Locky Ransomware wird als verschlüsselte DLLs heruntergeladen

Originaleintrag von Brooks Li, Threats Analyst

Die Locky-Familie ist mittlerweile die prominenteste Ransomware, die im brasilianischen Untergrund verkauft wird. Sie verbreitet sich über verschiedene Exploits und ist für ihre breite Vielfalt an diesbezüglichen Taktiken berüchtigt – Makros, VBScript, WSF-Dateien und nun auch DLLs.
Eine neue Locky-Variante (RANSOM_LOCKY.F116HM) nutzt oberflächlich betrachtet bekannte Taktiken doch mit signifikanten technischen Änderungen. Die Mails als Teil einer großangelegten Spam-Kampagne kommen recht gewöhnlich daher.

Bild 1. Locky Ransomware Spam

Die .js-Dateien, die in den .ZIP-Anhängen enthalten sind, werden stark verschleiert – auch nichts Ungwöhnlich.

Nach der „Enttarnung“ erkennt man im Code jedoch mehreres:

  1. Es gibt eine hardcodierte Liste mit bösartigen URLs, die alle die verschlüsselte Locky Ransomware hosten. Das JavaScript wählt eine beliebige URL für den Download, und wenn diese nicht funktioniert, so nimmt es eine andere.
  2. Der Inhalt der heruntergeladenen Datei wird in %temp% gespeichert.
  3. Malware nutzt XOR mit einem Pseudo-Random Zahlengenerator (PRNG), um die heruntergeladene Datei zu entschlüsseln und das Ergebnis als xxxx.dll zu speichern.
  4. Nutzt rundll32.exe für das Ausführen der bösartigen DLL, und damit die Lösegeldforderung auf den Bildschirm zu bringen.

Technische Details dazu finden Interessierte im Originalbeitrag.

Das Verhalten der aktuellen Ransomware hat sich grundsätzlich nicht verändert im Vergleich zu früheren Locky-Varianten.

Bild 2. Locky-Lösegeldforderung

Mit dieser Art der Nutzung einer DLL-Datei versuchen Angreifer, die Verhaltensanalyse-Funktionalität der Sicherheitsprodukte zu umgehen. Die Ausführung als DLL verhindert den Start eines neuen Prozesses und erschwert damit die Erkennung. Auch andere Ransomware-Familien (z.B. CrypMIC/CryptXXX) haben diese Taktik im Repertoire, für Locky aber ist sie neu. Die Anwendung von Verschlüsselung wiederum soll die Fähigkeit der Schadsoftware sich zu verbergen verbessern. Schickt der Downloader nicht die richtigen Parameter, so wird keine bösartige Datei entschlüsselt (und theoretisch erkannt).

Trend Micros Lösungen

Trend Micro kann vor dieser Bedrohung schützen. Mithilfe des Deep Discovery™ Email Inspector können Ransomware-bezogene Emails und bösartige Anhänge erkannt und geblockt werden. Die anpassbare Sandbox erkennt auch Varianten, die Makros nutzen. IP- und Web-Reputation mindern das Risiko von Ransomware auf Mail- und Web-Ebene.

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko möglichst gering zu halten. Email- und Web Gateway-Lösungen wie Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Ransomware Endanwender erreicht. Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken. Trend Micro Deep Discovery Inspector erkennt und blockt Ransomware im Netzwerk und Trend Micro Deep Security™ stoppt sie, bevor sie die Unternehmensserver erreicht. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltensmonitoring oder Echtzeit-Webreputationsdienste, um gegen Ransomware zu erkennen und zu blocken.

Privatanwender schließlich können sich über Trend Micro Security 10 schützen.

Nutzer können auch die kostenlosen Tools wie Trend Micro Lock Screen Ransomware Tool nutzen, das Screen Locker Ransomware erkennt und entfernt. Das Trend Micro Crypto-Ransomware File Decryptor Tool wiederum kann bestimmte Varianten von Crypto-Ransomware entschlüsseln.

Die SHA256 Hashes der mit der Bedrohung zusammenhängenden Dateien:

  • ff3e29a31f05016dedcd61a7aac588757c8364f04fa85b7a86196c9805cd811c
  • f7d0ccb86876cd4852fa376d69e6a0073a2c5cefaa3bfc012a9b8fe371d8cdb6

Die bösartigen URLs dieses Angriffs:

  • hxxp://bck.srtec.net/73bh7
  • hxxp://clickme22.wang/25r15h6p
  • hxxp://delaemvkusnoe.ru/bhszq
  • hxxp://direttaauto.com/tyknnq
  • hxxp://escapegasmech.com/2zpr9p
  • hxxp://harrypotternotawizard.ws/3jjhbrba
  • hxxp://hdjung.homepage.t-online.de/tzpwhw9s
  • hxxp://it4cio.servicos.ws/pvgbi
  • hxxp://lkfashions.com/aeeyqj8
  • hxxp://muscleinjuries.com/ehqo79
  • hxxp://policyforlife.com/efb45
  • hxxp://popcom.be/~mbs/o95r3
  • hxxp://vittuperkele.com/a1wi4m3
  • hxxp://vittuperkele.top/a6dg9qy
  • hxxp://www.compland.ee/x5ewa6u
  • hxxp://www.fulvio77.it/sx6wn
  • hxxp://www.sjones.talktalk.net/zz5sjc3
  • hxxp://www.stucchifedele.com/o0eswfu

Zusätzliche Analysen und Informationen von Jaaziel Carlos

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*