邮件发送JS脚本传播敲诈者木马的分析报告

安天威胁态势感知系统2015年12月2日捕获到有新的传播特点的敲诈者变种邮件，其不再采用直接发送二进制文件载荷的传播模式，而是以一个存放在压缩包中的JS脚本为先导。

安天追影分析小组对相关事件和样本进行了分析。该样本系TeslaCrypt的另一个变种TeslaCrypt 2.x，邮件附近是一个zip压缩文件，解压zip文件得到一个js文件，运行js文件，会下载TeslaCrypt2.x运行，遍历计算机文件，对包括文档、图片、影音等186种后缀格式文件进行加密，加密完成后打开敲诈者的主页，在指定期限内需要支付500美元才能得到解密密钥，过期需要支付1000美元。因为TeslaCrypt2.x变种改变了密钥的计算方式，采用了ECDH算法，黑客与受害者双方可以在不共享任何秘密的情况下协商出一个密钥，采用此前思科等厂商发布的TeslaCrypt解密工具^[1]已经无法进行解密。

TeslaCrypt2.x版本通过发送大量邮件进行传播，邮件截图如下：

邮件直接称呼Hello，没有给出具体的姓名，邮件正文：“请查收附件，电子邮件的文档会邮寄给您，本电子版本是发送给您方便查看“。为了表明邮件的重要性敲诈者在邮件中强调邮件正通过传统方式邮寄，这样收件人认为可能是重要的邮件而查看相关附件。

邮件的附件为invoice_06796407.zip ，经过解压获得INVOICE_main_BD3847636213.js文件，是一个下载者功能，用来下载TeslaCrypt 2.x并执行。

3.1js脚本文件

INVOICE_main_BD3847636213.js文件采用了变形加密躲避杀软检测，通过Eval函数进行自解密可以获得明文代码，当用户双击这个js文件，其会从三个网络地址顺序下载可执行文件到Temp目录下并执行。如果第一个地址下载成功并运行，则后续两个地址就不会进行下载。网络地址以空格分割：

74.117.183.84/76.exe

5.39.222.193/76.exe

bestsurfinglessons.com/wp-includes/theme-compat/76.exe

相关代码在解密前后的内容对照如下：

3.2  对应敲诈者样本分析

该变种和此前的Tesla报告中恶意行为大致相同，可以参考另一安全团队isightpartners之前发布的报告^[2]。样本运行后对文档进行AES256加密，保存恢复文件所需信息到注册表和文本文件。并发送相关信息给黑客控制的Tor服务器。

样本使用花指令以及反调试技术,会以挂起方式启动自身，读取自身数据解密后重写入新的挂起进程，并判断自身路径是不是指定的一个Application Data文件路径，若不是则移到该目录并修改文件名为随机5位字母-a.exe，(例如mghsd-a.exe)。 创建一个固定的互斥量值“78456214324124” 动态分析环境下追影设备也发现了其采用bcedit禁用安全模式、恢复模式，在注册表创建自启动项：HCURSoftwareMicrosoftWindowscurrentVesionrun。

接下来创建多个工作线程，其中一些关键线程行为分析如下：

1)删除系统里的卷影副本，vssadmin.exe delete shadows /all /Quiet

2)启动线程遍历进程路径，如果路径中包含Taskmgr、procexp、regedit、msconfig、cmd.exe任意一个字符串则结束相关进程， 这样CMD、任务管理器，进程查看工具无法打开，就无法查看和结束恶意样本进程。

3)另一个线程主要进行联网上报信息给黑客控制的服务器，连接的网址主要有如下几个：

其中访问 myexternalip.com/raw获取受害主机的外网IP信息。

访问下面的网络地址提交信息:

表 3-1 访问网络域名列表

基本上都是Get请求连接PHP文件，请求中的参数组成格式以及某次请求数据如下：

Sub=%s&key=%s&dh=%s&addr=%s&size=%lld&version=%s&OS=%ld&ID=%d&gate=%s&ip=%s&inst_id=%X%X%X%X%X%X%X%X，实际发送的数据如下图所示：

4)        再一个线程就是恶意的核心功能了加密特定后缀文件：

首先获取本地系统上存在的所有磁盘信息，如果是本地磁盘和网络磁盘的话，遍历磁盘所有文件，当文件名含有recove、.vvv就直接放行，如果没符合的，就检测文件的扩展名，如果扩展名匹配了下列中任意一个就会开始恶意加密文件：

