让信息安全
变得简单

微信支付勒索病毒愈演愈烈,边勒索边窃取支付宝密码

阅读(232)

一、概述

12月1日爆发的”微信支付”勒索病毒正在快速传播,感染的电脑数量越来越多。病毒团伙入侵并利用豆瓣的C&C服务器,除了锁死受害者文件勒索赎金(支付通道已经关闭),还大肆偷窃支付宝等密码。

首先,该病毒巧妙地利用”供应链污染”的方式进行传播,目前已经感染数万台电脑,而且感染范围还在扩大;其次,该病毒还窃取用户的各类账户密码,包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号。 火绒团队强烈建议被感染用户,除了杀毒和解密被锁死的文件外,尽快修改上述平台密码。

234133j31kss3z7592skik.jpg

图:日均感染量图,最高13134台(从病毒服务器获取的数据)

据火绒安全团队分析,病毒作者首先攻击软件开发者的电脑,感染其用以编程的”易语言”中的一个模块,导致开发者所有使用”易语言”编程的软件均携带该勒索病毒。广大用户下载这些”带毒”软件后,就会感染该勒索病毒。整过传播过程很简单,但污染”易语言”后再感染软件的方式却比较罕见。截止到12月3日,已有超过两万用户感染该病毒,并且被感染电脑数量还在增长。

此外,火绒安全团队发现病毒制作者利用豆瓣等平台当作下发指令的C&C服务器,火绒安全团队通过解密下发的指令后,获取其中一个病毒后台服务器,发现病毒作者已秘密收取数万条淘宝、天猫等账号信息。

二、样本分析

近期,火绒追踪到使用微信二维码扫描进行勒索赎金支付的勒索病毒Bcrypt在12月1日前后大范围传播,感染用户数量在短时间内迅速激增。通过火绒溯源分析发现,该病毒之所以可以在短时间内进行大范围传播,是因为该病毒传播是利用供应链污染的方式进行传播,病毒运行后会感染易语言核心静态库和精易模块,导致在病毒感染后编译出的所有易语言程序都会带有病毒代码。供应链污染流程图,如下图所示:

234200f0y2jfvvyfqq0lkq.jpg

供应链污染流程图

编译环境被感染后插入的恶意代码,在易语言精易模块中被插入的易语言恶意代码,如下图所示:

234216q111wq9psb5mop52.jpg

精易模块中的恶意代码

在被感染的编译环境中编译出的易语言程序会被加入病毒下载代码,首先会通过HTTP请求获取到一组加密的下载配置,之后根据解密出的网址下载病毒文件到本地执行。如上图红框所示,被下载执行的是一组”白加黑”恶意程序,其中svchost为前期报告中所提到的白文件,svchost运行后会加载执行libcef.dll中所存放的恶意代码。下载执行病毒相关代码,如下图所示:

下载病毒文件相关代码

病毒代码中请求网址包含一个豆瓣链接和一个github链接,两者内容相同,仅以豆瓣链接为例。如下图所示:

234229ixa7zj8s8pffy9tl.jpg

请求到的网页内容

上述数据经过解密后,可以得到一组下载配置。如下图所示:

234931i3gglswewjw3xgrg.jpg

被解密的下载配置

解密相关代码,如下图所示:

234950brtqh050z68kqtez.jpg

解密代码

通过配置中的下载地址,我们可以下载到数据文件,数据文件分为两个部分:一个JPG格式图片文件和病毒Payload数据。数据文件,如下图所示:

235001wisv8soanswv88fl.jpg

数据文件

libcef.dll

libcef.dll中的恶意代码被执行后,首先会请求一个豆瓣网址链接(https://www.douban.com/note/69*56/)。与被感染的易语言编译环境中的病毒插入的病毒代码逻辑相同,恶意代码可以通过豆瓣链接存放的数据,该数据可以解密出一组下载配置。解密后的下载配置,如下图所示:

235012efkfwpk00p3bvuuv.jpg

下载配置

下载代码,如下图所示:

235022lyjcpcpjzykp0bpj.jpg

下载代码

下载截取后的有效恶意代码数据中,包含有用于感染易语言编译环境的易语言核心静态库和精易模块。除此之外,下载的Payload文件中还包含有一个Zip压缩包,配合在病毒代码中所包含的通用下载逻辑,此处的Zip压缩包可能被替换为任意病毒程序。因为病毒作者使用供应链污染的传播方式,导致相关病毒感染量呈指数级增长。相关代码,如下图所示:

235031kq24hh56ff352q7o.jpg

定位Payload压缩包位置回写文件

通过筛查豆瓣链接中存放的加密下载配置数据,我们发现在另外一个豆瓣链接(https://www.douban.com/note/69*26/)中存放有本次通过供应链传播的勒索病毒Bcrypt。下载配置,如下图所示:

