- A+
我们看到一系列新的NSIS安装程序用于勒索软件活动。 这些新安装程序包含重要更新,表明攻击者通过改变他们打包恶意代码的方式再次躲避AV检测。 在安装人员中观察到这些变化,这些安装人员会丢弃Cerber,Locky等其他勒索软件。
众所周知,网络犯罪分子会在Nullsoft脚本安装系统(NSIS)安装程序文件中隐藏恶意软件。 随着防病毒软件有效地检测到这些安装程序文件,网络犯罪分子再次更新其工具以渗透计算机。
新的恶意NSIS安装程序通过合并通常出现在合法安装程序中的非恶意组件,明显地尝试尽可能正常:
- 除了安装引擎system.dll之外,还有更多非恶意插件
- 一个.bmp文件,用作安装程序界面的背景图像,模仿合法的文件
- 非恶意卸载程序组件uninst.exe
然而,最重要的变化是缺少通常随机命名的DLL文件,该文件以前用于解密加密的恶意软件。 此更改显着减少了NSIS安装程序包中恶意代码的占用空间。
图1.旧NSIS安装程序和更新的安装程序的内容比较,突出显示更新版本中缺少随机命名的DLL文件
网络犯罪分子采用这些更新的NSIS安装程序非常重要,这反映在从上个月开始丢弃勒索软件的独特NSIS安装程序数量的增加。
图2.丢弃勒索软件的独特NSIS安装程序的数量有所增加
更新了NSIS恶意软件安装程序
在旧版本的恶意Nullsoft安装程序中,该程序包包含一个恶意DLL,用于解密并运行加密数据文件,该文件包含加密的有效负载和解密代码。
在新版本中,恶意DLL不存在。 相反,Nullsoft安装脚本负责将加密数据文件加载到内存中并执行其代码区域。
安装脚本本身被混淆:
图3.安装脚本
将加密数据文件加载到内存后,脚本获取代码区域的偏移量(12137):
图4.显示偏移量的部分代码
然后它发出一个电话:
图5.显示对加密数据文件的调用的部分代码
加密数据文件中的代码区域是第一个解密层:
图6.首次解密后的数据文件
然后脚本进一步解密代码,最终解密并运行最终的有效负载。
通过不断更新安装程序包的内容和功能,网络犯罪分子希望通过逃避防病毒解决方案来渗透更多计算机并安装恶意软件。
NSIS安装程序在勒索软件活动中
鉴于分发勒索软件的NSIS安装程序普遍存在,它们很可能是攻击者用来安装恶意软件的分发网络的一部分。
这些NSIS安装程序用于提供恶意软件的活动,最明显的是勒索软件。 广告系列通常采用此方案:
- 攻击媒介是电子邮件。 制作电子邮件以模仿发票递送通知。
- 电子邮件包含以下任何恶意附件:
- JavaScript下载器
- .zip文件中的JavaScript下载程序
- 包含PowerShell脚本的.LNK文件
- 带有恶意宏代码的文档
- 恶意附件在打开时会下载NSIS安装程序
- 然后NSIS安装程序解密并运行恶意软件
我们已经看到NSIS安装程序在最近的活动中提供以下恶意软件,其中包括臭名昭着的勒索软件系列:
- CERBER
- Locky
- Teerac(又名Crypt0L0cker)
- Crowti(又名CryptoWall)
- Wadhrama
- Critroni(又名CTB-Locker)
针对不断变化的威胁的实时安全解决方案
网络犯罪分子将不惜一切代价试图避开安全解决方案,以便在您的计算机上安装恶意软件。 事实上,我们在网络犯罪活动中看到这些提供勒索软件的创新,这表明他们非常积极地实现他们的最终目标:从受害者那里吸取资金。 不幸的是,对于企业来说,成功的恶意软件感染的损害可能不仅仅是现金。
在Microsoft,我们非常密切地监控威胁情况,以检测更新的感染技术等移动。 我们这样做是为了确保我们为客户提供最好的保护。 了解攻击者技术不仅可以让我们为特定攻击创建解决方案,还可以让我们看到需要更多启发式解决方案的趋势。
要从Microsoft获得最新的保护,请升级到Windows 10.使您的计算机保持最新状态可以获得最新版本的Windows中内置的最新功能和主动缓解的优势。
启用Windows Defender Antivirus以检测这些新的NSIS安装程序。 Windows Defender Antivirus使用基于云的保护,有助于保护您免受最新威胁的侵害。
对于企业,使用Device Guard锁定设备并提供基于内核级别的虚拟化安全性,仅允许可信应用程序运行,从而有效地阻止这些NSIS安装程序执行和下载其有效负载。
使用Office 365高级威胁防护,它具有阻止危险电子邮件威胁的机器学习功能,例如带有下载这些恶意安装程序的脚本的电子邮件。
最后,使用Windows Defender Advanced Threat Protection监控您的网络,该威胁会向安全运营团队发出有关可疑活动的警报。 免费评估。
来源:HTTPS://blogs.technet.microsoft.com
