
今年夏天早些时候,Netskope威胁研究实验室(Netskope treature Research Labs)在博客上发布了洛克勒索软件的Zepto变体,通过流行的云应用程序传播。从第一个博客开始,我们一直在监视勒索软件的发展,防御ddos自动防御的吗,阿里云如何防御ddos,现在可以确认Zepto是通过DLL而不是EXE来执行它的主负载。最近,我们发现了一种被检测为"JS:特洛伊木马.JS:特洛伊木马.downloader.FKE". 检测到的ZIP文件包含一个名为"credit_card_receipt_056AC83C.js"的文件,山石防火墙防御ddos,在图1中以模糊格式显示。
图1:模糊处理的恶意Javascript文件代码去模糊处理的代码与我们在之前对Zepto的分析中看到的非常相似,但是代码中有一些细微的变化,如图2所示。
图2:JS文件的去模糊代码几个变量名建议使用rundll32.exe在32位和64位操作系统上执行DLL文件。去模糊处理的版本提供了关于攻击的更多细节。
图3:去模糊处理和变量替换的JavaScript代码Zepto的这个变体包含一个url数组(受损域或攻击者控制的域),用于下载其自定义的加密Zepto负载。该脚本将查询处理器架构以检查底层系统是64位还是32位,然后定义rundll32.exe执行主DLL的路径。该脚本将从数组中选择任意一个随机URL来下载其主加密二进制文件,ddos防御配置,并将以硬编码名称"Ydsy0NQF01Pi"保存在%TEMP%文件夹下作为DLL文件。如图4所示,h3c防火墙如何防御ddos,在脚本中替换变量后脚本的第二部分。
图4:JavaScript的DLL下载和执行流程该脚本将.txt文件放到%TEMP%文件夹下,并从从数组中选择的一个随机URL下载Zepto的主加密负载,该负载采用自定义加密格式。然后,该脚本解密文件,执行一些有效性检查,然后使用参数"qwerty 323"启动zeptodll。一旦执行,Zepto将继续感染系统,如前所述,只需对C&C通信请求方法做一个微小的更改,就可以用".Zepto"扩展名加密用户的文件。这个Zepto变体使用URI"/data/信息.php"将受害者的信息发送给其C&C,如图5所示。
图5:Zepto变体与C&C
服务器的网络通信总之,我们看到了第一个版本的Zepto使用自定义加密的可执行文件作为有效负载,而这个新版本的Zepto下载了一个自定义加密的DLL(动态链接库)文件作为其主要负载。洛克勒索软件的Zepto变体继续发展,采用不同的技术,通过不同的有效载荷传递机制来逃避检测。我们在Netskope威胁研究实验室持续监控Zepto的发展,并将报告任何新技术的使用和规避。