Sodinokibi勒索軟件利用Windows Bug提升權限
責編:gltian |2019-07-10 13:55:33
Sodinokibi勒索軟件正試圖通過利用Windows7到10以及服務器版本上的win32k組件中的漏洞來提高其在受害者計算機上的權限。
4月份,加密惡意軟件的文件開始利用OracleWebLogic中的一個關鍵漏洞而備受關注。
全球范圍
安全研究人員發現,Sodinokibi,A.K.A.Revil,也利用了CVE-2018-8453,一個由Kaspersky發現并報告的漏洞,微軟在2018年10月修補了這個漏洞。
卡巴斯基使用SODIN的名字來引用這一應變勒索和遙測數據顯示全球范圍內的小范圍的檢測,其中大部分記錄在亞太地區:臺灣(17.56%)、香港和韓國(8.78%)。
檢測到索迪諾基比的其他國家包括日本(8.05%)、德國(8.05%)、意大利(5.12%)、西班牙(4.88%)、越南(2.93)、美國(2.44%)和馬來西亞(2.20%)。
在周三的技術分析中,Kaspersky詳細描述了惡意軟件是如何實現系統特權的,并描述了它是如何工作的。
“以加密形式存儲在每個sodin示例的主體中的是一個配置塊,其中包含特洛伊木馬運行所需的設置和數據。”
配置代碼包括公鑰字段、活動和分發服務器的ID號、覆蓋數據字段、不應加密的文件擴展名、應終止的進程名稱、命令和控制服務器地址字段、勒索說明模板字段以及使用exp的字段。在機器上獲得更高的特權。
兩個單獨的私鑰加密
Kaspersky分析的sodinokibi樣本使用混合方案加密數據,這意味著它對文件采用對稱加密(salsa20),對密鑰采用橢圓曲線非對稱加密。
研究人員發現,勒索軟件存儲在注冊表中,既有用于加密數據的公鑰,也有用于解密文件的私鑰。
啟動時,特洛伊木馬程序生成一對新的橢圓曲線會話密鑰;此對的公鑰以pk_密鑰的名稱保存在注冊表中,而私鑰則使用ecies算法與子_密鑰加密,并以sk_密鑰的名稱存儲在注冊表中。
研究人員注意到的一個特點是,私鑰也用另一個公鑰加密,該公鑰編碼在惡意軟件中;結果也保存在注冊表中。
惡意軟件作者可能是故意這樣做的,所以他們也可以解密數據,而不僅僅是傳播sodinokibi的操作員。這可能是一個預防措施,如果分銷商消失,或一種方法,以獲得更大的利潤削減。
加密文件后,sodinokibi會附加一個隨機擴展名,該擴展名對于它感染的每臺計算機都是不同的。密鑰和擴展名都需要輸入到由網絡罪犯專門為受害者設置的一個網站上,以顯示他們需要支付多少錢才能取回他們的文件。
該惡意軟件區分目標和終止于特定國家的鍵盤布局的計算機:俄羅斯、烏克蘭、白俄羅斯、塔吉克斯坦、亞美尼亞、阿塞拜疆、格魯吉亞、哈薩克斯坦、吉爾吉斯斯坦、土庫曼斯坦、摩爾多瓦、烏茲別克斯坦和敘利亞。