乐易论坛

 找回密码
 立即注册

微信登录

微信扫码,快速开始

QQ登录

用QQ账号登陆

 [性价比之最]外挂制作从0开始到精通
教程
教程
培训
培训
产品
产品
客服
客服
易歪歪客服聊天助手——永久免费易歪歪客服聊天助手——永久免费易歪歪客服聊天助手——永久免费
阿里云服务器低至10元/月我要租广告阿里云服务器低至10元/月
我要租广告阿里云服务器低至10元/月我要租广告
查看: 2964|回复: 1
收起左侧

[解决] "微Xin支付"勒索病毒愈演愈烈 边勒索边窃取支付宝密码

[复制链接]
  • TA的每日心情
    奋斗
    昨天 11:36
  • 签到天数: 533 天

    [LV.9]以坛为家II

    发表于 2018-12-4 14:24:25 | 显示全部楼层 |阅读模式

    乐易编程网免费注册!抓住机会哦!

    您需要 登录 才可以下载或查看,没有帐号?立即注册

    x
    提醒大家,使用模块一定要注意是官方下载

    "微Xin支付"勒索病毒愈演愈烈 边勒索边窃取支付宝密码原贴地址:https://www.cnbeta.com/articles/ ... cetag=s_pcqq_aiomsg

    "微Xin支付"勒索病毒愈演愈烈 边勒索边窃取支付宝密码2018年12月04日 07:28 次阅读 稿源:火绒安全 条评论

    感谢火绒安全的投递
    12月1日爆发的"微Xin支付"勒索病毒正在快速传播,感染的电脑数量越来越多。病毒团伙入侵并利用豆瓣的C&C服务器,除了锁死受害者文件勒索赎金(支付通道已经关闭),还大肆偷窃支付宝等密码。首先,该病毒巧妙地利用"供应链污染"的方式进行传播,目前已经感染数万台电脑,而且感染范围还在扩大;

    一、概述

    其次,该病毒还窃取用户的各类账户密码,包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘京东、QQ账号。其次,该病毒还窃取用户的各类账户密码,包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号。

    火绒团队强烈建议被感染用户,除了杀毒和解密被锁死的文件外,尽快修改上述平台密码。

    图:日均感染量图,最高13134台(从病毒服务器获取的数据)

    据火绒安全团队分析,病毒作者首先攻击软件者的电脑,感染其用以编程的"易语言"中的一个模块,导致开发者所有使用"易语言"编程的软件均携带该勒索病毒。广大用户下载这些"带毒"软件后,就会感染该勒索病毒。整过传播过程很简单,但污染"易语言"后再感染软件的方式却比较罕见。截止到12月3日,已有超过两万用户感染该病毒,并且被感染电脑数量还在增长。

    图:供应链污染流程

    此外,火绒安全团队发现病毒制作者利用豆瓣等平台当作下发指令的C&C服务器,火绒安全团队通过解密下发的指令后,获取其中一个病毒后台服务器,发现病毒作者已秘密收取数万条淘宝、天猫等账号信息。

    二、样本分析

    近期,火绒追踪到使用微Xin二维码扫描进行勒索赎金支付的勒索病毒Bcrypt在12月1日前后大范围传播,感染用户数量在短时间内迅速激增。通过火绒溯源分析发现,该病毒之所以可以在短时间内进行大范围传播,是因为该病毒传播是利用供应链污染的方式进行传播,病毒运行后会感染易语言核心静态库和精*模块,导致在病毒感染后编译出的所有易语言程序都会带有病毒代码。供应链污染流程图,如下图所示:

    供应链污染流程图

    编译环境被感染后插入的恶意代码

    在易语言精*模块中被插入的易语言恶意代码,如下图所示:

    精*模块中的恶意代码

    在被感染的编译环境中编译出的易语言程序会被加入病毒下载代码,首先会通过HTTP请求获取到一组加密的下载配置,之后根据解密出的网址下载病毒文件到本地执行。如上图红框所示,被下载执行的是一组"白加黑"恶意程序,其中svchost为前期报告中所提到的白文件,svchost运行后会加载执行libcef.dll中所存放的恶意代码。下载执行病毒相关代码,如下图所示:

