信息化觀察網(wǎng)

Sodin利用了CVE-2018-8453

俄羅斯卡巴斯基實(shí)驗(yàn)室的研究人員表示，他們發(fā)現(xiàn)了一名為 “Sodin” 的新型勒索軟件，利用了去年 8 月他們向微軟報(bào)告的 Windows 漏洞 (編號(hào)：CVE-2018-8453)，展現(xiàn)了一系列不同尋常的技術(shù)。

Sodin 利用 win32k.sys 在受感染的系統(tǒng)中提升權(quán)限，并利用中央處理器 (CPU) 的架構(gòu)來(lái)避免檢測(cè)——這種功能以及以下下文介紹的其他特性在勒索軟件中并不常見(jiàn)。

Sodin 勒索軟件不需要受害者點(diǎn)擊釣魚(yú)鏈接。

相反，它的開(kāi)發(fā)人員/用戶(hù)通常會(huì)找到一個(gè)易受攻擊的服務(wù)器，并發(fā)送命令下載一個(gè)名為 “radm.exe” 的惡意文件。這個(gè) Windows 漏洞于 2018 年 10 月 10 日被修復(fù)。對(duì)于那些沒(méi)有給系統(tǒng)安裝補(bǔ)丁的人來(lái)說(shuō)，勒索軟件的出現(xiàn)再次提醒了他們，無(wú)論遇到了什么挑戰(zhàn)，都應(yīng)該優(yōu)先更新補(bǔ)丁。

該惡意軟件比通常更難檢測(cè)到，是因?yàn)樗褂昧?“Heaven’s Gate”（天堂之門(mén)）技術(shù)，使其能在 32 位運(yùn)行進(jìn)程中執(zhí)行 64 位的代碼。

由 32 位和 64 位指令構(gòu)成的 shellcode

Sodin 還通過(guò)混合方案來(lái)加密受害者文件（文件內(nèi)容使用 Salsa20 對(duì)稱(chēng)流算法加密，密鑰則通過(guò)非對(duì)稱(chēng)橢圓曲線算法加密）。

Sodin勒索軟件是RaaS計(jì)劃的一部分

卡巴斯基表示，這個(gè)惡意軟件似乎是 RaaS（勒索軟件即服務(wù)）計(jì)劃的一部分。

奇怪的是不管配置如何，私人會(huì)話密鑰也是通過(guò)另一個(gè)硬編碼到木馬體中的公鑰進(jìn)行加密的。我們把它稱(chēng)為公共萬(wàn)能鑰匙。加密結(jié)果存儲(chǔ)在注冊(cè)表中的 0_key 名下。事實(shí)證明，即使沒(méi)有 sub_key 的私鑰，知道公共萬(wàn)能鑰匙對(duì)應(yīng)的私鑰的人能夠解密受害者的文件?？雌饋?lái)木馬程序的開(kāi)發(fā)者在算法中制造了一個(gè)漏洞，能夠使他們?cè)诓槐还?yīng)商察覺(jué)的情況下解密文件。

該公司的一位發(fā)言人解釋道：有跡象表明，惡意軟件是在一個(gè)聯(lián)盟內(nèi)部分發(fā)傳播的。比如惡意軟件的開(kāi)發(fā)人員在惡意軟件上留下了一個(gè)漏洞，能夠使他們?cè)诓槐宦?lián)盟成員察覺(jué)的情況下解密文件：一個(gè)不需要供應(yīng)商的密鑰進(jìn)行解密的 “萬(wàn)能鑰匙”（通常供應(yīng)商的密鑰會(huì)用于解密受害者的文件，是支付贖金的對(duì)象）。

這個(gè)功能可能被開(kāi)發(fā)者用來(lái)在受害者不知情的情況下，控制被解密的數(shù)據(jù)，以及勒索軟件的傳播。例如，通過(guò)惡意軟件將聯(lián)盟內(nèi)部的某些供應(yīng)商剔除。

Sodin 勒索軟件的大多數(shù)目標(biāo)都在亞洲地區(qū)：尤其是臺(tái)灣、香港和韓國(guó)。然而，在歐洲、北美和拉丁美洲也發(fā)現(xiàn)了攻擊事件。勒索軟件在受到感染的個(gè)人電腦上留下了便箋，要求每位受害者提供價(jià)值 2500 美元的比特幣。

研究人員認(rèn)為，Sodin 使用了 Heaven’s Gate 技術(shù)來(lái)繞過(guò)仿真檢測(cè)。仿真網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)旨在通過(guò)臨時(shí)創(chuàng)建與樣本交互的對(duì)象，然后分析交互行為來(lái)檢測(cè)網(wǎng)絡(luò)流量中的 shellcode，這有點(diǎn)像一個(gè)超輕量級(jí)的沙箱。