過節也不消停——TellYouThePass的“端午攻勢”

2024-06-12 09:59:37
我要分享


微信掃碼分享

概述

隨著端午節假期的結束，大家也都逐步回到了日常的工作生活當中。而360安全大腦則監控到，就在端午節假期期間，一個熟悉的勒索病毒家族再度開啟了新一輪的“攻勢”。

根據監控記錄，本輪攻擊最早見于2024年6月8日15時左右。而隨著時間的推移，本輪的整體攻擊態勢則在緩步升溫，雖然暫未呈“爆發”態勢，但依舊不容忽視。

圖1. TellYouThePass借助CVE-2024-4577漏洞的新一輪傳播?

而促成這一輪新的勒索軟件傳播的原因，當然不是端午節假期。根據監控數據推測，引發本輪傳播的一個重要原因是CVE-2024-4577漏洞的PoC代碼在6月7日時被首度發布到了公開網絡上。

圖2. CVE-2024-4577漏洞的PoC運行錄屏?

漏洞與傳播

CVE-2024-4577漏洞

結合目前的監控數據來看，本輪攻擊的源頭是來自于一個針對PHP-CGI的參數注入攻擊漏洞，漏洞的CVE編號為“CVE-2024-4577”。根據CVE官方的記述，在帶有該漏洞的環境中，PHP-CGI模塊可能會將Windows系統傳入的參數誤識別為PHP的配置選項傳遞給正在運行的PHP程序，進而可能被惡意攻擊者利用來實現“任意代碼執行”的操作。

而目前已知受到該漏洞影響的操作系統僅為Winows系統，而受影響的PHP版本則為：

l? 版本號小于8.1.29的所有8.1版PHP

l? 版本號小于8.2.20的所有8.2版PHP

l? 版本號小于8.3.8的所有8.2版PHP

圖3. CVE官方給出的受該漏洞影響的環境?

在野攻擊傳播勒索軟件

而在6月8日時，360安全大腦便監控到了該漏洞的在野攻擊。在實際觸發的在野攻擊中，系統中的HTTP守護進程會將可觸發漏洞的參數傳遞給php-cgi程序，進而導致php-cgi.exe調起系統的cmd命令行工具運行mshta解釋器來獲取在線的遠程hta腳本（實際為vbs腳本）到本地并運行。

圖4. 360安全大腦監控到的在野攻擊進程關系樹?

而最終執行的腳本，則會釋放其中經過編碼過的惡意程序并運。這個最終被釋放到本地并被運行起來的惡意程序，便是我們陰魂不散的“老朋友”，TellYouThePass勒索軟件。至此，TellYouThePass借助這個新公開的PHP漏洞展開了又一輪的攻擊。

樣本分析

hta腳本分析

攻擊者通過漏洞成功進行參數注入后，會調用系統的mshta解釋器加載在線的hta腳本到本地執行。而經分析，該hta腳本的內容實際就是一個包裹在hta外殼下的vbs腳本。

圖5. 分析所用的dd3.hta腳本代碼片段?

該腳本會對其內置的編碼字符串先進行Base64解碼，再進行反序列化等一系列操作，最終得到一個完整的.NET程序代碼，并調用該程序中一個名稱為“U”的類來執行其勒索功能。

勒索軟件主體樣本分析

如前文所述，勒索軟件主體是一個.NET程序，而其用于實現勒索功能的主體代碼則是匯總在一個名為“U”的類中。

圖6. 勒索功能類“U”?

勒索軟件執行后，會遍歷磁盤中所有文件。其中，勒索軟件會比對掃描到的目錄名稱，并比對內置的列表中存在的35個目錄名。發現在內置列表中則會跳過這些目錄而不加密其中的文件。

圖7. 勒索軟件內置的35個“不加密”目錄名?

而在其他目錄中，勒索軟件還會識別具體文件的擴展名。如果文件擴展名不在其內置的列表中，則會直接跳過而不進行加密。不過這個列表的覆蓋面卻是非常廣泛——共有426個待加密的擴展名。

圖8. 勒索軟件內置的426個“待加密”文件擴展名?

勒索軟件對文件實施加密使用的則是較為傳統的AES加密算法。

圖9. 勒索軟件調用RijndaelManaged（AES算法）進行加密

當然，用于加密AES密鑰的，AES作為一個對稱加密算法，其密鑰自然也是需要被再次加密的。而加密AES密鑰的手法也同樣傳統——使用了內置的RSA公鑰進行加密。

圖10. 勒索軟件調用RSA公鑰對AES密鑰進行加密?

安全提醒

目前，360反勒索服務中心尚未接到來自于360客戶端用戶關于TellYouThePass本輪攻擊的反勒索申訴。

但依然提示廣大網民應確保系統中的安全防護軟件正常運行，且確保其勒索防護功能處于正常開啟狀態。

而尤其需要注意的是Windows系統中運行有PHP 8.*版本客戶端的用戶，建議立即將正在使用的PHP客戶端更新至PHP官方于6月6日發布的最新版本：8.1.29、8.2.20或8.3.8。

圖11. PHP官方發布的三個最新版本客戶端的公告

熱點排行

過節也不消停——TellYouThePass的“端午攻勢”

熱點排行

關注我們