1 概述
2022年5月,安天CERT发布了报告《活跃的Jester Stealer窃密木马及其背后的黑客团伙》[1],报告中不但分析了一个同时释放窃密木马和剪贴板劫持器的恶意样本,还提到了一个活跃的Jester黑客团伙。
Jester黑客团伙自2021年7月开始活跃,主要通过售卖其开发的窃密木马、剪贴板劫持器、僵尸网络等不同类型的恶意代码获利。2022年2月,该黑客团伙声称由于仿冒者太多而被各地下论坛封禁,所以决定更名为Eternity(后文都采用此名)。目前该黑客团伙已经形成了一定的规模,具有多名成员,能够根据购买者的反馈对其开发的恶意代码进行修改,增加新功能,并开始出售勒索软件和蠕虫等更多类型的恶意代码,形成了MaaS(恶意软件即服务)的运营模式,对用户的设备和数据安全形成威胁。
安天CERT在本篇报告中除了对该黑客团伙进行更多介绍之外,还会对其开发的蠕虫及勒索软件进行详细分析,帮助用户了解其恶意功能,以便进行更好的防护。
2 事件对应的ATT&CK映射图谱
事件对应的技术特点分布图:
图 2‑1 技术特点对应ATT&CK的映射
具体ATT&CK技术行为描述表:
表 2‑1 ATT&CK技术行为描述表
ATT&CK阶段/类别 | 具体行为 | 注释 |
初始访问 | 网络钓鱼 | 网络钓鱼传播 |
执行 | 利用命令和脚本解释器 | 执行脚本语言 |
执行 | 诱导用户执行 | 诱导用户执行 |
持久化 | 篡改客户端软件 | 篡改客户端软件 |
持久化 | 执行流程劫持 | 执行流程劫持 |
持久化 | 利用计划任务/工作 | 创建计划任务 |
防御规避 | 执行流程劫持 | 执行流程劫持 |
防御规避 | 削弱防御机制 | 结束进程管理工具 |
凭证访问 | 窃取Web会话Cookie | 窃取Web会话Cookie |
发现 | 发现文件和目录 | 发现文件和目录 |
发现 | 发现系统地理位置 | 发现系统地理位置 |
命令与控制 | 使用应用层协议 | 使用HTTP协议 |
影响 | 造成恶劣影响的数据加密 | 对文件进行加密 |
影响 | 篡改可见内容 | 修改部分文件图标 |
影响 | 禁止系统恢复 | 删除系统还原点及卷影 |
3 防护建议
为有效防御此类恶意代码,提升安全防护水平,安天建议企业采取如下防护措施:
3.1 终端防护
- 安装终端防护系统:安装反病毒软件;
- 加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;
- 部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。
3.2 网站传播防护
- 建议使用官方网站下载的正版软件。如无官方网站建议使用可信来源进行下载,下载后使用反病毒软件进行扫描;
- 建议使用沙箱环境执行可疑的文件,在确保安全的情况下再使用主机执行。安天追影威胁分析系统(PTA)采用深度静态分析与沙箱动态加载执行的组合机理,可有效检出分析鉴定各类已知与未知威胁。
4 关联分析
4.1 黑客团伙构成
根据该团伙在Telegram频道等位置发布的信息,以及此前Jester Stealer中出现的用于下载载荷的Github地址,可以总结其主要相关成员及频道信息如下。
4.1.1 团伙成员
表 4‑1 Eternity成员
早期成员 | EternityDeveloper | TheRealDrKust0m | PrincipeDiBeler | |
成员 | LightM4n Github: L1ghtM4n | userpro9 (用户名失效) | savethekiddes | MalwareCompany |
客服 | user2speedBot | EternityDealer | EternityTeams (用户名失效) |
其中LightM4n的Github信息如下,可看出该用户对恶意代码开发有一定了解。
图 4‑1 成员的Github信息
4.1.2 消息频道
该组织陆续开设了多个频道用于进行恶意软件销售,相关频道如下。
表 4‑2 Eternity相关消息频道
功能 | 主频道 | 恶意软件销售 | 用户评论 | 新闻 | 用户反馈 |
频道 | JesterLab | EternityMalwareTeam | EternityReviews | eternitymalwareRE | EternityUpdateRequests |
4.1.3 地区属性
该黑客团伙开发的恶意软件目前均会绕过系统语言为乌克兰语的设备,且在恶意代码的日志文本及黑客团伙的通知频道中存在多处相关言论,因此推测其核心成员来自乌克兰。部分信息如下。
图 4‑2频道中的相关信息
4.2 恶意软件介绍
Eternity组织有多种正在活跃维护及运营的恶意软件,包括窃密木马、挖矿程序、剪贴板劫持器、勒索病毒、蠕虫传播器等,另外还有DDoS程序处于开发阶段,还未公开出售。
图 4‑3 Eternity网站导航页
网站上还存在上述恶意软件的文字、视频介绍和购买链接。
图 4‑4 Eternity网站恶意代码介绍页
该团伙还会通过投票等方式为后续的恶意软件开发做调查。结合其设置客服账号、建立多种不同功能的Telegram频道、搭建网站等行为,可以看出该组织已经形成了一定的商业销售模式。
图 4‑5 频道中的投票
5 样本分析
5.1 Eternity蠕虫分析
表 5‑1 蠕虫样本标签
病毒名称 | Trojan[Worm]/Win32.Eternity |
原始文件名 | EternityWorm.exe |
MD5 | 80094CDFC9743EA1E4DECFE916105B76 |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 1.29 MB (1,355,264字节) |
