恶意软件经常冒充合法软件加速扩散,安全厂商趋势科技近日发现最新勒索软件,伪装成Google软件更新(Google Software Update)App传播(下图),还大胆使用微软的网页托管IP掩人耳目,并以多种手法躲避安全产品侦测。
图片来源/趋势科技
HavanaCrypt是一个.NET应用程序,使用开源的.NET代码混淆工具Obfuscar(下图)保护其程序代码,并以名为QueueUserWorkItem的.NET System.Threading命名空间方法,将多个执行步骤队列执行。分析显示,它使用了颇高明的手法避免被侦测到。例如,它一经执行即隐藏其窗口、检查AutoRun注册表有无“Google Update”注册表,若未找到就继续执行。接下来,它会启动反虚拟化流程,旨在确保可回避VM中的动态分析。例如,它会检查有无VMWare Tools或vmmouse,或是和VM有关的文件、执行文件及MAC address。一旦侦测到系统是在VM中执行,就终止执行。
图片来源/GitHub
完成所有检查后,HavanaCrypt从微软网页托管服务的IP地址下载一个批次(batch)档。这个批次档包含可设置Windows/Microsoft Defender扫描指令,使其略过Windows和User目录下的任何文件。它还会关闭数十种行程,包括MS SQL Server、MySQL,以及Microsoft Office和Steam、Firefox等PC机应用程序。
关闭所有行程后,HavanaCrypt会查询所有磁盘、删除所有磁盘区阴影复制(shadow copies)、将最大存储空间调到401MB,再以Windows Management Instrumentation(WMI)识别出系统恢复执行实例,再将之删除。它还会自我复制执行文件到ProgramData和StartUp文件夹中,并设为隐藏档或系统文件。
等完成前述准备动作后,HavanaCrypt得以搜集机器多项资讯,包括处理器核心数、处理器名称ID、socket、主板厂商及名称、BIOS版本及产品号码等。
在加密文件时,这只恶意软件利用KeePass Password Safe(下图)产生加密密钥。被加密的文件名称都会加入.Navana的文件扩展名。它会避免加密某些文件扩展名,或是在特定目录下的文件,像是Tor浏览器,显示恶意程序作者计划使用Tor网络和受害者通信。
研究人员表示,把自己的C&C服务器架在微软的网页托管服务IP地址上,而且使用合法的加密工具KeePass来加密受害者文件,都是勒索软件较少见的行为。研究人员尚未发现勒索消息文件,显示它尚未开发完成。