni家族相關的第一批惡意樣本。這是這個長期存在的，並且至今仍在運作的特洛伊木馬家族的起點。在此期間，惡意軟體作者作出了一些改變：

·特洛伊木馬獲取密鑰的方式（從本地生成到從C＆C收到）

·使用的演算法（僅使用對稱演算法，到常用的對稱+非對稱方案，到同時使用18種對稱演算法）

·加密庫（LockBox，AESLib，DCPcrypt）

·分發方法（從垃圾郵件到遠程執行）

現在，犯罪分子已經決定為他們的作品添加一個新功能——挖礦功能。在本文中，我們描述了一個downloader，它決定如何感染受害者：使用加密器cryptor或使用礦工miner。

一、分發

1.攻擊的地理分布

Trojan-Downloader.Win32.Rakhni分布圖

被Trojan-Downloader.Win32.Rakhni攻擊的前五個國家（按攻擊用戶的百分比排名）：

2.感染向量

據我們所知，垃圾郵件仍然是分發此惡意軟體的主要方式。

攜帶惡意附件的Email

打開郵件附件後，系統會提示受害者保存文檔並啟用編輯。

Word文檔附件

受害者預計將雙擊嵌入的PDF文件。但是，受害者打開的不是PDF而是啟動了惡意可執行文件。

特洛伊木馬程序啟動前顯示的UAC窗口

二、Downloader

1.一般信息

Downloader是用Delphi編寫的可執行文件。為了使分析複雜化，惡意軟體內的所有字元串都使用簡單的代替密碼進行加密。

執行後，Downloader會顯示一個帶有錯誤文本的消息框。此消息的目的是向受害者解釋為什麼沒有打開PDF文件。

假錯誤信息

2.環境檢測

消息框關閉後，惡意軟體會對受感染的計算機執行多項檢查：

（1）自我檢查

·名稱應包含子字元串AdobeReader

·路徑應包含以下子字元串之一：

TEMP

TMP

STARTUP

CONTENT.IE

·註冊表檢查

檢查註冊表中有沒有HKCUSoftwareAdobeDAVersion，如果沒有，則惡意軟體創建HKCUSoftwareAdobeDAVersion = True並繼續其工作。

（2）運行進程檢查

·檢查正在運行的進程數是否大於26

·檢查下表中列出的所有進程是否都不存在

（3）計算機名檢查

·計算機名不應包含以下任何子字元串：

-MALTEST

AHNLAB

WILBERT-

FIREEYES-

CUCKOO

RSWT-

FORTINET-

GITSTEST

·以小寫形式計算計算機名的MD5，並將其與一百個列入黑名單的值進行比較

（4）IP地址檢查

獲取計算機的外部IP地址，並將其與硬編碼值進行比較。

（5）虛擬機檢查

·檢查以下註冊表項是否不存在：

HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallOracle VM VirtualBox Guest Additions

HKLMSOFTWAREOracleVirtualBox Guest Additions

HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallSandboxie

HKLMSYSTEMControlSet002EnumVMBUS

HKLMHARDWAREACPIDSDTVBOX

HKLMHARDWAREACPIDSDTVirtualBox

HKLMHARDWAREACPIDSDTParallels Workstation

HKLMHARDWAREACPIDSDTPRLS

HKLMHARDWAREACPIDSDTVirtual PC

HKLMHARDWAREACPISDTAMIBI

HKLMHARDWAREACPIDSDTVMware Workstation

HKLMHARDWAREACPIDSDTPTLTD

HKLMSOFTWARESandboxieAutoExec

HKLMSOFTWAREClassesFoldershellsandbox

·檢查以下註冊表值是否不存在：

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionOpenGLDriversVBoxOGLDll=VBoxOGL.dll

HKLM\SYSTEMCurrentControlSetservicesDiskEnum=Virtual

HKLM\SYSTEMControlSet001ControlSystemInformationSystemProductName=VirtualBox

·檢查下表中列出的所有進程是否都不存在

如果至少一個檢查失敗，則downloader結束該過程。

3.證書安裝

Downloader會安裝存儲在其資源中的根證書。所有下載的惡意可執行文件都使用此證書籤名。我們發現了聲稱由微軟公司和Adobe Systems Incorporated發行的假證書。

假Microsoft Corporation證書

假Adobe Systems Incorporated證書

使用標準實用程序CertMgr.exe安裝存儲在資源中的證書。

包含在downloader中的資源

在安裝證書之前，Downloader會將必要的文件從資源中釋放到％TEMP％目錄。

假證書和CertMgr.exe

然後執行以下命令：

CertMgr.exe -add -c 179mqn7h0c.cer -s -r localMachine root

4．主決定

下載cryptor或miner的決定取決於文件夾%AppData%/Bitcoin的存在。如果文件夾存在，則Downloader決定下載cryptor。如果文件夾不存在且機器有兩個以上的邏輯處理器，則下載miner。如果沒有文件夾而只有一個邏輯處理器，則Downloader將跳轉到其蠕蟲組件，這將在本文的相應部分中進行描述。

