HavanaCrypt勒索軟體冒充Google軟體更新 App散布，還寄生在微軟代管服務上

2022-07-22

惡意軟體經常冒充合法軟體加速擴散，安全廠商趨勢科技近日發現最新勒索軟體，偽裝成Google軟體更新（Google Software Update）App散布，還大膽使用微軟的網頁代管IP掩人耳目，並以多種手法躲避安全產品偵測。

HavanaCrypt是一個.NET應用程式，使用開源的.NET代碼混淆工具Obfuscar（下圖）保護其程式碼，並以名為QueueUserWorkItem的.NET System.Threading命名空間方法，將多個執行步驟佇列執行。分析顯示，它使用了頗高明的手法避免被偵測到。例如，它一經執行即隱藏其視窗、檢查AutoRun登錄檔有無「Google Update」登錄檔，若未找到就繼續執行。接下來，它會啟動反虛擬化流程，旨在確保可迴避VM中的動態分析。例如，它會檢查有無VMWare Tools或vmmouse，或是和VM有關的檔案、執行檔及MAC address。一旦偵測到系統是在VM中執行，就終止執行。

完成所有檢查後，HavanaCrypt從微軟網頁代管服務的IP位址下載一個批次（batch）檔。這個批次檔包含可設定Windows/Microsoft Defender掃瞄指令，使其略過Windows和User目錄下的任何檔案。它還會關閉數十種行程，包括MS SQL Server、MySQL，以及Microsoft Office和Steam、Firefox等桌機應用程式。

關閉所有行程後，HavanaCrypt會查詢所有磁碟、刪除所有磁碟區陰影複製（shadow copies）、將最大儲存空間調到401MB，再以Windows Management Instrumentation（WMI）辨識出系統復原執行個體，再將之刪除。它還會自我複製執行檔到ProgramData和StartUp資料夾中，並設為隱藏檔或系統檔案。

等完成前述準備動作後，HavanaCrypt得以蒐集機器多項資訊，包括處理器核心數、處理器名稱ID、socket、主機板廠商及名稱、BIOS版本及產品號碼等。

在加密檔案時，這隻惡意軟體利用KeePass Password Safe產生加密金鑰。被加密的檔案名稱都會加入.Navana的副檔名。它會避免加密某些副檔名，或是在特定目錄下的檔案，像是Tor瀏覽器，顯示惡意程式作者計畫使用Tor網路和受害者通訊。

研究人員表示，把自己的C&C伺服器架在微軟的網頁代管服務IP位址上，而且使用合法的加密工具KeePass來加密受害者檔案，都是勒索軟體較少見的行為。研究人員尚未發現勒索訊息檔案，顯示它尚未開發完成。

（相關資訊來自iThome）