勒索DASH币CrySiS最新变种的同源分析

前言

CrySiS勒索病毒，又称为Dharma勒索病毒，首次出现于2016年，2017年5月此勒索病毒万能密钥被公布之后，导致此勒索病毒曾消失过一段时间，不过随后该勒索病毒就开发了它的最新的一款变种样本，并于2018年开始在国内重新流行起来，最新变种的加密后缀为java，主要通过RDP暴破的方式进行攻击，这几年的时间里这款勒索病毒仍然一直在活跃，经常有朋友通过微信找我咨询该勒索病毒的一些问题，近期笔者通过监控，发现了该勒索病毒的最新的变种，该变种改为了勒索DASH币，主要通过钓鱼邮件的方式进行传播，此于为什么改为了使用DASH币，是不是因为最近BTC暴跌，而且各国都开始打击BTC的原因，所以黑客改为了使用DASH币。

DASH币于2013年上线，原名为暗黑币，2015年3月份改为达世币，达世币在全球范围里使用较广，覆盖了187个国家，超过3000多企业已经接受达世币付款，未来会不会有更多的勒索病毒黑客组织改为勒索DASH币，需要持续的观察和监控，不过可以预测这会是一个趋势，勒索病毒黑客组织一直没有停止过运营，不管是病毒样本的更新，还是勒索方式的改变，都在不断更新运营。

同时更多成熟的勒索病毒黑客组织开始加入到BGH活动当中，未来针对企业的定向勒索会成为勒索攻击的主流方式。

勒索病毒

该勒索病毒运行加密文件之后，如下所示：

弹出勒索提示信息框，如下所示：

生成勒索提示信息文件FILES ENCRYPTED.txt，内容如下所示：

该勒索病毒的解密网站，如下所示：

输入加密的Key信息，会弹出下载解密工具的界面，需要支付DASH币后，就可以下载解密工具，如下所示：

黑客的DASH币钱包地址：

Xt18ynqfA8oTVapRYDRj3Sp1n18SrDvkWx

同源分析

很多朋友会问，该怎么样做同溯分析？我拿到一个样本，如何才能确定该样本是某个家族的一个最新的变种样本，还是一个未知家族的最新样本，为啥可以定位为是一个家族的样本以及是同一个黑客组织的攻击活动？很多人搞不明白，下面我来给大家详细讲解一下吧，APT组织的归因分析也是一样的。

首先通过相关的监控渠道，每个厂商或安全研究人员都有自己的一些样本监控和捕获渠道，有些是公开的，大家都知道，有些是不公开的，捕获样本是第一步，当捕获到一个样本之后，我们需要对样本进行初步的分析和判断，判断这个样本是做什么的？挖矿，勒索，还是窃密，远控、后门，下载器等等之类的？

笔者监控到一个最新的样本，发现样本是2021年5月18日编译的，一般对这种最新的样本需要重点跟进分析一下，样本时间戳，如下所示：

那我如何把它同源到CrySiS家族的呢？这个就需要你对一些恶意软件家族有一些前期的积累分析才能快速同源到同一个家族或同一个组织。

首先从勒索提示信息入手，我之前分析过CrySiS的一个变种样本，它的勒索提示信息，与这次的勒索提示信息，差不多，但还是有差别的，如下所示：

既然勒索提示信息这么接近，那就看看二进制代码？我对之前捕获的一款CrySiS新的变种进行逆向分析，提取了里面的核心代码，然后再对比最新的这款病毒样本，对比结果，如下所示：

此前发现的CrySiS勒索病毒新变种的核心Payload代码与这次发现的勒索病毒代码相似度非常之高，再深入分析一下Main函数里面的不同点，如下所示：

深入分析发现最新的变种增加了ip地址的获取的操作，如下所示：

还增加了磁盘操作行为，如下所示：

然后对比这两个样本的主功能函数，似乎是一样的，如下所示：

通过勒索提示信息和二进制代码这两个相似度，我们可以将这款最新的勒索病毒样本同源到是CrySiS勒索病毒的最新一个最变种样本，到这里基本就完成了样本的同源分析，可以确定是一个家族的样本，我们再深入的研究一下最新的这款勒索病毒背后的黑客组织是同一个组织吗？