.r3d .css .fsh .lvl .p12 .rim .vcf .3fr .csv .gdb .m2 .p7b .rofl .vdf .7z .d3dbsp .gho .m3u .p7c .rtf .vfs0.accdb .das .hkdb .m4a .pak .rw2 .vpk .ai .dazip .hkx .map .pdd .rwl .vpp_pc .apk .db0 .hplg .mcmeta .pdf .sav .vtf .arch00 .dba .hvpl .mdb .pef .sb .w3x .arw .dbf .ibank .mdbackup .pem .sid .wb2 .asset .dcr .icxs .mddata .pfx .sidd .wma .avi .der .indd .mdf .pkpass .sidn .wmo .bar .desc .itdb .mef .png .sie .wmv .bay .dmp .itl .menu .ppt .sis .wotreplay .bc6 .dng .itm .mlx .pptm .slm .wpd .bc7 .doc .iwd .mov .pptx .snx .wps .big .docm .iwi .mp4 .psd .sql .x3f .bik .docx .jpe .mpqge .psk .sr2 .xf .bkf .dwg .jpeg .mrwref .pst .srf .xlk .bkp .dxg .jpg .ncf .ptx .srw .xls .blob .epk .js .nrw .py.sum .xlsb .bsa .eps .kdb .ntl .qdf .svg .xlsm .cas .erf .kdc .odb .qic .syncdb .xlsx .cdr .esm .kf .odc .raf .t12 .xxx.cer .ff .layout .odm .rar .t13 .zip.cfr .flv .lbf .odp .raw .tax .ztmp.cr2 .forge .litemod .ods .rb .tor .crt .fos .lrf .odt .re4 .txt .crw .fpk .ltx .orf .rgss3a .upk

相关的加密过程以及加密文件格式可以参考卡巴的分析文章，主要是采用了ECDH算法进行加密密钥的生成[3]。之前的思科Tesla解密工具^[2]可以解密Tesla早期变种，其早起变种会保存密钥到文件“key.bat”。而Tesla2.x变种的密钥生成和保存发生变化，会保存在注册表。

HKCUHKEY_CURRENT_USERSoftwareHKEY_CURRENT_USERSoftwareCE14F27E7D3E895，其中7CE14F27E7D3E895是个人标识码，每个用户不同，黑客服务器上根据这个标识来识别用户。注册表中保存的信息和下面生成的recover_file_*.txt相同。

加密后的数据覆盖源文件，然后重新修改文件名。除了感染本机，还会试图枚举网络中的计算机，尝试感染加密其中的文件。当全部加密完成后，就会在My Documents目录下生成跟文件恢复相关recover_file_*.txt的文件，其中的内容如下：

然后在用户桌面上生成如下三种格式的Howto_RESTORE_FILES文件并打开，用来提醒用户用的：

最后弹出警告页，提示访问敲诈者的主页，提示密钥被加密，可以访问敲诈者的服务器获取密钥。

需要在指定期限支付500美元才能得到解密秘钥，过期需要支付1000美元。

安天分析工程师发现为了躲避追踪，敲诈者的网络服务器是隐藏在Tor网络之后。点击敲诈者提供的访问页面效果如下：需要输入验证码，可以防止自动化的遍历查询中毒者信息。

经过关联数据发现下面几个网址的指向的服务器是相同的，都是这个特斯拉2.x敲诈者变种的服务器，尝试使用相同的ID在这三个网站进行查询到的信息是一样的。

psbc532jm8c.hsh73cu37n1.net

alcov44uvcwkrend.onion.to

7vhbukzxypxh3xfy.onion.to

受害者IP120.72.5.187，可以看到两个网址返回的数据一致。

如果敲诈者使用的上报服务器被网络安全设备拦截，无法接收到上报的加密信息，到这个查询页面利用个人码查询的时候，会提示登录不成功，为了能够提供解密服务，敲诈者设计了一个功能就是将“我的文档“文件夹下面保存的recover_file_xxxxx.txt文件上传即可获取被加密的相关信息。如下图：

通过对网络架构的关联发现一个解密的URL程序

http://psbc532jm8c.hsh73cu37n1.net/decrypt.zip

MD5：AE3E2206ACB24A60FF583F2CF0C77E59

其中包含PDB信息C:wrkdecryptdecryptReleasedecrypt.pdb，从样本功能中可以看到利用OpenSSL ECDH 方法的公私钥加密解密算法。也印证了这个版本采用ECDH密钥对文件加密的密钥进行加密的方法。

敲诈者软件此前通过邮件打包传播可执行PE载荷，通过双扩展名、SCR扩展名等技巧进行传播，而在这一轮传播攻势中，其利用js格式的伪装性，逃避杀软的检测和防御。同时，特斯拉2.x敲诈者采用ECDH加密算法，其已经无法再通过此前的逆向获取密钥的方式来解密文件，对用户的数据安全，具有更大的威胁。

从我们过去的监测发现，敲诈型恶意代码的威胁对象，的受害对象，正在从原有的个人用户，广泛的延伸到企业用户，甚至出现了服务器被感染的案例。安天已经在PTD探海威胁检测系统、IEP智甲终端防御系统中，专门强化了对敲诈者木马的检测防御能力。

随着数据安全威胁日益增长，行业企业用户同样需要通过能力型网络安全产品有效改善感知防御盲区，建立纵深防御体系，并通过威胁情报平台及时获取威胁信息。快速发现威胁，降低风险进一步扩散。

[1]      teslacrypt和修复工具

https://blogs.cisco.com/security/talos/teslacrypt

[2]      teslacrypt-2行为分析

http://www.isightpartners.com/2015/09/teslacrypt-2-0-cyber-crime-malware-behavior-capabilities-and-communications

[3]      teslacrypt 2.0伪装cryptowall

https://securelist.com/blog/research/71371/teslacrypt-2-0-disguised-as-cryptowall/