最新的 SolidBit变体伪装成不同的应用程序以吸引游戏玩家和社交媒体用户。SolidBit 勒索软件组织似乎正计划通过这些欺诈性应用程序和招募勒索软件即服务合作公司来扩大其业务。
趋势科技研究人员最近分析了一个针对流行视频游戏和社交媒体平台用户的新 SolidBit 勒索软件变体样本。该恶意软件被上传到 GitHub,伪装成不同的应用程序,包括英雄联盟帐户检查工具和Instagram follower bot,以吸引受害者。
GitHub 上的英雄联盟帐户检查器与一个包含如何使用工具的说明的文件捆绑在一起,但这只是伪装:它没有图形用户界面(GUI ) 或与其假定功能相关的任何其他行为。当毫无戒心的受害者运行该应用程序时,它会自动执行恶意 PowerShell 代码以释放勒索软件。勒索软件附带的另一个文件名为“源代码”,但这似乎与编译后的二进制文件不同。
一个名为“Rust LoL Accounts Checker”的恶意应用程序的图标
GitHub 上伪装成英雄联盟帐户检查工具的 SolidBit 勒索软件变体
关于在 Github 上发布的欺诈性英雄联盟帐户检查器的详细信息
GitHub 上与 SolidBit 的欺诈性英雄联盟帐户检查器捆绑在一起的文件之一
在与帐户检查器捆绑的文件中,我们还发现了一个名为 Rust LoL Accounts Checker.exe的可执行文件,该文件受 Safengine Shielden 保护,该文件对示例和应用程序进行了混淆,从而使逆向工程和分析更加困难。执行此文件时,会出现一个错误窗口,并声称已检测到调试工具,这可能是恶意软件的反虚拟化和反调试功能之一。
使用 Detect It Easy 找到的 Rust LoL Accounts Checker.exe 的文件属性,detect it easy是一款跨平台的PE查壳工具,也就使我们常见的查壳软件,它和我们常用的Exeinfo PE,PEiD,FastScanner原理与功能都是一样的,不过因开发者不同,壳的识别率有区别。
执行 Rust LoL Accounts Checker.exe 时出现的弹出窗口
如果用户点击此可执行文件,它将删除并执行 Lol Checker x64.exe,该文件会运行恶意 PowerShell 代码,从而删除并执行 SolidBit 勒索软件。在 VirusTotal 和 AnyRun 中旋转二进制文件后,我们发现 Rust LoL Accounts Checker.exe 使用以下命令下载并执行 Lol Checker x64.exe:
cmd /c start "" %TEMP%\LoL Checker x64.exe
执行 Lol Checker x64.exe 时,它将开始禁用 Windows Defender 的计划扫描以及对以下文件夹和文件扩展名的任何实时扫描:
%UserProfile%, %AppData%, %Temp%, %SystemRoot%, %HomeDrive%, %SystemDrive% .exe .dll
该文件使用以下 PowerShell 命令禁用这些扫描:
cmd /c powershell -Command "Add-MpPreference -ExclusionPath @($env:UserProfile,$env:AppData,$env:Temp,$env:SystemRoot,$env:HomeDrive,$env:SystemDrive) -Force" & powershell -Command "Add-MpPreference -ExclusionExtension @('exe','dll') -Force" & exit;
成功禁用 Windows Defender 扫描这些目录后,该文件将删除并执行文件 Runtime64.exe,我们将其分析为 SolidBit 勒索软件,使用以下命令提示符:
cmd /c start "" %TEMP%\Runtime64.exe
这个新版本的 SolidBit 勒索软件是一个 .NET 编译的二进制文件。使用调试器和 .NET 程序集编辑器 DnSpy 打开 Runtime64.exe 后,我们发现该文件被混淆了。我们使用名为 de4dot 的 .NET 去混淆器和解包器工具来使字符串可读。
使用 Detect It Easy Tool 的二进制文件属性
使用de4dot对文件进行反混淆处理之前(左)和之后(右)的比较
勒索软件会创建一个互斥锁,如果发现设备上已经运行了它自己的另一个副本,它就会终止。
由SolidBit勒索软件创建的互斥锁
它还将为名为“SoftwareMicrosoftWindowsCurrentVersionRun”的目录创建一个注册表项,并将值“UpdateTask”作为其自动启动机制。
SolidBit 的自动启动机制的注册表项
在加密之前,勒索软件会检查目录是否在根路径下,并避开以下文件和目录,如下图所示:
\\ProgramData $Recycle.Bin AMD appdata\\local appdata\\locallow autorun.inf boot.ini boot.ini bootfont.bin bootmgfw.efi bootsect.bak desktop.ini Documents and Settings iconcache.db Intel MSOCache ntuser.dat ntuser.dat.log ntuser.ini NVIDIA PerfLogs ProgramData Program Files Program Files (x86) thumbs.db users\\all users Windows Windows.old
