探秘新型勒索軟件“PureLocker”，已被多個黑客組織用于發起攻擊

最近，Intezer和IBM X-Force IRIS研究團隊發現了一種此前從未被公開披露過的新型勒索軟件——PureLocker，能夠同時攻擊windows和linux操作系統。

據稱，PureLocker與后門惡意軟件“more_eggs”存在部分代碼重疊，并且已經被Cobalt Gang和FIN6等多個黑客組織使用過。

初步分析

這里分析的PureLocker樣本是一個適用于Windows操作系統的版本，偽裝成一個名為“Crypto++”的C++加密庫：

分析表明，該文件并不是一個C++加密庫，而是一個可能與Cobalt Gang有關存在關聯的惡意二進制文件，但代碼經過了大幅修改。

深入觀察

樣本是采用PureBasic編寫的，這是一種不太常用的編程語言，也就導致惡意軟件能夠順利繞過某些殺毒軟件的檢測。此外，PureBasic代碼還可以在Windows、Linux和OS-X之間移植，這就使得開發適用于不同平臺的惡意軟件更加容易。

PureLocker被設計為由regsrv32.exe作為COM服務器DLL執行，它將調用DllRegisterServer導出，惡意軟件的代碼駐留在導出中。

字符串被編碼并存儲為Unicode十六進制字符串，通過調用字符串解碼函數，可以根據需要對每個字符串進行解碼。

代碼首先會檢查它是否正在按照攻擊者的意圖執行，以及是否正在被分析或調試。有任何一項檢查不符，惡意軟件就會立即退出，但不會刪除自身：

一旦有效載荷執行，惡意軟件就會立即刪除自身。

有幾個跡象表明，PureLocker很有可能只是一個高針對性、多階段攻擊的一部分。惡意軟件首先會檢查其自身是否是使用“/s/i”參數執行的，這個參數的作用是指示regsrv32.exe安裝DLL組件而不引發任何對話（靜默）：

稍后，惡意軟件會驗證它是否確實由“regsrv32.exe”執行，并驗證其文件擴展名是否為“.dll”或“.ocx”、計算機上的當前年份是否為“2019”，以及是否具有管理員權限。有任何一項檢查不符，惡意軟件就將在不執行任何惡意活動的情況下退出。

這種行為在勒索軟件中并不常見，勒索軟件通常傾向于感染盡可能多的受害者，以便獲取得盡可能多的收益。此外，被設計為以非常規方式執行的DLL文件的行為也表明，該勒索軟件是多階段攻擊的后期組件。

與其他勒索軟件不同，該惡意軟件通過手動加載“ ntdll.dll”的另一個副本來使用反鉤掛技術，并從此處手動解析API地址，這么做的目的是逃避用戶模式下ntdll函數的掛鉤。盡管這是一個已知的技巧，但很少在勒索軟件中使用。

導入本身被存儲為32位哈希值，PureLocker使用了常規的哈希解析方法來獲取函數地址。

同樣值得注意的是，PureLocker使用的是ntdll.dll中的低級別Windows API函數來實現其大部分功能（kernel32.dll和advapi32.dll除外），尤其是用于文件操作。

除了利用advapi32.dll（RtlGenRandom）的SystemFunction036進行偽隨機數生成外，它并不使用Windows Crypto API函數，而是依賴于內置的purebasic加密庫來滿足其加密需求。

在完成了所有的反分析和完整性測試之后，PureLocker將繼續使用硬編碼的RSA密鑰，通過標準AES + RSA組合對受害者計算機上的文件進行加密并添加“.CR1”擴展名。（主要加密數據文件，并會根據特定文件的擴展名跳過對可執行文件的加密。）

然后，它會刪除原始文件，以防止恢復。

完成加密后，PureLocker會在用戶桌面上留下一個名為“YOUR_FILES.txt”的贖金票據。

對代碼的分析表明，PureLocker與Cobalt Gang在其攻擊鏈中使用的特定組件存在代碼重疊——“more_eggs”JScript后門（也稱為“SpicyOmelette”）的加載器組件。

不僅如此，“more_eggs”還被其他兩個黑客組織使用過，包括黑客組織FIN6。

研究人員再將PureLocker與最近的“more_eggs”加載器組件樣本進行對比后發現，它們極有可能是同一伙人創建的，因為它們存在很多相似之處：

PureLocker并不是一種常規的勒索軟件，它沒有試圖感染盡可能多的受害者，而是盡可能地隱藏其意圖和功能。用于實現逃避和反分析的代碼似乎是直接從“more_eggs”加載器組件中復制過來的，這使得它能夠避開自動分析系統而不被發現。

由于PureLocker是作為一種惡意軟件即服務（MaaS）出售的，基于目前掌握的線索，還很難判定它是出自Cobalt Gang或FIN6，還是一個新的黑客組織之手。