Cerber变体：分析Cerber office 365恶意欺诈勒索软件

Cerber变体：分析Cerberoffice365恶意欺诈勒索软件

上月底出现的零日攻击报告伤害了很多Office365客户(由Avanan科研人员提示)。罪魁祸首是2020年初发现的Cerber故意作弊勒索软件的新组件。而且和其他零日威胁一样，它们的传播速度和食用菌一样快，感知它们的重要方法就是使用宏。

本博客提供了对Cerber合成的分析，使用传统的逆向工程和最新版本的ThreatTrack来分析沙盒游戏ThreatAnalyzer6.1。

分析Cerber

一般来说，逆向工程必须清楚地了解目标在做什么。无论您是在分析恶意软件样本，还是试图从一个混乱的数字中找出一个神秘的功能，最好在缩小到关键链接之前对您的目标有一个大致的“感觉”。

ThreatAnalyzer是一个沙盒游戏，可以实现一个 *** 作程序，一个文件或一个可预测的网址。它将控制地理环境，并为专家、学者或投资分析师提供相关样本运行时会做什么的详细报告。还需要注意的是，沙盒游戏是一个很好的生成威胁信息和快速获取IOCs(可感知特征)的常用工具。这款沙盒游戏的最新版本ThreatAnalyzer6.1具有嵌入式个人行为检测系统，可以让客户看到不同个人行为的样本版本，并根据这种独特的个人行为来预测、分析和剖析这种 *** 作程序，其性质是有意的还是真诚的。

在图中，在分析网页时，ThreatAnalyzer6.1为这个独特的模板提供了以下重要信息:

1.为了确认样本是有意的，必须从三个不同的方面进行测试:

ThreatIQ(人人综合威胁情报网站服务器)观察样本，并尝试与被征信局列入黑名单的url进行核对。

样本由至少一个或多个反病毒控制模块检测。

根据其个人行为，样本有很大概率是故意的。

2.注册表文件IO(file)的变化，其数据信息连接尝试及其引起的整个过程，展示给科研人员或客户。

3.将收集的所有详细信息收集到可下载的PDF或XML报告中。对于一个客户来说，他可以选择下载并存档详细的报告、生成的所有重要文档、windowsmobile手机截图或PCAP文件的副本(如果有互联网技术活动的所有主题)。

ThreatAnalyzer还提供了您所分析的XML、JSON或PDF文件格式的详细报告。这种报告包括制作的全过程，文件的修改、创建或访问，注册表文件的 *** 作过程，总体目标的创建和所有数据信息的连接。

如果我们进一步查看由该模板解析的唯一XML文件，我们可以收集以下活动标题:

1.WINWORD.EXE诞生了(这很正常，因为每个人都存储了一个DOTM文件)，但这整个过程树显示导致了许多。exe文件。

2.在%appdata%中，创建了一个文件扩展名位于VBS的随机文件:%appdata339.vbs

3.打开cmd.exe，打开VBS文件:EXE/V/Cset"GSI=%appdata%%random%。VBS"(for%Iin("Dimrwrl""函数GNBIPP(pt5sz1)""EYNT=45""GNBIPP=ASC(pt5sz1))

4.尝试连接到httx://solidariteproximite.org/mhtr.jpg。

5.在%appdata%中，是一个文件后缀为。TMP制作推广:哈希:ee0828a4E4c195d97313bfc7d4b531f1。

这种高度不正常的活动，是大家试图分析Office文本文件时获得的。以上个人行为不能归为一切正常。因此，下次你犹豫要不要打开一个备件，即使它来自你已经掌握的人或组织，在你的机器上运行它之前，你可以把它扔进一个类似ThreatAnalyzer的沙盒游戏中。

逆向工程

看看这个勒索软件是怎么编号的。它不仅会吸引Office365客户，还会继续吸引Office2007以上的客户。一旦想要的Office备件文本文件被打开，打开功能中的宏将被启动。不过要看Office之前版本信息中是否开启了宏设置或者安全设置是否较低。而且很可能是为了更好的减轻整个解析过程，避免传统的AV签名，这个Cerber宏的每次迭代都不一样，所以对错颠倒。

该宏将再次在%appdata%中创建脚本。这个VBS也是用来迷惑体验类的，幸好没有数据加密。应注意独特的手势，这可能是也可能不是避免个人行为检测的预期特征。它使用计时器功能生成一个任意整数金额限制，并将其与一个自感应变量进行比较。另外，这个手势可能是按号下载cryptor组件的必要规范。

利用嵌入VBS的互联网技术功能，它将尝试连接到云服务器，并尝试下载一个独特的文件:httx://solidaritedpro-secret.org/mhtr.jpg

它可能看起来无害，因为它只是一个简单的JPG文件，对吗？VBS号还表示，无论这个文件的内容是什么，都有可能重写这个文件的内容，将其存储为%appdata%下的.TMP文件并进行提升。虽然这种专长早就被其他恶意软件利用了，而且可以追溯到2年前，但看起来很有意思。

下载这个文件，保存它，然后运行。Mdhash是ee0828a4E4c195d97313bfc7d4b531f1。

这个下载的文件是Cerber勒索软件的数据加密的一部分。这个 *** 作程序负责对扫描器上的目标文件和受害者系统的数据进行加密。对该组件的深入分析将在单独的博客中讨论。有趣的是，这个下载的cerber可执行文件，即使没有大数据技术连接，也能加密文件。这个EXE的内部号表示不需要连接云服务器(不同于之前的Crytowall、Locky、TeslaCrypt等)来加密受害者文件的数据。

一旦系统成功，地面回路VII很可能显示如下桌面:

并在您的浏览器上显示包含以下信息的网页:

此外，还用一个机器人语音播放歌曲《你的文本文件、照片、数据库等重要文件早就加密了》的信息内容。

感应感应

以下是Cerber攻击的场景流程:

1.中间人攻击电子邮件，其中包含有意的Office文本文件备件；

2.如果客户打开电子邮件并实现了备件，备件中的Office宏将被设置为打开，该宏很可能导致并运行一个VBS脚本制作；

3.脚本会联系云端服务器，下载并实现Cerber勒索软件的加密部分；

4.扫描仪和数据加密客户端的文件；

5.显示您的系统已被Cerber勒索软件感染的通知。

欢迎分享，转载请注明来源：内存溢出

原文地址: http://outofmemory.cn/zz/771848.html