逃避沙箱並濫用WMI：新型勒索軟體PyLocky分析

新聞 10-24

毫無疑問，在目前的網路威脅領域中，勒索軟體仍然扮演著十分重要的角色。實際上，在2018年上半年勒索軟體的活動還有所增加，並且相關勒索軟體還通過各種升級更新來嘗試避開現有的安全解決方案，比如說PyLocky（趨勢科技將其標記為RANSOM_PYLOCKY.A）就是一個很好的例子。

在7月下旬和整個8月份，研究人員發現了一個通過垃圾郵件來傳播PyLocky勒索軟體的攻擊活動。雖然PyLocky的勒索信息風格跟Locky非常相似，但是PyLocky跟Locky並沒有什麼關係。PyLocky採用Python編寫，並採用PyInstaller封裝。實際上，採用Python來開發的勒索軟體並不是什麼新鮮事了，比如說2016年的CryPy（RANSOM_CRYPY.A），和2017年的Pyl33t (RANSOM_CRYPPYT.A)，但是PyLocky具備了反機器學習的能力，這也是它的「閃光點」之一。它同時使用了Inno Setup Installer（一款基於開源腳本的安裝器）和PyInstaller，因此這樣會增加靜態分析方法的檢測難度，其中就包括了基於機器學習的解決方案。

需要注意的是，PyLocky的傳播地區也比較集中，我們發現該活動主要針對的是歐洲地區的用戶，尤其是法國。

感染鏈

8月2日，我們檢測到了一波針對法國企業的PyLocky攻擊活動，該活動中攻擊者主要通過以發票為主題的垃圾郵件來引誘目標用戶感染勒索軟體。在電子郵件中，攻擊者使用了社會工程學技術來誘使用戶點擊惡意鏈接，而惡意鏈接會將用戶重定向到包含了PyLocky勒索軟體的惡意URL。

惡意URL指向的是一個包含了已簽名可執行文件(Facture_23100.31.07.2018.exe)的ZIP文件(Facture_23100.31.07.2018.zip)。成功運行之後，Facture_23100.31.07.2018.exe會讓目標主機感染惡意組件（一些C++文件、Python庫和Python 2.7核心動態鏈接庫DLL），以及主要的勒索程序（lockyfud.exe，通過PyInstaller創建，存放目錄為C:Users{user}AppDataLocalTempis-{random}.tmp）。

PyLocky能夠加密圖片、視頻、文檔、音頻、程序、遊戲、資料庫文件和壓縮文檔等等。下面給出的是PyLocky可加密的文件類型：

加密程序

PyLocky支持加密的文件類型是硬編碼在配置文件中的，並且利用了Windows管理規範(WMI)來收集受感染設備的系統信息。如果受感染系統的可見內存大小小於4GB的話，PyLocky還可以通過休眠999999秒（11.5天）來躲避沙盒環境。如果內存大小大於或等於4GB的話，PyLocky將會直接執行文件加密程序。

加密完成之後，PyLocky將會與遠程命令控制伺服器建立通信連接。PyLocky使用PyCrypto庫來實現加密，這裡利用的是3DES加密演算法。PyLocky首先會枚舉邏輯驅動器，並在調用『efile』方法之前生成一份文件列表，而這個方法會用已加密的文件內容覆蓋原始的文件內容，然後發送勒索消息。

PyLocky的勒索信息採用了英語、法語、韓語和義大利語編寫，這也表明韓國和義大利地區的用戶可能也會受到影響。