恶意软件经常冒充合法软件加速扩散,安全厂商趋势科技近日发现最新勒索软件,伪装成google软件更新(google software update)app传播(下图),还大胆使用微软的网页托管ip掩人耳目,并以多种手法躲避安全产品侦测。
图片来源/趋势科技
havanacrypt是一个.net应用程序,使用开源的.net代码混淆工具obfuscar(下图)保护其程序代码,并以名为queueuserworkitem的.net system.threading命名空间方法,将多个执行步骤队列执行。分析显示,它使用了颇高明的手法避免被侦测到。例如,它一经执行即隐藏其窗口、检查autorun注册表有无“google update”注册表,若未找到就继续执行。接下来,它会启动反虚拟化流程,旨在确保可回避vm中的动态分析。例如,它会检查有无vmware tools或vmmouse,或是和vm有关的文件、执行文件及mac address。一旦侦测到系统是在vm中执行,就终止执行。
图片来源/github
完成所有检查后,havanacrypt从微软网页托管服务的ip地址下载一个批次(batch)档。这个批次档包含可设置windows/microsoft defender扫描指令,使其略过windows和user目录下的任何文件。它还会关闭数十种行程,包括ms sql server、mysql,以及microsoft office和steam、firefox等pc机应用程序。
关闭所有行程后,havanacrypt会查询所有磁盘、删除所有磁盘区阴影复制(shadow copies)、将最大存储空间调到401mb,再以windows management instrumentation(wmi)识别出系统恢复执行实例,再将之删除。它还会自我复制执行文件到programdata和startup文件夹中,并设为隐藏档或系统文件。
等完成前述准备动作后,havanacrypt得以搜集机器多项资讯,包括处理器核心数、处理器名称id、socket、主板厂商及名称、bios版本及产品号码等。
在加密文件时,这只恶意软件利用keepass password safe(下图)产生加密密钥。被加密的文件名称都会加入.navana的文件扩展名。它会避免加密某些文件扩展名,或是在特定目录下的文件,像是tor浏览器,显示恶意程序作者计划使用tor网络和受害者通信。
研究人员表示,把自己的c&c服务器架在微软的网页托管服务ip地址上,而且使用合法的加密工具keepass来加密受害者文件,都是勒索软件较少见的行为。研究人员尚未发现勒索消息文件,显示它尚未开发完成。