雷鋒網(wǎng)發(fā)現(xiàn)，最近，一種與 Ryuk 勒索病毒有著千絲萬縷聯(lián)系的新型惡意軟件被人揪了出來。據(jù)悉，這種惡意軟件胃口可不小，它盯上的都是各種金融、軍事和執(zhí)法機(jī)關(guān)的機(jī)密文檔。當(dāng)然，它與 Ryuk 還不太相同，因?yàn)?Ryuk 勒索病毒僅僅是將文檔加密而后索要贖金，它可不會(huì)從被感染的電腦上盜取機(jī)密文檔。

據(jù) Bleeping Computer 美國(guó)時(shí)間 9 月 11 日?qǐng)?bào)道，發(fā)現(xiàn)這種新型惡意軟件的 MalwareHunterTeam 團(tuán)隊(duì)指出，該惡意軟件由背后的攻擊者全權(quán)控制，他們會(huì)引導(dǎo)其搜索敏感文檔，竊取成功后就上傳至指定的 FTP 站點(diǎn)。

為什么說這個(gè)病毒與 Ryuk 勒索病毒有著千絲萬縷的聯(lián)系？因?yàn)檫@個(gè)“數(shù)據(jù)提取機(jī)”的代碼中留有許多 Ryuk 的影子。

嗅探機(jī)密文檔

這種新惡意軟件是如何盜取機(jī)密文檔的？逆向工程與安全研究人員 Vitali Kremez 給我們解釋了一番。

原來，在執(zhí)行任務(wù)時(shí)，這個(gè)“數(shù)據(jù)提取機(jī)”會(huì)先對(duì)電腦上的文檔進(jìn)行遞歸掃描，尋找值得盜取的 Word 與 Excel 文檔。

在搜尋文檔時(shí)，如果它遇到任何符合標(biāo)準(zhǔn)的文件夾或文檔，就會(huì)停下來對(duì)其進(jìn)行檢查。有用的話就照單全收，沒用就繼續(xù)尋找下一個(gè)目標(biāo)，這樣的手法與勒索病毒如出一轍。

如果你想知道哪些文件夾或文檔的命名“最安全”（上了黑客的黑名單），可以參考下圖中的清單。

除了這些上了黑名單，一看就沒什么價(jià)值的文檔，那些與 Ryuk 有關(guān)的文檔（比如 RyukReadMe.txt 或帶有 .RYK 后綴的文檔）“數(shù)據(jù)提取機(jī)”也會(huì)自動(dòng)繞著走。

Tu 1：“數(shù)據(jù)提取機(jī)”懶得看一眼的文檔

如果文檔不在黑名單上，“數(shù)據(jù)提取機(jī)”緊接著就會(huì)檢查它是不是 .docx 或 .xlsx 文檔。

Tu 2：“數(shù)據(jù)提取機(jī)”在搜索 .docx 和 .xlsx 文檔

定位到 .docx 或 .xlsx 文檔后，惡意軟件會(huì)使用 libzip 的 zip_open 和 zip_trace 功能驗(yàn)證它們的目標(biāo)是不是有效的 Word 或 Excel 文檔。驗(yàn)證方法也不難，“數(shù)據(jù)提取機(jī)”只需對(duì) word/document.xml 或 xl/worksheets/sheet（分別歸屬于 Word 和 Excel）進(jìn)行檢查和驗(yàn)證即可。

Tu3：驗(yàn)證 Word 文檔

如果文檔有效，“數(shù)據(jù)提取機(jī)”會(huì)再次將其放在內(nèi)置的“天平”上稱量，如果文檔的名字中有那 77 個(gè)熱詞（如下圖所示），馬上就會(huì)被選中。

Tu 4：“數(shù)據(jù)提取機(jī)”最感興趣的熱詞

從這些熱詞中我們就能得出一個(gè)結(jié)論，“數(shù)據(jù)提取機(jī)”要找的是與軍事機(jī)密、銀行信息、欺詐/犯罪調(diào)查文件和其它敏感信息相關(guān)的文檔。

詭異而是，除了上面這些指向性非常明確的熱詞，“數(shù)據(jù)提取機(jī)”的詞庫居然還非常關(guān)照類似 Emma、Olivia、Noah、Logan 和 James 等人名，要知道這可是 2018 年美國(guó)最常用的嬰兒名字，隨便一抓就一大把。

一旦引起了“數(shù)據(jù)提取機(jī)”的注意，文檔就會(huì)通過 FTP 被上傳到 66.42.76.46/files_server/a8-5 服務(wù)器（如下圖）。

Tu 5：被盜的文檔會(huì)上傳到 FTB 服務(wù)器

掃描了計(jì)算機(jī)后，惡意軟件還會(huì)從 ARP 表中拿到一個(gè) IP 地址清單。借助該清單，它會(huì)開始下一輪嗅探，以尋找新的“獵物”。

Tu 6：提取 ARP 表

雷鋒網(wǎng)注意到，眼下，研究人員還沒搞清楚該惡意軟件是如何安裝的，但專家們推斷認(rèn)為，在感染機(jī)器前“數(shù)據(jù)提取機(jī)”就已經(jīng)動(dòng)起來了。

與 Ryuk 勒索病毒之間的奇妙聯(lián)系

上面我們說過，在搜索機(jī)密文檔時(shí)“數(shù)據(jù)提取機(jī)”會(huì)故意跳過與 Ryuk 有關(guān)的部分。除此之外，它與 Ryuk 還共享了一部分代碼。舉例來說，“數(shù)據(jù)提取機(jī)”就有新建文檔并用 .RYK 后綴為其命名的功能，但事實(shí)上它并沒有用到這個(gè)文檔加密的功能。

Tu 7：“數(shù)據(jù)提取機(jī)”居然還有類似 Ryuk 的功能

除此之外，“數(shù)據(jù)提取機(jī)”還會(huì)檢查文檔名中是否有“Ahnlab”的字樣（如下圖）。

Tu 8：“數(shù)據(jù)提取機(jī)”會(huì)特別關(guān)照“Ahnlab”這個(gè)關(guān)鍵詞

巧合的是，Ryuk 也會(huì)搜索帶有該關(guān)鍵詞的文檔。

Tu 9：Ryuk 勒索病毒在搜索“Ahnlab”

顯然，這兩大病毒肯定有聯(lián)系，只是我們不知道它們是否出自同一組織之手，或者說有人將 Ryuk 的代碼用在了“數(shù)據(jù)提取機(jī)”中。也許那個(gè)手邊有 Ryuk 代碼的人只是玩了把復(fù)制粘貼呢。

當(dāng)然，兩者也有不同。Ryuk 的運(yùn)行就沒有任何依存性，而“數(shù)據(jù)提取機(jī)”需要許多 DLL 的支持。也就是說，“數(shù)據(jù)提取機(jī)”可能是被手動(dòng)安裝在電腦上的（或者是個(gè)帶有全部組件的程序包）。

隨著研究的深入，相信未來其安裝過程會(huì)逐步大白于天下。

雷鋒網(wǎng)編譯自 Bleeping Computer。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。