服务器的神秘来客：XTBL敲诈者木马技术分析

0x1前言
XTBL敲诈者是一款专门针对Windows服务器的敲诈者木马，最早出现于2015年，不过当时只在小范围传播，并未大面积影响国内服务器。但自今年六月起，国内不少服务器开始出现XTBL敲诈者感染迹象，而且还出现了多个变种。根据360反病毒中心调查分析，该木马很可能是攻击者利用服务器漏洞入侵后直接运行感染的。

图1 搜索引擎返回结果显示“XTBL”敲诈者盛行
服务器感染“XTBL”敲诈者后，服务器中文档，压缩包，图片等文件均遭到加密，并修改文件后缀为“XTBL”，并在文件名中附带黑客的邮箱。图2显示的是一位求助网友的服务器感染“XTBL”敲诈者后的桌面截图。

图2 感染“XTBL”敲诈者木马后桌面截图
0x2 传播途径分析
“XTBL”敲诈者的攻击目标主要为Windows服务器。黑客入侵服务器后释放敲诈者木马程序，而敲诈者木马在加密文档的同时枚举网络资源，查找工作组和域内所有共享服务器的共享资源，并对其进行加密，以达到二次传播的效果。对照求助网友的服务器登陆日志以及文档最后修改时间可以发现，服务器感染敲诈者木马之前一段时间曾遭到疑似爆破登陆。

图3 文件最后修改时间

图4 文件加密之前服务器曾遭到疑似爆破登陆

图5 “XTBL”敲诈者文件创建时间
0x3 样本分析
本文以最新捕获的“XTBL”样本为例进行分析。和大部分敲诈者木马相似，“XTBL”敲诈者木马解密数据段的数据，创建本进程另一实例作为“傀儡”进程进行进程替换，以达到运行shellcode的目的。初始进程可能伪装成安装包或其他应用程序，无恶意功能，载入shellcode的“傀儡”进程执行敲诈者木马的主要功能。

图6 “XTBL“敲诈者伪装成安装程序
从Dump出的shellcode可以看出，程序主要由五大功能模块组成。包含API字符串的解密及地址获取，启动项的添加，删除卷影，发送服务器信息以及加密文件。

图7 五大功能模块
对于API函数字符串的解密，则是取地址0x40D450中存放的常量字符串，偶数位四字节异或0x98765432，奇数位四字节异或0x12345678所得。之后通过得到的API字符串获取相对应的函数地址，构建导入表。

图 解密API字符串
该程序对字符串的解密方法十分讲究，程序中使用的所有字符串包括RSA公钥都由一串位于地址0x41F900的密文动态解密得到，解密算法有多种，都是基于异或解密的方式，并由一常数控制密文索引起始值。下图显示程序中使用的部分字符串的解密结果。

图9 部分字符串解密结果
相比较灵活的字符串解密方式，程序的自启动方式显得“墨守陈规“，通过设置相关注册表项以及复制文件到启动目录两种方式添加启动项。

图10 设置相关注册表项

图11 复制自身到启动目录
在进行加密之前，程序会删除卷影备份。

图12 删除卷影备份
值得一提的是，“XTBL”敲诈者使用管道来传递命令行，这和“Ceber”系列敲诈者使用方法相同，而通过“mode con select=1251”命令行设置MS-DOS显示为西里尔语可能与作者来自俄罗斯有关。
完成以上准备工作之后，程序产生两组密钥块，其中一组用于本地文件加密，另一组用于网络共享资源文件加密。