SolidBit 勒索软件检查要避免的文件
此 SolidBit 变体使用 256 位高级加密标准 (AES) 加密来加密受害者计算机中的文件。附加在加密文件内容中的密钥将充当 SolidBit 的感染标记。密钥来自通过 Rivest-Shamir-Adleman (RSA) 加密并编码为 Base 64 的二进制硬编码字符串。勒索软件还将 .SolidBit 文件扩展名附加到加密文件并更改其文件图标(图 14)。它的加密例程只加密具有特定文件扩展名的文件。
SolidBit 勒索软件的加密例程
文件的加密内容
一个被SolidBit勒索软件加密的文件
这个 SolidBit 变体还将终止多个服务,删除所有卷影副本和备份目录,并删除受害者计算机中的 42 个服务。
SolidBit 删除卷影副本
SolidBit 删除备份目录
它还将删除一个文件 RESTORE-MY-FILES.txt,其中包含有关受害者如何向每个目录支付赎金的说明,并在受害者的设备上显示一个弹出窗口。
SolidBit 勒索软件释放的勒索信
SolidBit 勒索软件在受害者屏幕上显示的弹出窗口
SolidBit 被怀疑是 LockBit 勒索软件的模仿者,因为两者在聊天支持网站的格式和勒索信的文件名上有相似之处。
LockBit(左)和 SolidBit(右)聊天支持网站的相似之处
LockBit(左)和 SolidBit(右)的勒索信
但是,SolidBit 勒索软件是使用 .NET 编译的,实际上是 Yashma 勒索软件的变体,也称为 Chaos。SolidBit 的勒索软件攻击者目前可能正在与 Yashma 勒索软件的原始开发者合作,并可能修改了 Chaos 构建器的一些功能,后来将其重新命名为 SolidBit。
SolidBit 勒索软件(左)和 Yashma 勒索软件(右)的功能介绍
SolidBit 勒索软件(左)和 Yashma 勒索软件(右)检查目标系统目录中的文件
与早期 SolidBit 变体的 159 KB 相比,新的 SolidBit 样本比其前身大 5.56 MB。它使用虚假League of LegendsAccount Checker 应用程序来删除其勒索软件有效负载是其武器库中的一项新技术。
除了欺诈性的英雄联盟帐户检查器应用程序之外,上述 GitHub 帐户还上传了这个新的 SolidBit 变体,伪装成其他名为“Social Hacker”和“Instagram Follower Bot”的合法应用程序。但是,在撰写本文时,该帐户已被删除。
伪装成名为 Social Hacker 的应用程序的新 SolidBit 勒索软件变体的文件属性
伪装成名为 Instagram Follower Bot 的应用程序的新 SolidBit 勒索软件变体的文件属性
这两个恶意应用程序在虚拟机上执行时都会显示错误消息,它们表现出与虚假英雄联盟帐户检查器相同的行为,其中它们释放并执行一个可执行文件,而该可执行文件又会释放并执行 SolidBit 勒索软件有效负载。
Social Hacker 和 Instagram Follower Bot 应用程序在虚拟机上运行时显示的错误消息
三个包含新 SolidBit 变体的恶意应用程序的执行流程
SolidBit 背后的攻击者不仅仅将恶意应用程序作为传播勒索软件的手段。一名研究人员发现,SolidBit 勒索软件组织还于 6 月 29 日在地下论坛上发布了招聘广告,为他们的勒索软件即服务 (RaaS) 活动招募潜在的合作机构。这些负责渗透受害者系统并传播 SolidBit 的合作机构将获得 80% 的勒索软件支出作为佣金。
SolidBit 勒索软件背后的恶意软件开发者似乎正准备通过招募勒索软件即服务合作伙伴来扩大其业务,这些合作伙伴将在新发现的变体的传播方法之上促进更广泛的感染。SolidBit 的开发者提供的高比例佣金可能会吸引其他机会主义者,因此我们预计该勒索软件组织在不久的将来会有更多活动。
虽然勒索软件将自己伪装成合法程序或工具作为社会工程诱饵并不是什么新鲜事,但 SolidBit 的新变体针对的是拥有大量用户群的游戏和应用程序。这使得 SolidBit 的勒索软件攻击者可以广泛覆盖潜在受害者,而可能不精通安全卫生的用户(例如儿童或青少年)可能会成为欺诈性应用程序和工具的受害者,就像之前的Minecraft和Roblox恶意软件感染的情况一样。
最终用户和组织都可以通过遵循以下安全最佳实践来降低勒索软件感染的风险:
1.启用多因素身份验证 (MFA) 以防止攻击者在网络内执行横向移动;
2.备份重要文件时,请遵守 3-2-1 规则,即以两种不同的文件格式创建三个备份副本,其中一个副本存储在单独的位置。
3.定期修复和更新系统。保持操作系统和应用程序处于最新状态非常重要,这将防止恶意行为者利用任何软件漏洞。
4.使用多层检测和响应的安全解决方案中受益。
参考及来源:https://www.trendmicro.com/en_us/research/22/h/solidbit-ransomware-enters-the-raas-scene-and-takes-aim-at-gamer.html