235041nl64vdiv6a9w6gc7.jpg

下载配置

我们在病毒模块JPG扩展名后,用”_”分割标注出了勒索病毒被释放时的实际文件名。最终被下载的勒索病毒压缩包目录情况,如下图所示:

235051tgv4qxv41zmeqtpy.jpg

勒索病毒压缩包目录情况

三、病毒相关数据分析

火绒通过病毒作者存放在众多网址中的加密数据,解密出了病毒作者使用的两台MySQL服务器的登录口令。我们成功登录上了其中一台服务器,通过访问数据库,我们发现通过该供应链传播下载的病毒功能模块:至少包含有勒索病毒、盗号木马、色情播放软件等。
我们还在服务器中发现被盗号木马上传的键盘记录信息,其中包括:淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号等共计两万余条。
我们还在服务器中发现了Bcrypt病毒上传的勒索感染数据,通过仅对一台服务器数据的分析,我们统计到的病毒感染量共计23081台(数据截至到12月3日下午)。
日均感染量,如下图所示:

235102iqmavl6qcmozfgst.jpg

日均感染量

感染总量统计图,如下图所示:

235112vikfkmlkaqflvlyv.jpg

感染总量

现火绒已经可以查杀此类被感染的易语言库文件,请装有易语言编译环境的开发人员下载安装火绒安全软件后全盘扫描查杀。

四、附录

样本SHA256:

235134oshz2bzqmtcnmhop.jpg

又想骗我搞安全?它说信息安全专业工资、竞争力都是No.1

阅读(292)

每年这个时候,都会有一大波人陷入纠结状态。校招一波接一波,应届生似乎要做一个前所未有的重大决定,没毕业的也已经开始观望了:哪个行业最赚钱?哪个行业最有前景?这确实是一个决定我未来租房还是买房、开BBA还是开五菱神车的大事……

终于,好像有人来告诉我答案了——信息安全,你值得选择…………吗?

Boss直聘:信息安全专业薪资第一、竞争力第一

国内主流招聘平台Boss 直聘最近发布了一份调查报告《应届生专业就业竞争力30强》,通过对平台上人才供求、热门事件、市场趋势等大量数据进行分析总结,也算是各位指了一条路,至于“明不明”,你说了算。

首先在2018年就业竞争力三十强专业排行榜中,高居第一的是信息安全专业。不过你有没有发现,排行前十的除了外交学、金融学两个听起来就很高大上的专业,其它都是与计算机、互联网相关。整个榜单中也几乎是计算机、电子相关专业强势霸榜。

而大家基本都知道的事,计算机相关的专业毕业后就业工资普遍会相对较高。在第二份“2018年毕业生TOP15高薪专业”榜单中,计算、电子相关的专业不出意外的再度霸榜,而排名第一的还是——信息安全。

根据Boss 直聘调查的数据,一般计算机类、电子类专业的应届生,28% 期望月薪高于10000元,7.5%期望月薪高于15000万元。

低头一回想,刚毕业那会儿每个月到手4000,坐标广州……

看了这份报告之后,各位安全圈的大牛、小牛们,特别想知道你们是怎么想。所以我事先发到微博,征集了一波评论,貌似意见不太一致。

最后,我想说点正经的……

信息安全已经逐渐提升到国家战略层面上,连习大大呼吁“没有网络安全就没有国家安全”,全球勒索病毒、信息泄露、网络攻击频繁发生。这个行业确实需要更多、更强大的力量注入,而且在未来无论是物联网、人工智能等新兴领域,安全产业也是举足轻重的地位。

timg (2).jpeg

所以,要说信息安全行业有几十万、上百万的人才缺口,我是信的;信息安全行业工资待遇好,我也是信的。但有一点也要清晰地认识到,信息安全行业的门槛也是比较高,扎实的基础、逻辑思维、正确的安全观、价值观等等方面都会成为决定你是否能在这个行业发展的更好的关键因素。

信息安全行业需要更加全面的人才。

所以对于毕业生以及在校学生来说,加强编程语言基础是最基本的技能,这里Boss直聘给出了一些参考:

1.2018年,随着大数据、人工智能等热点兴起,Hadoop、Java、Golang、Swift、Ruby等语言需求明显增加;

2.越来越多企业要求应届生至少掌握一项数据处理技能,即“代码+数据处理”的复合型技能要求。要求最多的五种技能分别是——SQL、Hive、Python、R语言、C++。

一句老话:360行,行行出状元。无论进入哪个行业,能不能实现自己的价值,达到期望的目标,都是靠自己,而选择所谓的什么热门行业,并不意味着你就能走上人生巅峰,有可能你的巅峰在另一个山头。