Cryptor決定

特洛伊木馬程序會下載包含cryptor模塊的受密碼保護的存檔。存檔將下載到啟動目錄（C:Documents and SettingsusernameStart MenuProgramsStartup），然後Downloader使用命令行WinRAR工具將其解壓。cryptor可執行文件命名為taskhost.exe。

執行後，cryptor如同安裝程序一樣執行環境檢查。此外，它將在Downloader決定後檢查它是否正在運行（通過檢查註冊表值HKCUSoftwareAdobeDAVersion是否存在）。

有趣的是，系統閑置至少兩分鐘，cryptor才會開始工作。在加密文件之前，cryptor會終止以下進程：

此外，如果沒有運行avp.exe進程，則cryptor將刪除卷影副本。

cryptor使用以下擴展名加密文件：

「.ebd」, 「.jbc」, 「.pst」, 「.ost」, 「.tib」, 「.tbk」, 「.bak」, 「.bac」, 「.abk」, 「.as4」, 「.asd」, 「.ashbak」, 「.backup」, 「.bck」, 「.bdb」, 「.bk1」, 「.bkc」, 「.bkf」, 「.bkp」, 「.boe」, 「.bpa」, 「.bpd」, 「.bup」, 「.cmb」, 「.fbf」, 「.fbw」, 「.fh」, 「.ful」, 「.gho」, 「.ipd」, 「.nb7」, 「.nba」, 「.nbd」, 「.nbf」, 「.nbi」, 「.nbu」, 「.nco」, 「.oeb」, 「.old」, 「.qic」, 「.sn1」, 「.sn2」, 「.sna」, 「.spi」, 「.stg」, 「.uci」, 「.win」, 「.xbk」, 「.iso」, 「.htm」, 「.html」, 「.mht」, 「.p7」, 「.p7c」, 「.pem」, 「.sgn」, 「.sec」, 「.cer」, 「.csr」, 「.djvu」, 「.der」, 「.stl」, 「.crt」, 「.p7b」, 「.pfx」, 「.fb」, 「.fb2」, 「.tif」, 「.tiff」, 「.pdf」, 「.doc」, 「.docx」, 「.docm」, 「.rtf」, 「.xls」, 「.xlsx」, 「.xlsm」, 「.ppt」, 「.pptx」, 「.ppsx」, 「.txt」, 「.cdr」, 「.jpe」, 「.jpg」, 「.jpeg」, 「.png」, 「.bmp」, 「.jiff」, 「.jpf」, 「.ply」, 「.pov」, 「.raw」, 「.cf」, 「.cfn」, 「.tbn」, 「.xcf」, 「.xof」, 「.key」, 「.eml」, 「.tbb」, 「.dwf」, 「.egg」, 「.fc2」, 「.fcz」, 「.fg」, 「.fp3」, 「.pab」, 「.oab」, 「.psd」, 「.psb」, 「.pcx」, 「.dwg」, 「.dws」, 「.dxe」, 「.zip」, 「.zipx」, 「.7z」, 「.rar」, 「.rev」, 「.afp」, 「.bfa」, 「.bpk」, 「.bsk」, 「.enc」, 「.rzk」, 「.rzx」, 「.sef」, 「.shy」, 「.snk」, 「.accdb」, 「.ldf」, 「.accdc」, 「.adp」, 「.dbc」, 「.dbx」, 「.dbf」, 「.dbt」, 「.dxl」, 「.edb」, 「.eql」, 「.mdb」, 「.mxl」, 「.mdf」, 「.sql」, 「.sqlite」, 「.sqlite3」, 「.sqlitedb」, 「.kdb」, 「.kdbx」, 「.1cd」, 「.dt」, 「.erf」, 「.lgp」, 「.md」, 「.epf」, 「.efb」, 「.eis」, 「.efn」, 「.emd」, 「.emr」, 「.end」, 「.eog」, 「.erb」, 「.ebn」, 「.ebb」, 「.prefab」, 「.jif」, 「.wor」, 「.csv」, 「.msg」, 「.msf」, 「.kwm」, 「.pwm」, 「.ai」, 「.eps」, 「.abd」, 「.repx」, 「.oxps」, 「.dot」.

