邮件发送邮件发送 js 脚本传播敲诈者木马的分析报告脚本传播敲诈者木马的分析报告安天安天 版权所有版权所有第第 1 页页 / 共共 1 页页邮件发送 js 脚本传播敲诈者木马的分析报告安天实验室安天实验室文档信息文档信息作者安天追影小组发布日期2015 年 12 月 4 日背景介绍安天威胁态势感知系统 2015 年 12 月 2 日捕获到有新的传播特点的敲诈者变种邮件，其不再采用直接发送二进制文件载荷的传播模式，而是以一个存放在压缩包中的 JS 脚本为先导。安天追影分析小组对相关事件和样本进行了分析。该样本系TeslaCrypt 的另一个变种 TeslaCrypt 2.x，邮件附近是一个 zip压缩文件，解压 zip 文件得到一个 js 文件，运行 js 文件，会下载TeslaCrypt2.x 运行，遍历计算机文件，对包括文档、图片、影音等 186 种后缀格式文件进行加密，加密完成后打开敲诈者的主页，在指定期限内需要支付 500 美元才能得到解密密钥，过期需要支付 1000 美元。因为 TeslaCrypt2.x 变种改变了密钥的计算方式，采用了 ECDH 算法，黑客与受害者双方可以在不共享任何秘密的情况下协商出一个密钥，采用此前思科等厂商发布的TeslaCrypt 解密工具1已经无法进行解密。版权说明本文版权属于安天实验室所有。本着开放共同进步的原则，允许以非商业用途使用自由转载。转载时需注明文章版权、出处及链接，并保证文章完整性。以商业用途使用本文的，请联系安天实验室另做授权。报告初稿完成时间：报告初稿完成时间：2015 年年 12 月月 04 日日 11 时时 11 分分 邮件发送 JS 脚本传播敲诈者木马的分析报告 安天追影小组 邮件发送 js 脚本传播敲诈者木马的分析报告 安天实验室 版权所有，欢迎无损转载 第 2 页 目 录 1 概述. 1 2 社工邮件传播 . 1 3 事件样本分析 . 2 3.1 JS脚本文件： . 2 3.2 对应敲诈者样本分析 . 3 4 TESLA2.X 网络架构分析 . 8 5 总结. 10 附录一：参考资料 . 11 附录二：关于安天 . 11 附录三：TESLACRYPT2.X MD5 . 11 邮件发送 js 脚本传播敲诈者木马的分析报告 安天实验室 版权所有，欢迎无损转载 第 1 页 1 概述 安天威胁态势感知系统 2015 年 12 月 2 日捕获到有新的传播特点的敲诈者变种邮件， 其不再采用直接发送二进制文件载荷的传播模式，而是以一个存放在压缩包中的 JS 脚本为先导。 安天追影分析小组对相关事件和样本进行了分析。 该样本系TeslaCrypt的另一个变种TeslaCrypt 2.x，邮件附近是一个 zip 压缩文件， 解压 zip 文件得到一个 js 文件， 运行 js 文件， 会下载 TeslaCrypt2.x 运行，遍历计算机文件，对包括文档、图片、影音等 186 种后缀格式文件进行加密，加密完成后打开敲诈者的主页，在指定期限内需要支付 500 美元才能得到解密密钥，过期需要支付 1000 美元。因为 TeslaCrypt2.x变种改变了密钥的计算方式，采用了 ECDH 算法，黑客与受害者双方可以在不共享任何秘密的情况下协商出一个密钥，采用此前思科等厂商发布的 TeslaCrypt 解密工具1已经无法进行解密。 2 社工邮件传播 TeslaCrypt2.x 版本通过发送大量邮件进行传播，邮件截图如下： 邮件直接称呼 Hello，没有给出具体的姓名，邮件正文： “请查收附件，电子邮件的文档会邮寄给您，本电子版本是发送给您方便查看 “。 为了表明邮件的重要性敲诈者在邮件中强调邮件正通过传统方式邮寄，这样收件人认为可能是重要的邮件而查看相关附件。 邮件发送 js 脚本传播敲诈者木马的分析报告 安天实验室 版权所有，欢迎无损转载 第 2 页 邮件的附件为 invoice_06796407.zip ，经过解压获得 INVOICE_main_BD3847636213.js 文件，是一个下载者功能，用来下载 TeslaCrypt 2.x 并执行。 