信息來源:4hou
GandCrab勒索病毒是一種廣泛使用的加密病毒,自2018年1月以來一直活躍在攻擊第一線,目前惡意軟件已經(jīng)出現(xiàn)多種攻擊性變種。
包括:.GDCB,.KRAB,.CRAB,GandCrab 2,GandCrab 3,GandCrab 4,GandCrab v4.1,GanCrab v4.1.2和GanCrab v5。在這么短短的兩年時間里,GandCrab經(jīng)歷了很多版本的更新迭代,傳播感染多式也發(fā)生了很多變化,使用的技術(shù)也不斷升級。不過有一點似乎沒變,就是各個版本的GandCrab都采用了RSA+salsa20相結(jié)合的加密算法,導致加密后的文件,無法被解密。
按著以上所說的發(fā)展趨勢,GandCrab還會再進行迭代,攻擊趨勢也將愈加猛烈!但就在6月初,惡意軟件操作GandCrab背后的威脅組織卻突然宣布他們已終止對該病毒的更新。在此之前,就傳播速度和快速發(fā)展而言,GandCrab一直是過去一年中最活躍的惡意軟件活動之一。
威脅組織聲稱,他們的“勒索即服務”(RaaS)運營收入總計20億美元。但由于其子公司占了收入的大部分比例(60%-40%,在某些情況下為70%-30%),所以看似這個業(yè)務很賺錢,但他們聲稱自己只從其業(yè)務中賺取了1.5億美元?;谕度氘a(chǎn)出的考量,該組織還是停止了研發(fā)GandCrab的業(yè)務。
GandCrab被停止更新的通知
具體情況分析
GandCrab于2018年1月28日首次出現(xiàn)在俄羅斯黑客論壇exploit.in上,當時文件加密惡意軟件的傳播速度和影響力似乎正在下降。盡管如此,GandCrab仍能發(fā)揮重要作用,僅在出現(xiàn)后的第一個月就感染了5萬多名受害者。
另外,它們出名的一個原因是,它們是第一個只接受DASH加密貨幣作為贖金支付的犯罪組織,盡管后來幕后開發(fā)者還是決定接受其他加密貨幣。開發(fā)者還使用集中式DNS服務器(a.dnspod.com)使用.BIT TLD托管其C2,該服務器名義上聲稱可鏡像Namecoin的命名空間。雖然.BIT通常與NameCoin組織的分散DNS項目相關(guān),但GandCrab與NameCoin的關(guān)系后來被該組織揭穿。
GandCrab在俄羅斯論壇exploit.in的廣告
傳播過程
GandCrab積極的傳播速度網(wǎng)絡是通過其會員計劃以及與其他服務(例如二進制加密程序NTCrypt)和其他具有RDP和VNC傳播速度經(jīng)驗的參與者的合作伙伴關(guān)系而建立的。起初,他們只針對西方國家,主要是拉丁美洲。后來,他們擴展到與中國和韓國的惡意軟件傳播速度商合作,直到去年四月,研究人員才發(fā)現(xiàn)了針對韓國的GandCrab有效載荷的垃圾郵件活動。
GandCrab異常但可能有效的營銷策略
由于GandCrab的飛速發(fā)展,F(xiàn)ortiGuard 實驗室還和其他安全研究人員一直在積極地監(jiān)控版本之間的變化。除新功能外,這些功能還包括通過異常但可能有效的營銷策略進行傳播,攻擊者將其嵌入二進制文件中,以混淆研究人員和安全組織的分析。這種做法會制造了一些反分析時的噪音,這可能使它們成為去年被報道最多、談論最多的勒索軟件家族之一。這一不同尋常的戰(zhàn)略顯示了一種幾乎空前的犯罪虛張聲勢,甚至是一種不可戰(zhàn)勝的感覺,因為他們能夠不受任何影響地發(fā)布擾亂安全社區(qū)的公開聲明。
開發(fā)者嵌入的嘲諷研究人員和組織的消息
在另一個不同尋常的營銷策略中,GandCrab的開發(fā)者們還利用安全公司的報告來宣傳他們服務的成功,同時嘲笑他們的對手。
使用來自安全公司的報告作為GandCrab很牛叉的廣告
快速的發(fā)展過程
GandCrab成功的部分原因在于他們使用了敏捷的開發(fā)方法,從而可以快速發(fā)布新版本。這在我們有關(guān)GandCrab v4.x開發(fā)的文章中得到了最好的描述。關(guān)于GandCrab開發(fā)的完整時間表的詳細討論也可以在我們的AVAR2018:GandCrab Mentality演示文稿中找到。
GandCrab v4.0-v4.4的時間發(fā)展線
GandCrab銷聲匿跡的過程
快速的版本迭代,使他們能夠成功逃避許多安全公司的檢測。一個很好的例子是,Ahnlab發(fā)布了一種有針對性的工具,通過創(chuàng)建一個在執(zhí)行加密程序之前被惡意軟件檢查過的文件,來防止惡意軟件在系統(tǒng)中執(zhí)行。這引發(fā)了兩家公司之間的針鋒相對,甚至導致攻擊者披漏了針對Ahnlab產(chǎn)品的拒絕服務攻擊的POC。
然而,GandCrab也不例外,在快速開發(fā)期間,也沒有怎么考慮產(chǎn)品的安全性,產(chǎn)品也越來越糙,因為在公開的版本中,研究人員就發(fā)現(xiàn)了許多錯誤代碼和漏洞。例如,在惡意軟件的早期版本中,他們使用硬編碼的RC4密鑰來加密他們的出站流量,其中也包含私鑰,這樣就可以解密受害者的勒索文件。另一個簡單但嚴重的漏洞是在生成RSA密鑰時沒有設(shè)置標記。這導致私鑰的副本被存儲在受害者的系統(tǒng)上
但是,也許他們最大的不幸(我們認為最終導致了他們的銷聲匿跡)是他們服務器端基礎(chǔ)架構(gòu)被破壞了,這導致了受害者私鑰的泄漏。在GandCrab開始運作一個月后,BitDefender就與歐洲刑警組織合作,為GandCrab v1的受害者發(fā)布了免費的解密工具。當時,關(guān)于他們是如何做到這一點的信息非常有限,至少在勒索軟件作案者自己宣布他們的付款頁面已經(jīng)被攻破之前是如此,我們懷疑這導致了解密工具的創(chuàng)建。
GandCrab在他們的付款頁面上發(fā)布了關(guān)于這個漏洞的帖子
我們認為,類似的漏洞最終導致了解密工具的發(fā)布,該工具用于解密被新版本惡意軟件加密的文件。事實上,就在GandCrab被宣布停止更新后的兩周后,BitDefender就發(fā)布了一個新版本的解密工具,該工具支持破解最新版本(v5.2)的惡意軟件。
總結(jié)
GandCrab是一種勒索軟件即服務惡意軟件,由一個高水平的犯罪組織管理,該組織正在進行一場迅速演變的勒索軟件活動。通過他們激進的,雖然不尋常的營銷策略和不斷招募子公司,以至于該軟件能夠在全球分發(fā)大量的惡意軟件。
但是, 鑒于投入產(chǎn)出比,GandCrab團隊已經(jīng)不再開發(fā)該軟件了。但是,考慮到這個威脅組織在整個開發(fā)和營銷過程中顯示出的能力,這份停止運行的公告可能只是他們的營銷手段之一。因此,研究人員猜測,它們今后有可能以另一種形式重新出現(xiàn)。