加密後，文件擴展名將更改為.neitrino。

文件使用RSA-1024加密演算法加密。解密文件所需的信息通過電子郵件發送給攻擊者。

在每個加密目錄中，cryptor創建一個MESSAGE.txt文件，其中包含以下內容：

勒索信息

Miner決定

除了下載文件夾之外，miner的下載過程是相同的——miner被保存到路徑％AppData％ KB ，其中，顧名思義，是由字母數字字元構成的字元串[0 -9a-Z]。

下載並使用解壓縮歸檔後，特洛伊木馬會執行以下操作：

（1）首先，它會生成一個VBS腳本，該腳本將在操作系統重啟後啟動。該腳本的名稱為Check_Updates.vbs。此腳本包含兩個用於挖礦的命令：

·第一個命令將啟動一個挖掘Monero幣的進程;

·第二個命令將啟動一個挖掘加密貨幣Monero Original的過程。可執行文件所在的子文件夾的名稱（cuda）表明此可執行文件將使用GPU功能進行挖掘。

Check_Updates.vbs文件的內容

（2）然後，如果存在名為%AppData%KBsvchost.exe的文件，則特洛伊木馬會執行該文件以挖掘Dashcoin幣。

挖掘Dashcoin的進程

執行此分析時，Downloader正在接收一個未使用GPU的miner的存檔。攻擊者使用MinerGate的控制台版本進行挖掘。

檢查挖掘程序

為了將miner偽裝成可信進程，攻擊者使用虛假的Microsoft Corporation證書對其進行簽名並調用svchost.exe。

5．禁用Windows Defender

無論是選擇了cryptor還是miner，downloaded都會檢查是否啟動了以下AV進程之一：

如果系統中未找到AV進程，則特洛伊木馬將運行幾個cmd命令，這些命令將禁用系統中的Windows Defender：

·cmd /C powershell Set-MpPreference -DisableRealtimeMonitoring $true

·cmd /C powershell Set-MpPreference -MAPSReporting 0

·cmd /C powershell Set-MpPreference -SubmitSamplesConsent 2

·taskkill /IM MSASCuiL.exe

·cmd /C REG ADD HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /v HideSCAHealth /t REGDWORD /d 1 /f

·cmd /C REG ADD HKCUSoftwarePoliciesMicrosoftWindowsExplorer /v DisableNotificationCenter /t REGDWORD /d 1 /f

·cmd /C REG DELETE HKLMSoftwareMicrosoftWindowsCurrentVersionRun /v SecurityHealth /f

·cmd /C REG ADD HKLMSOFTWAREPoliciesMicrosoftWindows Defender /v DisableAntiSpyware /t REGDWORD /d 1 /f

·cmd /C REG ADD HKLMSOFTWAREPoliciesMicrosoftWindows Defender /v AllowFastServiceStartup /t REGDWORD /d 0 /f

·cmd /C REG ADD HKLMSOFTWAREPoliciesMicrosoftWindows Defender /v ServiceKeepAlive /t REGDWORD /d 0 /f

·cmd /C REG ADD HKLMSOFTWAREPoliciesMicrosoftWindows DefenderReal-Time Protection /v DisableIOAVProtection /t REGDWORD /d 1 /f

·cmd /C REG ADD HKLMSOFTWAREPoliciesMicrosoftWindows DefenderReal-Time Protection /v DisableRealtimeMonitoring /t REGDWORD /d 1 /f

·cmd /C REG ADD HKLMSOFTWAREPoliciesMicrosoftWindows DefenderSpynet /v DisableBlockAtFirstSeen /t REGDWORD /d 1 /f

·cmd /C REG ADD HKLMSOFTWAREPoliciesMicrosoftWindows DefenderSpynet /v LocalSettingOverrideSpynetReporting /t REGDWORD /d 0 /f

·cmd /C REG ADD HKLMSOFTWAREPoliciesMicrosoftWindows DefenderSpynet /v SubmitSamplesConsent /t REGDWORD /d 2 /f

·cmd /C REG ADD HKLMSOFTWAREPoliciesMicrosoftWindows DefenderUX Configuration /v NotificationSuppress /t REGDWORD /d 1 /f

6．發送統計信息

Downloader和cryptor將帶有統計信息的電子郵件發送到硬編碼地址。這些消息包含有關當前感染狀態的信息以及其他詳細信息，例如：

·計算機名

·IP地址

·惡意軟體在系統中的路徑

·惡意軟體創建時間

Downloader發送以下狀態：

cryptor發送以下狀態：

另一個有趣的事實是，Downloader還具有一些間諜軟體功能——其消息包括正在運行的進程列表和帶有屏幕截圖的附件。

7．蠕蟲組件

作為最後一個操作，Downloader嘗試將自身複製到本地網路中的所有計算機。為此，它調用系統命令"net view / all"返回所有共享，然後特洛伊木馬創建包含具有共享資源的計算機名稱的list.log文件。對於文件中列出的每台計算機，特洛伊木馬會檢查文件夾是否共享，如果是，則惡意軟體將自身複製到每個用戶都可以訪問的文件夾AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup 。

8．自刪除

在關閉惡意軟體之前，會創建一個批處理文件，刪除在感染過程中創建的所有「臨時」文件。這是惡意軟體的常見做法。我們感興趣的是使用的Goto標籤"malner"。也許這是犯罪分子使用「malware」和「miner」的寫照。