tor.exe

安全研究员发现新型加密勒索软件：使用Tor网络隐藏服务器

dawner2016-03-24 金币奖励

+5共200168人围观，发现 4 个不明物体数据安全系统安全

2016年3月9日，Cyphort实验室里发现了一个受感染的H网站（keng94.com），它会将游客导向去下载工具包，最后安装上一个勒索赎金软件。这个网站会将用户导向rg.foldersasap.com，它的页面上挂了恶意flash文件和恶意二进制文件。

行为特征分析

该二进制文件在网络传输中加密，然后解密储存在%temp%文件夹。这个二进制文件是一个新型恶意木马下载者，但是我们发现里面会多次引用“FA”字符串，这勾起了我们研究这个特别恶意软件的心思：

ItsMeFA

“version_fa”

fa 155

它在注册表里添加了一个自启动的键值，并把自己复制到开始菜单，以便在每次启动时执行。它创建了文件“C:\Users\Public\Music\Microsoft\Windows\Manifest\torrc”，这是一个Tor配置文件。该配置文件会启动一个“Tor隐藏服务”，我们可以在1060端口看到它：

在创建torrc文件以后，它会从http://myfiles.pro/uploads/1275859359.Gaga.mp3下载一个文件，然后将其存储为“C:\Users\Public\Music\Microsoft\Windows\Manifest\tor.exe”。

这个文件实际上是一个exe文件，但是伪装成了MP3。在开始时，它是这样的：

C:\Users\Public\Music\Microsoft\Windows\Manifest\tor.exe -f torrc

通常Tor的执行过程中，会创建下面的文件：

作为一个隐藏的服务，Tor会在机器上生成一个onion地址（比如：43zri2d6x2rruezl.onion），然后将其写入“hostname”文件。它会用这个Tor隐藏服务去下载最终的payload。Tor隐藏服务允许黑客隐藏Tor里的恶意网络活动。几分钟后，下面的窗口会覆盖整个屏幕，然后你电脑就用不了了：

因为它锁定了我们的系统，我们想过在安全模式启动它并且进行调查，不过因为某种原因并没有实行。我们决定离线对其分析，通过Volatility来分析其内存镜像。

使用Volatility来发现恶意软件

我们获取了内存的dump，然后使用pstree命令。接着发现，sd_app.exe是最终进程产生的，它也会产生另一个tor的实例，这可能是下载app和锁住我们屏幕的元凶。

为了证实这一点，我们使用“wintree”命令列出了可见的窗口，甄别是哪个进程锁定了我们的屏幕，最后同样发现了sd_app.exe。

接着，我们用进程“id”和“cmdline”命令，确认文件的完整路径：

我们dump了盘里的内容，发现了添加了下面列表里的文件：

图中的.bat文件使用bcedit禁用了高级启动项，这也是我们不能安全模式启动的原因。

真实网络中

使用VirusTotal服务，我们查询到了四个相似的样本。这样的样本首次出现是在2016年2月1日，当时检测率很低。这些文件也有签名，但是证书其实是无效的。资料显示这些文件可能源于俄罗斯或者乌克兰：

sd_app变种也进行了签名，但是其中两个文件仍然没有检测出来：

我们还发现了上传的文件中，代码里有调试打印，文件从乌克兰上传。这些表明了始作俑者使用了VirusTotal，以此来检测是否他们的恶意软件会被启发式软件所检测。第一个在该网站中上传的变种版本为0.01a-154d：

WIN32-VS-x32-RELEASE-Feb  1 2016-15:33:48 v.0.01a-154d

我们得到的版本号为0.02a-155，这意味着该恶意软件已经得到了很大的成长。

结论

自我们看到网络中有勒索赎金软件的新家族已经有一段时间了，可能是由于Cryptolocker、Cryptowall、Locky等软件的成功吧。同时，使用rescue discs可以清理勒索赎金软件，使它们不再产生价值。然而，这个新发现的恶意软件也是勒索赎金软件的进步，它可以通过Tor同CnC服务器进行通信。在使用Tor后，黑客在进行恶意网络活动时，能增加其隐藏性。同时，当黑客锁定了你的电脑时，他们会创建Tor隐藏服务，黑客能利用你的系统进行比特币支付或其他恶意活动。正如研究人员所发现的那样，勒索赎金软件的垃圾邮件行为会使用Tor隐藏服务。我们也相信，这款恶意软件还在早期发展阶段，这些小动作只是在试水。