最新消息 群盟科技-更多最新消息
Amazon大舉控告逾1萬個專...
每次當機多久時間您才知...
最適中小企業優惠套餐...
駭客假冒資安業者進行網...
HavanaCrypt勒索軟體冒充...
搜尋引擎登錄排名服務
網址申請

首頁 >> 最新消息 >> HavanaCrypt勒索軟體冒充Google軟體更新 App散布,還寄生在微...

HavanaCrypt勒索軟體冒充Google軟體更新 App散布,還寄生在微軟代管服務上

2022-07-22

惡意軟體經常冒充合法軟體加速擴散,安全廠商趨勢科技近日發現最新勒索軟體,偽裝成Google軟體更新(Google Software Update)App散布,還大膽使用微軟的網頁代管IP掩人耳目,並以多種手法躲避安全產品偵測。

 

HavanaCrypt是一個.NET應用程式,使用開源的.NET代碼混淆工具Obfuscar(下圖)保護其程式碼,並以名為QueueUserWorkItem的.NET System.Threading命名空間方法,將多個執行步驟佇列執行。分析顯示,它使用了頗高明的手法避免被偵測到。例如,它一經執行即隱藏其視窗、檢查AutoRun登錄檔有無「Google Update」登錄檔,若未找到就繼續執行。接下來,它會啟動反虛擬化流程,旨在確保可迴避VM中的動態分析。例如,它會檢查有無VMWare Tools或vmmouse,或是和VM有關的檔案、執行檔及MAC address。一旦偵測到系統是在VM中執行,就終止執行。

 

完成所有檢查後,HavanaCrypt從微軟網頁代管服務的IP位址下載一個批次(batch)檔。這個批次檔包含可設定Windows/Microsoft Defender掃瞄指令,使其略過Windows和User目錄下的任何檔案。它還會關閉數十種行程,包括MS SQL Server、MySQL,以及Microsoft Office和Steam、Firefox等桌機應用程式。

 

關閉所有行程後,HavanaCrypt會查詢所有磁碟、刪除所有磁碟區陰影複製(shadow copies)、將最大儲存空間調到401MB,再以Windows Management Instrumentation(WMI)辨識出系統復原執行個體,再將之刪除。它還會自我複製執行檔到ProgramData和StartUp資料夾中,並設為隱藏檔或系統檔案。

 

等完成前述準備動作後,HavanaCrypt得以蒐集機器多項資訊,包括處理器核心數、處理器名稱ID、socket、主機板廠商及名稱、BIOS版本及產品號碼等。

 

在加密檔案時,這隻惡意軟體利用KeePass Password Safe產生加密金鑰。被加密的檔案名稱都會加入.Navana的副檔名。它會避免加密某些副檔名,或是在特定目錄下的檔案,像是Tor瀏覽器,顯示惡意程式作者計畫使用Tor網路和受害者通訊。

 

研究人員表示,把自己的C&C伺服器架在微軟的網頁代管服務IP位址上,而且使用合法的加密工具KeePass來加密受害者檔案,都是勒索軟體較少見的行為。研究人員尚未發現勒索訊息檔案,顯示它尚未開發完成。

(相關資訊來自iThome



  您的IP位置:3.229.124.74