新闻快讯
< >

针对VBA宏勒索软件BLUFISH的检测分析与有效防护

一、VBA宏勒索软件BluFish概述

传统勒索软件的重要功能模块多半为二进制可执行程序,而脚本仅作为加载器使用。安天在近期捕获的样本中发现了一种新型的完全使用VBA宏编写的文件加密勒索软件家族BluFish。不同于其他勒索软件(如Locky),其加密文件时不会改变文件名称,亦不会修改文件结构,而仅对Microsoft Word文档内容进行加密,其勒索信息将连同加密内容一起显示在Word文档内容中。

该勒索软件通过感染Microsoft Word的Normal模板进行传播,并在每个被感染的Word文档中增加名为“qkG”的恶意宏代码。当用户启用宏时,normal.dot模板就会被感染,当用户关闭文档时,它就会将文件加密。

从目前的情况来看,该家族勒索软件处于编写者技术摸索进化阶段,并不完全成熟, 但VBA宏编写勒索软件后续可能成为一种典型手法。技术成熟后,此类攻击可能大规模爆发,因此需提高警惕。

经测试验证,安天智甲终端防御系统可以有效防护阻断该病毒家族,探海威胁检测系统可以在流量侧检测识别该家族。安天在过去17年的发展历程中,积累了深厚的恶意代码对抗底蕴,研发了自主先进的AVL SDK威胁检测引擎。作为网络安全产品的“发动机”,优质的威胁检测引擎可为产品注入强大的动力。安天AVL SDK不仅具有非常高的威胁检出率,并且可对威胁提供精准的命名和配套的知识体系;不仅可增强产品防御的有效性、灵活性,同时也可输出有效的安全知识和威胁情报。成为了安天产品的可靠“动力之源”。

针对文档类对象,安天AVL SDK可深度解析Office文件结构,细粒度地对文件进行解析还原,分离出文件中的宏代码,进行深度脚本预处理,为后续防御提供准确的检测结果。

二、样本分析

2.1 BluFish病毒发作现象

如果用户打开Word文件后,看到如下字样,表明已经被感染。这与其他勒索软件感染后导致Office文件丢失,扩展名改变,或打开乱码的现象有明显差异。

感染病毒后的Word文件和模板文件的VBA工程会出现名为qkG的新对象,内有病毒的代码。这也可见宏病毒的一贯威胁特点,易写、易改,但由于早期Office版本是未公开的OLE2结构,所以难以安全清除。安全清除宏病毒也是反病毒厂商需要有的扎实基本功,是具有反病毒底蕴的安全厂商相对于没有自主引擎能力厂商的明显优势。

鉴于宏病毒是明文脚本,为了避免带来不良后果,安天小编对文中涉及病毒代码的截图做了马赛克处理。

针对VBA宏勒索软件BLUFISH的检测分析与有效防护

图2.2 感染后的word文档VBA工程

针对VBA宏勒索软件BLUFISH的检测分析与有效防护

图2.4 修改Office安全设置注册表

2、感染模板和正常Word文档

修改Office Word安全设置后进行宏感染操作,包括感染Normal模板和当前的活动文档,以达成感染链的不断延续。

1)通过当前文档感染Normal模板。

首先获取当前文档和Normal模板VBA工程的第一个模块对象,判断Normal模板中是否存在名称为“qkG”的宏代码,若不存在则会新建名称为“qkG”的宏代码并添加Document_Close ()函数,然后将当前文档中的恶意宏代码复制到Normal模板的Document_Close ()函数下。

2)通过Normal模板感染当前文档。

首先获取当前文档和Normal模板VBA工程的第一个模块对象,判断当前文档中是否存在名称为“qkG”的宏代码,如果不存在则会新建名称为“qkG”的宏代码并添加Document_Open()函数,然后将Normal模板中的恶意宏代码复制到当前文档的Document_Open()函数下。

针对VBA宏勒索软件BLUFISH的检测分析与有效防护

图2.8 加密代码

在获取文档内容后,调用Crypto函数进行异或加密操作,异或加密的密钥为硬编码在代码中常量字符串"I'm QkG@PTM17! by TNA@MHT-TT2",目前发现的该类VBA宏代码只对Word文档内容的奇数字符进行异或加密,偶数字符保持不变。异或加密后的字符串会调用ToHex函数进行十六进制字符串处理,最后将处理完后的十六进制字符串写入文档中。

针对VBA宏勒索软件BLUFISH的检测分析与有效防护

图2.10 加密主函数

针对VBA宏勒索软件BLUFISH的检测分析与有效防护

图2.12 异或加密十六进制化函数

2.3 BluFish家族演变

从安天捕获的多个BluFish家族样本中可以发现,BluFish在不断改进,其功能不断复杂化(如图2.13所示)。

<img class="aligncenter size-full wp-image-8891" src="https://cdn.easyaq.com/@/image/download/775t849ur12nc1.png" width="95%" height="" " title="" alt="针对VBA宏勒索软件BLUFISH的检测分析与有效防护" width="621" height="85"/>

图2.13 BluFish家族功能演变

现阶段捕获的BluFish家族样本更像是完全利用恶意宏代码进行勒索的概念验证恶意文件,并未大规模流传。但由于宏病毒具有易写、易改、难杀的特点,生成新变种的成本低,未来可能会演变成具有威胁性的网络攻击勒索软件,应引起注意。

另外,该样本是在越南地区被发现,并且代码中包含了一些越南语词汇,因此推断该病毒作者来自越南的可能性比较大,代码中包含的字符串“TNA-MHT-TT2”可能为作者所使用的某种名称代号。

三、 防护建议

安天建议用户:

1、警惕第三方未知来源Office文件,切勿轻易打开或运行未知来源的文件;

2、为防止勒索软件造成严重损失,应及时备份重要文档或资料;

3、在终端安装可靠的安全防护产品,如内嵌安天AVL SDK的安天智甲终端防御系统