文件格式 | BinExecute/Microsoft.EXE[:X32] |
时间戳 | 2054-12-14 07:46:01 UTC(伪造) |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | .NET |
VT首次上传时间 | 2022-10-19 02:30:02 UTC |
VT检测结果 | 60/71 |
检查系统语言是否为乌克兰语,若是则直接退出程序不再执行。
图 5‑1 检测系统语言区域
创建互斥量“lpgdntaivz”避免重复执行。
图 5‑2 创建互斥量
下载并执行勒索软件。
图 5‑3 下载并执行勒索软件
该蠕虫后续通过多种方式进行感染、传播。
- 自动发送Telegram钓鱼消息
下载Telegram传播模块。
图 5‑4 下载Telegram传播模块
该模块为使用PyInstaller打包的Python程序,功能为利用受害者系统中Telegram客户端登录的账号发送钓鱼内容,诱导受害者的Telegram联系人下载恶意程序。
图 5‑5 通过Telegram传播
- 自动发送Discord钓鱼消息
从受害者安装的Discord客户端中获取用户关注的频道(一种可以收、发消息的群聊)。
图 5‑6 获取Discord频道
向获取的Discord频道中发送钓鱼消息,诱导频道成员下载恶意程序。
图 5‑7 发送Discord钓鱼消息
- 感染Python标准库
感染Python标准库中的os.py,向其中植入下载器代码。
图 5‑8 感染Python库
- 感染本地文件
将当前用户的“桌面”“图片”“文档”三个文件夹中exe、pdf、docx、xlsx、bat、txt、mp3、mp4、py、png、pyw、jar等扩展名的文件替换为恶意程序。
图 5‑9 感染本地文件
对zip压缩包内的文件进行替换。
图 5‑10 感染Zip压缩包内的文件
对除C盘之外的可移动磁盘和固定磁盘(本地磁盘)进行上述感染处理。
图 5‑11 感染磁盘文件
最后对网络驱动器以及Dropbox、OneDrive、Google网盘的默认同步文件夹进行感染。
图 5‑12 感染网络驱动器
上述功能的配置信息如下。
图 5‑13 蠕虫程序配置信息
5.2 释放的Eternity勒索软件分析
表 5‑2 勒索软件样本标签
病毒名称 | Trojan[Ransom]/Win32.Eternity |
原始文件名 | Eternity.exe |
MD5 | 27063953E8334BC1D395274A3FF8E66F |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 111.00 KB (113,664字节) |
文件格式 | BinExecute/Microsoft.EXE[:X32] |
时间戳 | 2103-10-13 03:19:28 UTC(伪造) |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | .NET |
VT首次上传时间 | 2022-10-19 02:27:27 UTC |
VT检测结果 | 51/68 |
Eternity勒索软件的勒索信样式如下。
图 5‑14 勒索信样式
检查系统语言是否为乌克兰语,若是则直接退出程序不再执行。
图 5‑15 检查系统语言区域
创建互斥量“wsrciuxcaz”避免重复执行。
图 5‑16 创建互斥量
将自身复制到%LocalAppdata%\ServiceHub\文件夹下,并建立计划任务每分钟执行一次。
图 5‑17 建立计划任务持久化
通过注册表禁用系统自带的任务管理器,避免用户查看系统进程。
图 5‑18 禁用任务管理器
创建线程持续检测系统中是否出现特定的进程管理、进程监控、系统管理软件进程并将其结束。
图 5‑19 结束部分工具进程
删除系统还原点。
图 5‑20 删除系统还原点
删除卷影备份。
图 5‑21 删除卷影备份
通过修改注册表劫持资源管理器中.exe程序的双击启动,使用户启动.exe时启动的是勒索程序。
图 5‑23 生成密钥并加密存储在注册表中
使用AES算法对文件进行加密,并使用Deflate压缩后写回原文件。
图 5‑24 对文件进行加密
加密后的文件扩展名为“.ecrp”,相关配置信息如下。
图 5‑25 勒索软件配置信息
6 总结
Eternity Worm蠕虫除了具备传统的本地文件感染功能外,还具备多种依托于互联网公共网站传播的功能。蠕虫一旦落地,还能自动下载勒索软件在内的其他恶意程序并执行,对用户系统安全造成极大的威胁。其背后的Eternity黑客团伙经过一年多的发展,已经成为具有一定规模的黑客团伙。
7 IoCs
80094CDFC9743EA1E4DECFE916105B76 |
27063953E8334BC1D395274A3FF8E66F |
http[:]//111.90.151[.]174:7777/Ransomworm.exe |
http[:]//111.90.151[.]174:7777/Ransomware.exe |
参考资料:
- 活跃的Jester Stealer窃密木马及其背后的黑客团伙分析
https://www.antiy.cn/research/notice&report/research_report/20220510.html
- Lilith僵尸网络及其背后的Jester黑客团伙跟进分析
https://www.antiy.cn/research/notice&report/research_report/20220510.html