تحلیلی بر باج افزار LooCipher

//تحلیلی بر باج افزار LooCipher

تحلیلی بر باج افزار LooCipher

باج افزار خطرناک جدید: LooCipher

باج افزار جدیدی به محدوده تهدیدات دنیای دیجیتال پا گذاشته است. این باج افزار نام جالب اما عملکرد خطرناکی دارد: LooCipher

معرفی باج افزار LooCipher

نام این باج افزار به قابلیت و عملکرد آن مرتبط است (Cipher) و بخش اول آن هم یک شخص دینی معروف، Lucifer است. در این مطلب سعی بر این است که نحوه عملکرد این باج افزار و راهکار شناسایی آن ارائه شود.

تحلیل فنی

برخلاف اکثر باج افزارها، LooCipher از یک سند مجهز به ماکرو به عنوان انتقال دهنده تهدید واقعی استفاده می کند. ما دو فایل word متفاوت برای استقرار باج افزار شناسایی کردیم، نام این فایل ها، “Info_BSV_2019.docm”  و  “Info_Project_BSV_2019.docm” بود. هر دو فایل طراحی بسیار ضعیفی داشتند و حاوی یک متن بودند که از کاربر برای فعالسازی اجرای ماکرو دعوت می کرد.

شکل 1. محتوای سند

با بررسی دقیق محتوا، payload حداقلی کد ماکرو را بازیابی کردیم: تنها هدف آن دانلود باج افزار از آدرس “hxxp://hcwyo5rfapkytajg.onion[.]pet/2hq68vxr3f.exe”  و اجرای آن است.

نویسنده این ماکرو دقت کافی برای مبهم سازی کد آن به خرج نداده بود، حتی برخی رشته های نظر همچون //binary و //overwrite قابل مشاهده بود.

شکل2. کد ماکرو

با اولین اجرا، عملیات رمزنگاری فایل‌های سیستم قربانی به جز فولدرهای سیستم و برنامه‌ها: “Program Files” و “Program Files (x86)” و  “Windows” آغاز می شود. واضح است که این حقه برای جلوگیری از تخریب فایل های مورد نیاز برای شروع سیستم عامل به کار گرفته شده است تا کاربر بتواند به رایانه خود لاگین کند و درخواست باج را ببیند.

شکل3. فولدرهای مجزا شده توسط باج افزار

پس از یک فاز طولانی لیست کردن فایل ها، باج افزار همه فایل هایی را که به پسوندهای زیر ختم می شوند، رمز می کند:

.jpg, .jpeg, .xml, .xsl, .wps, .cmf, .vbs, .accdb, .cdr, .svg, .conf, .config, .wb2, .msg, .azw, .azw1, .azw3, .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, .asp, .aspx, .cgi, .php, .py, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .jar, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .x3f, .srw, .pef, .raf, .rf, .nrw, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .eps, .pdd, .dng, .dxf, .dwg, .psd, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .3g2, .3gp, .asf, .asx, .mpg, .mpeg, .avi, .mov, .flv, .wma, .wmv, .ogg, .swf, .ptx, .ape, .aif, .av, .ram, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa3, .amr, .mkv, .dvd, .mts, .vob, .3ga, .m4v, .srt, .aepx, .camproj, .dash, .zip, .rar, .gzip, .mdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri, .cdi, .ai, .doc, .docm, .docx, .dxg, .odb, .odm, .odp, .ods, .odt, .orf, .ppt, .pptm, .pptx, .rtf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .pdf, .mobi, .epub, .sage

در حین فاز رمزنگاری، برای رمزنگاری هر فایل، باج افزار یک کپی رمزنگاری شده از فایل ها را ایجاد می کند اما فایل های اصلی را حذف نمی کند بلکه محتوای فایل های اصلی را پاک نموده و سایز 0-بایت را فورس می کند.

شکل 4. مثال یک فایل رمز شده به همراه یک فایل اصلی خالی

مشخص نیست که آیا این مکانیسم از یک کد دارای باگ ایجاد می شود یا ویژگی خاص این بدافزار است.

شکل 5. عملیاتی که در حین فاز رمزنگاری انجام می شود

زمانی که فاز رمزنگاری به پایان می رسد، یک فولدر FAQ  حاوی یک فایل ایجاد می کند که در آن راهنمایی برای نحوه پرداخت باج توسط قربانی از طریق یک فرم Q&A وجود دارد.

شکل 6. فایلی که حاوی دستورالعمل های پرداخت است

همان گونه در فایل دستورالعمل پرداخت گفته شده است، قربانی فقط 5 روز فرصت دارد تا پرداخت را انجام دهد. پس از این مهلت، کلید رمز به طور خودکار نابود می شود و هیچ راهی برای بازگرداندن محتوای رمز شده کاربر وجود ندارد. اطلاعات مشابهی نیز در تصویر بک گراند نمایش داده می شود.

شکل 7. تصویر بک گراند شامل اطلاعات در خصوص پرداخت

به محض این که فاز رمزنگاری به پایان می رسد، فرایند مخرب با C2 خودش ارتباط می گیرد و اطلاعات مربوط به ماشین آلوده شده را ارسال می کندو آدرس بیت کوین را در پنجره پاپ آپ نمایش می دهد.

شکل 8. مثالی از درخواست HTTP برای درخواست آدرس BTC

مشخص شد که C2 در شبکه TOR  با آدرس “hxxp://hcwyo5rfapkytajg[.]onion” هاست شده است، بنابراین بداقزار از سرویس هایی استفاده می کند که به عنوان پروکسی هایی بین دارک نت و شبکه غیر دارک کار می کنند تا عملیات مخرب خود را به آسانی انجام دهند و از نصب کتابخانه های TOR بر روی ماشین قربانی جلوگیری می کند. این سرویس ها موارد زیر بودند:

درخواست ارسال شده توسط بدافزار شامل اطلاعاتی همچون User-ID  است که به ماشین قربانی در حین فاز رمزنگاری

توسط |2019-07-06T00:09:55+03:304th جولای, 2019|دسته‌ها: باج افزار|برچسب‌ها: |بدون دیدگاه

درباره نویسنده:

دیدگاه خود را بنویسید

 

 

کارهای اخیر