Kaspersky研究人員近期發(fā)現(xiàn)有個(gè)新的加密木馬文件。是一個(gè)ELF文件，可加密基于Linux操作系統(tǒng)設(shè)備上的數(shù)據(jù)。經(jīng)過(guò)初步分析，研究人員發(fā)現(xiàn)該木馬是知名勒索軟件RansomEXX的Linux版本。該惡意軟件以攻擊大型組織而知名，并在今年早期最為活躍。

Kaspersky還總結(jié)說(shuō)：“該木馬的贖金提示與RansomEXX的非常類(lèi)似，因此很可能是RansomEXX的Linux變種。”RansomEXX惡意軟件的每個(gè)樣本中都含有硬編碼的受害者組織名。此外，加密的文件擴(kuò)展名和聯(lián)系人郵箱地址也都使用了受害者的名字。

近幾個(gè)月來(lái)，許多知名公司都成為了該惡意軟件的受害者，其中就包括德克薩斯州交通部（TxDOT）和柯尼卡-米諾爾塔（Konica Minolta）等。

技術(shù)分析說(shuō)明

研究人員分析的樣本是基于64位的ELF文件。該木馬使用來(lái)自mbedtls開(kāi)源庫(kù)的函數(shù)實(shí)現(xiàn)了其加密手段。啟動(dòng)后，木馬會(huì)生成一個(gè)256位的密鑰，并使用ECB模式下的AES分組密碼來(lái)加密所有的受害者文件。AES密鑰可通過(guò)嵌入木馬程序主體中的RSA-4096來(lái)加密每個(gè)文件。

此外，該惡意軟件還會(huì)自啟動(dòng)一個(gè)線程.就現(xiàn)實(shí)情況而言，密鑰間隔一秒才會(huì)發(fā)生變化。

該惡意軟件除了加密文件和留下勒索信息外，其惡意軟件樣本中沒(méi)有其他惡意攻擊（如：C2通信、運(yùn)行進(jìn)程終止、反分析技術(shù)等）。

文件加密過(guò)程偽代碼片段，變量和函數(shù)名都保存在調(diào)試信息中，必須與源代碼相一致。但是ELF二進(jìn)制文件中包含一些調(diào)試信息，包括函數(shù)名、全局變量和惡意軟件開(kāi)發(fā)者使用的一些源代碼文件。

嵌入在木馬中的源文件名

木馬在Kaspersky Linux沙箱中的執(zhí)行日志

和RansomEXX Windows版本的相似之處

雖然之前發(fā)現(xiàn)的RansomEXX木馬PE版本使用WinAPI，但是木馬的代碼以及使用mbedtls庫(kù)中的特定函數(shù)，都表明ELF文件和PE文件都來(lái)自相同的源代碼。

下圖是加密AES密鑰的過(guò)程的比較。左側(cè)是ELF樣本aa1ddf0c8312349be614ff43e80a262f，右側(cè)是TxDOT攻擊中使用的PE樣本fcd21c6fca3b9378961aa1865bee7ecb。

雖然使用了不同的優(yōu)化選擇和平臺(tái)以及不同的編譯器，但是相似性還是非常明顯的。加密文件內(nèi)容的過(guò)程，以及代碼的整個(gè)布局都非常相似。

此外，勒索信息也是相同的，在標(biāo)題和類(lèi)似字段中都有受害者的名字。

巴西的攻擊實(shí)例

據(jù)媒體報(bào)道，巴西一家政府機(jī)構(gòu)最近受到了定向勒索木馬的攻擊。從勒索信息來(lái)看，幾乎與上面的樣本完全相同。

樣本aa1ddf0c8312349be614ff43e80a262f 的勒索信息

最近巴西攻擊活動(dòng)中的勒索信息

參考鏈接：https://securelist.com/ransomexx-trojan-attacks-linux-systems/99279/

題圖來(lái)源:由Pete Linforth在Pixabay上發(fā)布 

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門(mén)】免費(fèi)試用

本文來(lái)源:securelist.com

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明