感染流程

盡管每一個攻擊活動的特定要素均有略微差異，包括使用不同的XOR密鑰值等，但它們都具有一些共同的特性。試圖傳播此惡意軟件的電子郵件攻擊活動均具備標準的垃圾郵件特征。它們的主題行均使用“Copy_”或“Document_”作為開頭，后面附帶一串隨機數字進行偽裝，如“Copy_30396323”和“Document_3758”等。在我們監控這些攻擊活動的同時，我們也注意到又出現了更多的攻擊活動，每一個均采用了略微不同的主題。首輪攻擊活動相關的電子郵件的正文沒有任何內容，僅帶有名為“nm.pdf”的附件。這一攻擊活動的電子郵件示例如下。

圖A：電子郵件示例

正如我們在上面的屏幕快照中看到的，攻擊者在生成與這些攻擊活動相關的電子郵件時并未花費很大的心思。不久以后，我們注意到在后續的攻擊活動中，電子郵件正文開始包含以下文本：

“Image data in PDF format has been attached to this email.(這一電子郵件的附件包含PDF格式的圖像數據。)”

在所有情況中，附件文件都是一個惡意PDF文檔，內嵌了Microsoft Word文檔。當受害者打開PDF時，在PDF正文中將會顯示一段內容，然后試圖打開內嵌的Microsoft Word文檔。

圖B：PDF附件示例

與我們在最近的Locky攻擊活動中觀察到的現象類似，當PDF試圖打開內嵌的Microsoft Word文檔時，系統會提示受害者批準這一操作。此處繼續感染流程需要用戶的交互，以逃過組織可能部署的自動檢測機制。此時在用戶批準之前，將不會發生惡意活動。在未配置模擬這一審批活動的沙盒環境中，感染可能永遠不會發生，并可能會導致沙盒環境判定此文件為正常文件，偏離其惡意本質的事實，而這主要是因為感染未被觸發。

該PDF附件包含以下Javascript，用于打開內嵌的Microsoft Word文檔：

圖C：PDF中的Javascript

單擊“OK(確定)”按鈕會導致PDF打開惡意Microsoft Word文檔，整個行為與我們在其他攻擊活動中看到的行為基本類似。毫無意外的是，用戶還將會被提示啟用編輯，以查看Word文檔的內容。需要指出的是，該惡意Microsoft Word文檔包含兩頁，而不像大多數惡意Word文檔一樣只有一頁。

圖D：惡意Word文檔示例

一旦惡意內容被啟用，該Microsoft Word文檔將會執行一個VBA宏，它的作用就是充當勒索軟件下載程序，試圖獲取勒索軟件二進制文件以感染系統。

該VBA宏包含多個下載域名，使用大寫字母“V”隔開。這就給該惡意軟件提供了多個機會來嘗試從多個來源下載惡意載荷。

圖E：VBA下載程序

用于下載Jaff二進制文件的URL與我們在Locky攻擊活動中觀察到的URL非常類似。

圖F：下載URL

以上下載的二進制blob之后會使用惡意Word文檔中內嵌的XOR密鑰進行XOR處理，我們在這一攻擊活動中觀察到多個XOR密鑰。下面的屏幕快照是我們在VBA宏的Module3中發現的，其中XOR密鑰為“d4fsO4RqQabyQePeXTaoQfwRCXbIuS9Q”

圖G：XOR密鑰

當這一XOR流程完成后，惡意軟件將使用以下的命令行語法，使用Windows Command Processor啟動實際的勒索軟件PE32可執行程序：

圖H：啟動可執行程序

勒索軟件會重復對系統上存儲的文件夾進行加密，這一特定勒索軟件附加到每個文件的文件擴展名為“jaff”。它會在受害者的“My Documents(我的文檔)”目錄下寫入一個名為ReadMe.txt的文件，其中包含了勒索聲明。

圖I：文本格式的勒索聲明

它同時還會修改桌面背景，如下所示：

圖J：修改的桌面壁紙

需要指出的有趣一點是，上面的說明并未指示用戶使用Tor2Web等Tor代理服務，相反它指示用戶安裝整個Tor瀏覽器軟件包，以訪問贖金付費系統。樣本和攻擊活動中使用的Tor地址也似乎沒有變化。訪問贖金付費系統時，受害者將會看到以下信息，要求他們輸入在被感染系統上的勒索聲明中列出的解密ID。

圖K：指定解密ID

在此網站中輸入正確的ID值后，受害者將會看到完整的說明頁，列出了攻擊者要索取的贖金金額，以及具體的付費說明。

圖L：贖金付費系統

值得一提的是，贖金付費系統的外觀與我們在Locky中看到的系統非常相似。在這一案例中，被索取的贖金金額為2.01117430個比特幣，按當下價格計算相當于約3700美元，大幅高于其他勒索軟件活動所索取的金額。通過查看贖金付費服務器指定的比特幣錢包，我們確定這一錢包當前處于零成交狀態。

