伊莉論壇勒索事件分析

那一天人們終於回想起,曾經一度加密電腦檔案的恐懼,還有回憶轉瞬消失殆盡的扼腕…

近期臺灣知名討論區伊莉論壇(eyny)散布勒索軟體鬧得滿城風雨,於是筆者特此燒腦寫了這篇文章。目的為提醒各位: 當受信任的來源成為攻擊幫兇時,後續損害也會更加深遠。​

序曲

論壇管理員說明,自4/23至24日期間系統遭駭客入侵並放置假Flash player更新通知。以下是內文翻譯:

"目前所安裝的版本:21.0.0.182 PPAPI(Chrome,Windows),過期的Flash Player可能會導致某些內容不正確顯示, Adobe建議您始終安裝最新的更新。點擊“立即更新”按鈕,即表示您已閱讀並同意Adobe軟體許可協議。"

由於該論壇過去從未要求用戶,需安裝第三方工具才能獲得存取特定頁面的權限,這個高仿真的更新頁面便很快地引起討論。雖有部分用戶警覺論壇可能遭到入侵,但多數人仍不覺有他,按彈出視窗指示下載&安裝。

直到用戶的桌面出現不停倒數、既熟悉又陌生的綠色視窗,才發現為時已晚。

 

概要 

威脅本身 (install_flash_player_ax.exe.exe) 是一雙後綴的可執行文件,裡頭包含四個檔案( .exe與.dll各二 )。

行為剖析

ThunderCrypt初期不會立即加密檔案,相反的這耐心的傢伙會等到用戶安裝自帶的Flash player 25安裝檔後才會進行下一步。期間工作管理員會顯示數量不等的PowerShell.exe正在背景執行,安裝檔則在活動後被刪除。

( 附圖中的PowerShell正與位於法國的212.47.237.95進行通信 )

程式調用了WinAPI" Sleep() "延遲執行,這類停頓指令常於惡意行為前執行以增加自身存活機率,它們倚靠用戶特定動作觸發、或單純讓自動分析系統計算冗餘數據。

新增"HKLM:\Software\Microsoft\Windows\CurrentVersion\Shell"這筆登錄項,接著PowerShell將base64內容解碼後寫入記憶體,以下是酬載完整內容:

基於PowerShell的惡意酬載(Payload)大多以base64編碼的腳本出現。另外一徵兆則是對" FromBase64String "函數的使用,因為攻擊者常以此形式儲存指令或傳遞資料。儘管base64編碼並不一定是惡意的,但許多針對PowerShell打造的無文件攻擊均會引用這個函數。

下圖的PowerShell命令用來刪除所有檔案快照。

ThunderCrypt聲明它們使用了RSA-2048公鑰加密,並要脅如不付錢就會刪除檔案,不過相對也提供一次免費解密3mb大小檔案做為證明。ThunderCrypt背後作者曾將檔案託管在GitHub上,事發後該頁面已遭到刪除。

後續推論

就測試結果而言,ThunderCrypt與其他勒索相比顯得有些小巫見大巫。因為本次用戶案例並非棘手的無文件攻擊 (進入網站剎那間即受感染),而是傳統的欺騙安裝。即使如此仍有一定數量的用戶受到影響,可能原因請參考時間軸:

  1. ThunderCrypt最早上傳的紀錄為4月23日,檢測率不到2成

  2. 隔天24日論壇管理員發佈公告

  3. 4/26 ~ 5/3期間陸續浮出曾受害用戶,事件擴張

  4. 5/2至今其他漏報廠商先後入庫

上圖可看出ThunderCrypt剛被發現時只有11家廠商檢測到,而根據各方入庫的先後時間又向後延了數天。換句話說威脅在用戶系統裡的安全軟體發現前就其門而入,這中間所經歷空窗期便是俗稱的零時差攻擊 ( Zero-day attack )。

 

不只系統需要修補,腦袋也是

此次事件對該論壇造成不小後續影響,包括用戶對服務提供者的信賴。儘管網站方面確實是受害方,面對輿論仍難辭其咎。

有部分用戶批評,目前論壇背後所使用的Discuz!平臺仍停留在2012年4月7日所發佈的 X2.5版、PHP程式庫也久未更新。此外我們也發現到論壇包含登錄等所有頁面均缺乏最基本的HTTPS加密,種種問題不難讓人聯想到漏洞遭駭客利用的可能性。

除了Spotify、雅虎的前車之鑑,此次事件同樣再度提醒身為用戶的我們: 即使信任來源仍要小心求證。

 

文章來源: https://anulabs.wixsite.com/official/single-post/eyny-thundercrypt

圖片來源: https://www.google.com.tw/?gws_rd=ssl

#網路安全

#駭客

#勒索軟體

#威脅分析

You may also like...

發表迴響