通过深入的分析，这款最新的勒索病毒使用的攻击流程，如下所示：

此前笔者分析的CrySiS新变种使用的攻击流程，如下所示：

通过对比，相关信息：

(1)最新的勒索病毒样本存放使用了一个网站：ritarita.es，如下所示：

此前分析的CrySiS变种样本存放也使用了一个网站：nutrilatuamente.it，如下所示：

可以推判可能是黑客先攻击了这些网站服务器，然后利用这些网站来下载传播勒索病毒，还有一些黑客会自己创建网站来进行下载传播。

(2)从上面的攻击流程可以发现，两个病毒样本使用了同样的钓鱼邮件的方式，一个是利用发票(Invoice)信息，一个是利用收据(Quietanza)信息，然后最后都使用了脚本下载勒索病毒的方式，一个使用的HTA+JS脚本，一个使用宏+PowerShell脚本的方式。

通过上面的分析，这款最新的勒索病毒使用的攻击手法与此前我发现的CrySiS那款新变种的攻击手法非常相似，可以推判(猜测)这个勒索病毒最新的变种样本背后的黑客组织与此前发现的CrySiS新变种的背后黑客组织应该是同一个组织。

笔者从样本信息(样本的危害，动态行为、静态二进制代码)以及样本攻击手法和传播方式等多个角度对捕获的这款最新的样本进行了同源分析，可以判断监控到的这款最新的勒索病毒属于CrySiS(Dharma)勒索病毒家族的最新样本，编译时间为2021年5月18日，样本非常新，同时通过对攻击手法和流程的分析，可以大致猜测传播这款勒索病毒背后的黑客组织与此前发现的CrySiS变种背后的黑客组织应该是同一个黑客组织。

总结

样本的归因以及同源分析其实是一项很复杂并且非常困难的工作，特别是发现一些最新的攻击样本的时候，你可能需要有更多的数据来支撑你的结论，大多数时候，我们在分析的时候往往是凭借自身的经验和已经积累的相关数据来进行同溯分析，并证明自己的结论是有理有据的，专业度才能得到认可，同源分析到什么程度，取决于你积累了多少有价值的数据以及你的经验，就像笔者之前所说的，安全未来就两个有价值：人和数据，专业的安全人才未来需求会越来越多，因为原始安全数据的积累也是需要靠专业的安全人才来完成的。

对于APT组织的溯源分析，也是如此，首先需要捕获到最新的APT组织的样本，然后再通过已有的数据和经验对样本进行初步的判断和分析，归因到某个APT组织，如果需要归因到某个团队或某个人，需要更多的数据来辅助分析才能完成，前期数据的积累是必不可少的，这些高价值的原始数据的积累完全由专业的安全人员一点一点分析慢慢积累的，还有就是安全分析人员的经验也是非常重要的，作为安全分析人员，平时需要不断的锻炼自己的安全分析能力，在进行溯源分析的时候，才能更好的确认样本以及黑客组织，这是一个长期锻炼的过程，并非一朝一夕的事情，现在国内专业的安全分析人员真的是太少太少了，已经不足已支撑分析处理更多的黑客组织攻击活动了，各厂商安全产品以及安全业务也都没办法很好的支撑，安全产品的能力也一直得不到提升，需要培养更多的专业安全分析人员，未来网络安全一定是以定向攻击为主的攻击活动，这些攻击活动的分析和溯源都需要大量的专业安全研究人员才能完成。

好了，就先分享到这里吧，有空再分享吧，安全的路还很长，现在才刚刚开始，未来各种黑客组织的攻击活动会越来越多，需要更多专业的安全人才，笔者及笔者的团队一直在追踪全球各种黑客组织攻击活动，分析和积累最有价值的安全核心数据，在这个过程中，每个人的安全能力都能得到极大地提高，虽然这是一个很艰辛的过程，需要消耗大量的时间和精力，但一定是值得的，也是最有价值的，做安全，坚持很重要，只有不断坚持去做，你才会有所成长。