圖M：比特幣錢包交易情況

攻擊活動傳播/規模

截至目前為止，思科Talos觀察到超過10萬封電子郵件與這些新Jaff攻擊活動有關。相對于一種新攻擊而言，這種通過垃圾郵件傳播的勒索軟件規模可謂極其龐大。它們與Necurs的緊密關系使得其垃圾郵件攻擊活動能夠在短期內達到超大規模。首輪垃圾郵件攻擊活動開始于2017年5月11日UTC時間上午8點，包含約35,768封電子郵件，均帶有附件“nm.pdf”。在這一垃圾郵件攻擊活動中，思科Talos觀察到約184個獨特的樣本。

思科Talos還觀察到第二輪攻擊活動于第二天開始，包含約72,798封電子郵件。這一輪的攻擊活動開始于2017年5月12日UTC上午9點，傳播了約294個獨特樣本。該輪攻擊活動使用的附件文件名為“201705*.pdf”，其作用與我們在首輪攻擊活動中觀察到的附件完全相同。

這是一種新的LOCKY攻擊嗎?

這兩輪攻擊活動使用了一些共同的特征來傳播Jaff，其使用的C2流量模式與我們在Locky和Dridex等活動中已經習以為常的模式相似。然而，我們相信這并非是Locky勒索軟件的一個新版本或改頭換面的版本。兩種攻擊的代碼庫間的相似度非常低，雖然曾使用Necurs傳播Locky的攻擊者與現在傳播Jaff的攻擊者可能是同一批人，但該惡意軟件本身還是存在著明顯的區別，應被區別看待，并劃分到不同的勒索軟件家族中。

如果要將其視作一種“新的”Locky，原因可能包括其肆無忌憚的風格、與Locky一樣橫空出世、主要通過惡意垃圾電子郵件傳播、以及利用惡意Word文檔等，但攻擊活動自身的特點不應用于判斷惡意軟件是否相同。這是一種新的勒索軟件，攻擊者在代碼庫、基礎設施和規模方面都開展了大量的工作。然而，它不是Locky 2.0。它是另一種攻擊性非常強的向最終用戶推送勒索軟件產品的全新惡意軟件，目前應與Locky分開看待。

我們注意到攻擊者已開始使用Necurs來通過多個大規模垃圾郵件活動的形式傳播Jaff。我們將會繼續監控此攻擊活動，我們會對每一封電子郵件進行威脅分析，以確定這是一次曇花一現的攻擊，還是這一勒索軟件家族將會繼續感染未得到可靠保護的組織。

IOCS

電子郵件主題

Copy_數字串

Document_數字串

Scan_數字串

PDF_數字串

File_數字串

Scanned Image

附件文件名：

nm.pdf

String of Digits.pdf(示例：20170511042179.pdf)

附件哈希值：

與這一攻擊活動相關的附件列表可以在此處找到。

Word文檔哈希值：

與PDF內嵌的Microsoft Word文檔相關的哈希值列表可以在此處找到。

二進制哈希值：

03363f9f6938f430a58f3f417829aa3e98875703eb4c2ae12feccc07fff6ba47

C2服務器IP：

108.165.22[.]125

27.254.44[.]204

傳播域名：

與這些攻擊活動相關的傳播域名列表可以在此處找到。

結論

這是全球掀起的新惡意軟件變種的又一示例。這一攻擊現在很常見，它向我們揭示出為何此類攻擊對于犯罪分子極具吸引力。其市場價值高達數百萬美元，每個人都想從中分一杯羹。Jaff通過基于Necurs的常見垃圾郵件機制進行傳播。然而，它勒索的贖金非常高，此處的問題在于，當贖金達到多高時，用戶就將不會付費。未來，我們很可能會看到攻擊者不斷嘗試找到合理的價位，以在確保能夠收到贖金的同時最大化利潤。

在當今的威脅環境中，勒索軟件開始占據主流地位，并被傳播到全球幾乎所有系統上。隨著漏洞利用套件活動的大規模減少，它可能會繼續主要通過電子郵件傳播，或在攻擊者嘗試通過Samsam等威脅進入網絡或系統時，通過次要載荷傳播。

規避辦法

下方列出了客戶可以檢測并阻止此威脅的其他辦法。

高級惡意軟件防護(AMP)能夠有效避免執行這些攻擊者使用的惡意軟件。

CWS或WSA網絡掃描能夠阻止訪問惡意網站，并發現這些攻擊中使用的惡意軟件。

Email Security可以阻止攻擊者在其攻擊活動中發送的惡意電子郵件。

IPS和NGFW的網絡安全防護功能可以提供最新的簽名，用來檢測攻擊者發起的惡意網絡活動。

AMP Threat Grid能夠幫助發現惡意軟件二進制文件，并在所有思科安全產品中建立防護措施。

Umbrella能夠阻止對與惡意活動相關的域名進行DNS解析。