對Paradise勒索軟件生成工具的研究分析

VSole2021-09-20 15:55:31

當今的惡意軟件生成工具越來越多，新的惡意軟件變種也越來越多。

2017 年，Paradise 勒索軟件首次通過釣魚郵件開始攻擊，包含下載安裝勒索軟件的惡意 IQY 附件。勒索軟件的第一個版本包含一些缺陷，安全研究人員利用該缺陷構建了免費解密工具，舊版勒索軟件可以恢復文件解密。隨后，攻擊者更新惡意軟件，通過 RSA 進行加密，這樣在沒有私鑰的情況下就無法解密。

正如 BleepingComputer 在 2021 年夏天報道的，Paradise 勒索軟件源碼在 XSS.IS 黑客論壇上被泄露。

惡意軟件生成工具是 .NET 寫的，可以在本地和虛擬化環境中運行。

從泄露的源碼來看，與 Microsoft VS 的默認結構類似，簡單而精巧：

快速對代碼進行分析后有一些發現。盡管生成的勒索軟件會公開暴露，但為了阻礙分析人員和分析工具，攻擊者仍然插入了大量的檢查代碼。

語言

源代碼中可以找到開發人員寫的注釋，Google 認為是俄語。

Microsoft Visual Studio 提供了將源碼編譯為二進制文件的用戶信息。信息被留存到 .csproj文件中，記錄了編譯和鏈接的環境設置。

構建工具的某些配置是直接在源代碼中配置的字符串，而非從外部的配置文件讀取。可能是生成工具僅用于高級用戶或者是攻擊者內部使用而非合作方。

從字符串和配置信息的角度上看，分析人員相信該惡意軟件生成工具確實是屬于 Paradise 勒索軟件。

即使使用不同的配置名稱運行 Paradise 勒索軟件，惡意軟件也會在系統運行環境的內存中增加一個 dp_main。樣本會查看字符串的計數項，以了解有多少進程在并行執行。

雖然修改注冊表自啟動很常見，但 Paradise 勒索軟件似乎會將自身復制到一個名為 DP（在 appdata 服務目錄下）的特定目錄中，并且看起來它總是以相同的方式命名惡意軟件名稱，與配置無關。

勒索軟件一般都會刪除卷影副本，執行 ProcessStartInfo psiOpt = new ProcessStartInfo(@"cmd.exe", @"/C sc delete VSS");即可。

攻擊者向默認的 /api/Encrypted.php發送勒索相關信息。

從 718 行開始，如下所示：

如果失陷主機中沒有密鑰，Paradise 勒索軟件會生成密鑰并保存在本地。不幸的是，加密保存的過程做的無懈可擊。

SavePrivateKey實際上保存的是加密的私鑰和 RSA 的公鑰。調用一個名為 SavekeysToFiles的新函數，將它們保存到一個名為 DecryptionInfo.auth的文件中。

Paradise 勒索軟件作者僅加密大文件的前 10MB，而小文件的話會將文件切分成 117 個字節遍歷處理。

753f1e353ad0eb75555f81e090a3e89339d96266f5e33e2ada34c9ea655dcee9

e375edc127182453ad7ed84ae3abac3759dded7265284af48015a165e439f26c

0dfb6a940a583432f21ce03634c0e8d6a9030443e391cf44f9581212716d4308

363a99b2480c11b9431c046d44b323807e9b11bf237cc291dde11151d8b75581

5eb2c22d092f3bf2077d7e9128c38c1bc29fd0b06479646c05afb0bf741891dc

f282d765bb83d76be318a2a982605d06619da2376165ba12cc6ca4e50aa0754d

a1428e2c84c3420a0481e524e103db7fde84d2107bd02738349c48ee4d6a5353

e9ae7a5837b34b65608964e7315450a3459e0e01366769b68b904504a55db102

07958ee0ed74c8e4637d0903d686e66e7bd9e6b89bca0d3df4531d590c848a05

每個惡意軟件的作者都會在編寫源代碼時保留一定的設計風格和設計模式。本次介紹了部分 Paradise 勒索軟件的特征，希望對安全分析人員有所幫助。

Marcoramill

軟件勒索

本作品采用《CC 協議》，轉載必須注明作者和本文鏈接