新型商业模式：勒索软件窃取用户敏感文件

概述

去年年末，奇安信病毒响应中心发布了《不给钱就撕票！论现代勒索软件的野蛮进化史》https://mp.weixin.qq.com/s/xnt6iVLNKRyVvqfCO_-Lmg一文，文中提到了勒索软件开始不单纯进行勒索文件从而获取赎金，而且还开始对敏感文件进行窃取，从而加大勒索的范围：即不交赎金，我让你电脑文件无法打开使用不成，还让你的文件宣布泄露出去。

而Ryuk勒索软件，相信不少前线应急选手都有所耳闻，近日，奇安信病毒响应中心在日常样本监控过程中捕获了Ryuk勒索软件释放的窃密模块，发现其进行了大幅度更新。

除此之外，我们偶然发现，该窃密模块居然是第三方开发，从而分发给Ryuk勒索软件团伙进行”分红”，这让我们对勒索黑产产业链有了新的认识。

样本分析

样本主要功能：样本经过内存加载后，遍历磁盘文件，排除指定目录和后缀，搜索特定的文件，并与内置的字符串列表进行比对，窃取文档、源代码、比特别钱包、图片等文件，将匹配成功的文件上传至FTP服务器上，还会获取ARP表中的IP地址列表，搜索共享文件。

下列为具体分析过程。

样本外层经过复杂的混淆，给内置的ShellCode分配内存并调用：

内存加载：

获取磁盘信息之后开始遍历磁盘文件，排除的目录和指定文件如下：

其中出现了Ryuk的勒索信“RyukReadMe.txt”，排除的后缀名如下：

除此之外还会跳过经过Ryuk加密后的文件，.RYK为经过Ryuk勒索加密后的后缀名。

寻找以下指定后缀，主要目的是窃取源代码、文档、比特币钱包和图片等文件：

判断文件名是否存在如下字符串：

判断文件内容是否存在如下字符串：

将符合上述条件的文件上传到FTP服务器上，密码和账号均为anonymous：

在老版的代码中还会读取ARP表中的IP地址，搜索共享文件：

将内置的字符串列表进行分类，发现不少敏感词汇：

关联分析

在对老版的窃密模块进行分析时，我们发现老版并没有shellcode内存加载的行为，通过对新捕获窃密模块的shellcode进行分析关联，发现这套Shellcode不止应用于Ryuk的窃密模块，其背后应该存在一个分发商。

Shellcode对比图如下，左为关联的样本：

发现只有立即数不同其余完全相同，内存加载后发现是Phobos勒索软件：

在另一个关联样本中，shellcode对比图，左为关联样本：

内存加载后为Hermes勒索软件：

除了投放勒索软件，该分发商还会投放Spy类的软件，限于篇幅就不一一分析了。

目前，越来越多的勒索软件开始加入信息窃取的行列中，DoppelPaymer最近在其勒索信中宣布如果不支付赎金将会发布或出售窃取的信息。

在地下论坛中，勒索交易已然成为常态，出售勒索的代理商或者开发者比比皆是：

而有些开发者正在寻求分发商：

可见，窃密模块开发者，与勒索软件分发商的完美融合，或将给业界造成更大的打击。

总结

基于奇安信的多维度大数据关联分析，我们发现早在2019年九月份时Ryuk就已经使用“窃密”模块搜集被害者信息。已经监控到老版“窃密”模块已有国内用户中招，由于C2服务器早已失效，故损失面积较小：最新捕获的“窃密”模块暂无用户中招。

因此，鉴于国内有用户中招，奇安信病毒响应中心提醒用户，疫情在家远程办公，不要点击来源不明的邮件和可执行文件，同时提高个人的安全意识，从而可以防止用户隐私信息被盗取的风险，奇安信病毒响应中心会持续对勒索软件窃密趋势进行跟踪

同时基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC等，都已经支持对该家族的精确检测。

IOC

MD5：

fab16b4acf2515cd6b86f70531a05664

d1271a784906a817308eced597873667

73bbbc8ae0c442025a926402c114bd1e

FTP：

66.42.108.141

66.42.76.46

转载请注明来自网盾网络安全培训，本文标题：《新型商业模式：勒索软件窃取用户敏感文件》

标签：勒索软件