3 事件样本分析 3.1 js 脚本文件：脚本文件： 病毒病毒名名称称 Torjan/JS.Downloader.gen 原原始始文件文件名名 INVOICE_main_BD3847636213.js MD5 0352ACD36FEDD29E12ACEB0068C66B49 文件文件大小大小 6.48KB (6,644 字节) 解释解释语言语言 Jscript VT 首首次上传时间次上传时间 2015-12-02 VT 检检测结果测结果 23/52 INVOICE_main_BD3847636213.js 文件采用了变形加密躲避杀软检测，通过 Eval 函数进行自解密可以获得明文代码，当用户双击这个 js 文件，其会从三个网络地址顺序下载可执行文件到 Temp 目录下并执行。如果第一个地址下载成功并运行，则后续两个地址就不会进行下载。网络地址以空格分割： 74.117.183.84/76.exe 5.39.222.193/76.exe bestsurfinglessons.com/wp-includes/theme-compat/76.exe 相关代码在解密前后的内容对照如下： 邮件发送 js 脚本传播敲诈者木马的分析报告 安天实验室 版权所有，欢迎无损转载 第 3 页 3.2 对应敲诈者样本分析对应敲诈者样本分析 该变种和此前的 Tesla 报告中恶意行为大致相同， 可以参考另一安全团队 isightpartners 之前发布的报告2。样本运行后对文档进行 AES256 加密，保存恢复文件所需信息到注册表和文本文件。并发送相关信息给黑客控制的 Tor 服务器。 病毒名称病毒名称 Trojan/Win32.ransomware.gen 原始文件名原始文件名 76.exe MD5 449C43E250D075D6F19FACB0B51F4796 处理处理器器架架构构 X86-32 文件文件大小大小 391.0 KB (400，384 字节) 文件文件格式格式 BinExecute/Microsoft.EXE:X86 时间时间戳戳 2015:12:03 06:19:51+01:00 数字数字签名签名 NO 加壳加壳类型类型 无 编译编译语言语言 Microsoft Visual C+ 9.0 VT 首首次上传时间次上传时间 2015-12-03 VT 检检测结果测结果 25/52 样本使用花指令以及反调试技术,会以挂起方式启动自身，读取自身数据解密后重写入新的挂起进程，并判断自身路径是不是指定的一个 Application Data 文件路径，若不是则移到该目录并修改文件名为随机5 位字母-a.exe，(例如 mghsd-a.exe)。 创建一个固定的互斥量值“78456214324124” 动态分析环境下追邮件发送 js 脚本传播敲诈者木马的分析报告 安天实验室 版权所有，欢迎无损转载 第 4 页 影设备也发现了其采用 bcedit 禁用安全模式、恢复模式，在注册表创建自启动项：HCURSoftwareMicrosoftWindowscurrentVesionrun。 接下来创建多个工作线程，其中一些关键线程行为分析如下： 1) 删除系统里的卷影副本，vssadmin.exe delete shadows /all /Quiet 2) 启动线程遍历进程路径，如果路径中包含 Taskmgr、procexp、regedit、msconfig、cmd.exe 任意一个字符串则结束相关进程， 这样 CMD、任务管理器，进程查看工具无法打开，就无法查看和结束恶意样本进程。 3) 另一个线程主要进行联网上报信息给黑客控制的服务器，连接的网址主要有如下几个： 其中访问 myexternalip.com/raw 获取受害主机的外网 IP 信息。 访问下面的网络地址提交信息: 表 3-1 访问网络域名列表 域名域名 IP regiefernando.meregiefernando.me 192.185.5.252 schriebershof.deschriebershof.de 78.46.79.167 apothekeapotheke- -stiepel.comstiepel.c