RansomEXX木马出现Linux新变种!

作者:安数网络 发布时间:2020-11-12 18:02:56 浏览次数:43

Kaspersky研究人员近期发现有个新的加密木马文件。是一个ELF文件,可加密基于Linux操作系统设备上的数据。经过初步分析,研究人员发现该木马是知名勒索软件RansomEXX的Linux版本。该恶意软件以攻击大型组织而知名,并在今年早期最为活跃。

Kaspersky还总结说:“该木马的赎金提示与RansomEXX的非常类似,因此很可能是RansomEXX的Linux变种。”RansomEXX恶意软件的每个样本中都含有硬编码的受害者组织名。此外,加密的文件扩展名和联系人邮箱地址也都使用了受害者的名字。

近几个月来,许多知名公司都成为了该恶意软件的受害者,其中就包括德克萨斯州交通部(TxDOT)和柯尼卡-米诺尔塔(Konica Minolta)等。

技术分析说明

研究人员分析的样本是基于64位的ELF文件。该木马使用来自mbedtls开源库的函数实现了其加密手段。启动后,木马会生成一个256位的密钥,并使用ECB模式下的AES分组密码来加密所有的受害者文件。AES密钥可通过嵌入木马程序主体中的RSA-4096来加密每个文件。

此外,该恶意软件还会自启动一个线程.就现实情况而言,密钥间隔一秒才会发生变化。

该恶意软件除了加密文件和留下勒索信息外,其恶意软件样本中没有其他恶意攻击(如:C2通信、运行进程终止、反分析技术等)。

文件加密过程伪代码片段,变量和函数名都保存在调试信息中,必须与源代码相一致。但是ELF二进制文件中包含一些调试信息,包括函数名、全局变量和恶意软件开发者使用的一些源代码文件。

嵌入在木马中的源文件名

木马在Kaspersky Linux沙箱中的执行日志

和RansomEXX Windows版本的相似之处

虽然之前发现的RansomEXX木马PE版本使用WinAPI,但是木马的代码以及使用mbedtls库中的特定函数,都表明ELF文件和PE文件都来自相同的源代码。

下图是加密AES密钥的过程的比较。左侧是ELF样本aa1ddf0c8312349be614ff43e80a262f,右侧是TxDOT攻击中使用的PE样本fcd21c6fca3b9378961aa1865bee7ecb。

虽然使用了不同的优化选择和平台以及不同的编译器,但是相似性还是非常明显的。加密文件内容的过程,以及代码的整个布局都非常相似。

此外,勒索信息也是相同的,在标题和类似字段中都有受害者的名字。

巴西的攻击实例

据媒体报道,巴西一家政府机构最近受到了定向勒索木马的攻击。从勒索信息来看,几乎与上面的样本完全相同。

样本aa1ddf0c8312349be614ff43e80a262f 的勒索信息

最近巴西攻击活动中的勒索信息


参考链接:https://securelist.com/ransomexx-trojan-attacks-linux-systems/99279/

题图来源:由Pete Linforth在Pixabay上发布 

及时掌握网络安全态势 尽在傻蛋网络安全监测系统

【网络安全监管部门】免费试用

本文来源:securelist.com

如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明