    下载病毒文件相关代码

    病毒代码中请求网址包含一个豆瓣链接和一个github链接,两者内容相同,仅以豆瓣链接为例。如下图所示:

    请求到的网页内容

    上述数据经过解密后,可以得到一组下载配置。如下图所示:

    被解密的下载配置

    解密相关代码,如下图所示:

    解密代码

    通过配置中的下载地址,我们可以下载到数据文件,数据文件分为两个部分:一个JPG格式图片文件和病毒Payload数据。数据文件,如下图所示:


                                   
    登录/注册后可看大图

    数据文件

    libcef.dll

    libcef.dll中的恶意代码被执行后,首先会请求一个豆瓣网址链接(https://www.douban.com/note/69*56/)。与被感染的易语言编译环境中的病毒插入的病毒代码逻辑相同,恶意代码可以通过豆瓣链接存放的数据,该数据可以解密出一组下载配置。解密后的下载配置,如下图所示:

    下载配置

    下载代码,如下图所示:

    下载截取后的有效恶意代码数据中,包含有用于感染易语言编译环境的易语言核心静态库和精*模块。除此之外,下载的Payload文件中还包含有一个Zip压缩包,配合在病毒代码中所包含的通用下载逻辑,此处的Zip压缩包可能被替换为任意病毒程序。因为病毒作者使用供应链污染的传播方式,导致相关病毒感染量呈指数级增长。相关代码,如下图所示:

    定位Payload压缩包位置回写文件

    通过筛查豆瓣链接中存放的加密下载配置数据,我们发现在另外一个豆瓣链接(https://www.douban.com/note/69*26/)中存放有本次通过供应链传播的勒索病毒Bcrypt。下载配置,如下图所示:

    235041nl64vdiv6a9w6gc7.jpg

    下载配置

    我们在病毒模块JPG扩展名后,用"_"分割标注出了勒索病毒被释放时的实际文件名。最终被下载的勒索病毒压缩包目录情况,如下图所示:

    235051tgv4qxv41zmeqtpy.jpg

    勒索病毒压缩包目录情况

    三、病毒相关数据分析

    火绒通过病毒作者存放在众多网址中的加密数据,解密出了病毒作者使用的两台MySQL服务器的登录口令。我们成功登录上了其中一台服务器,通过访问,我们发现通过该供应链传播下载的病毒功能模块:至少包含有勒索病毒、盗号木马、色情播放软件等。

    我们还在服务器中发现被盗号木马上传的键盘记录信息,其中包括:淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号等共计两万余条。

    我们还在服务器中发现了Bcrypt病毒上传的勒索感染数据,通过仅对一台服务器数据的分析,我们统计到的病毒感染量共计23081台(数据截至到12月3日下午)。

    日均感染量,如下图所示:

    235102iqmavl6qcmozfgst.jpg

    日均感染量

    感染总量统计图,如下图所示:

    235112vikfkmlkaqflvlyv.jpg

    感染总量

    现火绒已经可以查杀此类被感染的易语言库文件,请装有易语言编译环境的开发人员下载安装火绒安全软件后全盘扫描查杀。查杀截图,如下图所示:

    235121cn0wqlll4ok232pq.jpg

    火绒查杀截图

    四、        附录

    样本SHA256:

    235134oshz2bzqmtcnmhop.jpg



    欢迎加入乐易论坛VIP,报名联系QQ 43989835
    VIP介绍和课程安排

    该用户从未签到

    发表于 2018-12-22 16:31:28 | 显示全部楼层
    好神奇~!!!
    欢迎加入乐易论坛VIP,报名联系QQ 43989835
    VIP介绍和课程安排
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    关闭

    乐易推荐上一条 /4 下一条

    QQ|网站地图|Archiver|手机版|小黑屋|乐易论坛 ( 冀ICP备14018763号-1 )

    GMT+8, 2019-3-21 03:55 , Processed in 0.043147 second(s), 72 queries , Redis On.

    Powered by Discuz! X3.4

    © 2001-2017 Comsenz Inc.

    快速回复 返回顶部 返回列表