一、概述

此前,天穹团队发布的一篇文章【天穹】多个变种!某知名游戏启动器遭银狐劫持中曾提到,某知名游戏厂商的启动器StarRail.exe存在DLL劫持风险,提醒读者务必保持警惕:

由于StarRail.exe存在DLL劫持风险,请务必注意包含StarRail.exeStarRailBase.exeStarRailBase.dll或类似名称的压缩包,或SHA1为3a90253bf26597533db0cd1ce7f1e09af5c6c981的可执行文件,这很可能是攻击者用于钓鱼的白加黑样本。

就在9月份,该启动器再次遭到攻击者的劫持利用。不过这次的利用主体不是银狐,而是一个勒索软件团伙。由于该勒索软件会在加密后的文件名尾部追加.k后缀,因此被命名为KRansom家族。进一步分析发现,攻击者的意图似乎不在于谋财,更可能是希望以这种方式损害该游戏公司的名誉或纯粹用于炫技。接下来我们将结合天穹沙箱报告,对该样本的攻击手法和行为进行深度分析。

二、样本基本信息

三、样本分析

1、DLL劫持

Release.zip样本报告的深度威胁分析部分可以看到,该样本使用DLL侧加载技术,利用可信签名程序StarRail.exe的签名校验漏洞,加载了StarRailBase.dll动态库,如图1所示:

image-20241011101804987

图1 DLL侧加载利用

经比对,StarRail.exe的哈希和证书信息与此前银狐组织利用的StarRail.exe并不一致,如图2所示:

image-20241011104509231

图2 白程序签名信息

KRansom利用的白程序信息如下:

  • SHA1:2AFADFE6FA01E6999FC1FC22BEF835AB2532F12E

而此前银狐组织利用的白样本信息如下:

  • SHA1:3A90253BF26597533DB0CD1CE7F1E09AF5C6C981

由此可见,此次攻击者利用的是不同版本的StarRail.exe白程序。

2、黑DLL分析

StarRail.exe程序加载的StarRailBase.dll文件仅有5KB,却实现了一套完整的勒索操作。该DLL导出了一个名为K的接口,序号是1,而StarRail.exe恰好会导入并执行序号为1的接口,如图3所示:

image-20241011105202619

图3 PE导入表

K接口执行了两个函数,显而易见,TravelAndEncryptFiles函数用于遍历C:\Users目录下的文件并执行加密操作,WriteRansomwareNotes函数用于释放勒索信,如图4所示:

image-20241011105315056

图4 K接口执行逻辑

TravelAndEncryptFiles函数的执行流程如下:

  1. 遍历给定目录,过滤文件名为...的文件
  2. 拼接文件绝对路径
  3. 检查文件属性:
    • 如果属性为目录,则递归遍历文件
    • 否则执行EncryptFile加密文件

遍历过程代码如图5所示:

travel

图5 遍历并加密文件流程

EncryptFile函数执行的加密操作如下:

  1. 过滤文件路径长度小于2,或文件名以.k结尾的文件
  2. 使用CreateFile以读写形式打开文件
  3. 循环读取文件内容到Buffer,每次最多读取64KB(0x10000字节)
  4. 根据读取数据长度设置加密数据长度
  5. 使用XOR异或算法逐字节加密Buffer数据,加密key为0xAA
  6. 移动文件指针至上次写入位置,将加密后的数据写回文件
  7. 使用MoveFile重命名当前文件为:原始文件名.k

加密代码如图6所示:

encrypt_file

图6 文件加密流程

在沙箱报告的动态行为类目中,可以看到样本执行了大量写文件和重命名操作,如图7所示:

move_file

图7 大量文件操作

完成文件加密操作后,WriteRansomwareNotes函数会在%SYSTEM%目录释放勒索信,勒索信名为what.txt, 代码如图8所示:

drop_ransomware_note

图8 释放勒索信what.txt

沙箱报告也对捕获到的样本勒索信内容做了详细展示,如图9所示:

ransomware_note

图9 勒索软件检测

该样本行为简单,没有任何C2外联行为,也并未在勒索信中留下任何赎金要求或邮箱地址,由此推断攻击者可能试图误导受害者认为自己的文件是被游戏StarRail恶意加密的,以此来损坏其公司名誉。除以上推测,攻击者开发此样本也可能仅用于炫技或测试,并无其他特殊目的。

四、IOC

1
2
3
4
恶意文件(SHA1)
A45A89A46D91DCA91CF76739EF7EDB0A226DDBFA          Release.zip
2AFADFE6FA01E6999FC1FC22BEF835AB2532F12E          StarRail.exe
4527B754718E9767AD0A1B4051544E23494FF511          StarRailBase.dll

报告链接:天穹沙箱分析报告

特别注意:

由于不同版本的游戏启动器StarRail.exe均存在DLL劫持风险,且已多次发现被利用,请务必注意包含StarRail.exeStarRailBase.exeStarRailBase.dll和类似名称的压缩包,或注意SHA1为以下值的可执行文件:

  • 2AFADFE6FA01E6999FC1FC22BEF835AB2532F12E
  • 3A90253BF26597533DB0CD1CE7F1E09AF5C6C981

这极可能是攻击者用于钓鱼的白加黑样本。

五、技术支持与反馈

星图实验室深耕沙箱分析技术多年,致力于让沙箱更好用、更智能。做地表最强的动态分析沙箱,为每个样本分析人员提供便捷易用的分析工具,始终是我们最求的目标。各位同学在使用过程中有任何问题,欢迎联系我们。
code.png

天穹沙箱支持模拟14种CPU架构的虚拟机,环境数量50+,全面覆盖PC、服务器、智能终端、IoT设备的主流设备架构形态。在宿主机方面,除了Intel/AMD的x86架构CPU和CentOS操作系统之外,天穹沙箱支持海光、飞腾、鲲鹏等x86、ARM架构国产CPU和银河麒麟、中科方德等信创操作系统。

天穹沙箱系统以云沙箱、引擎输出、数据接口等多种形式服务于公司各个业务部门,包括天眼、终端安全、态势感知、ICG、锡安平台、安服等。

天穹内网地址(使用域账号登录):https://sandbox.qianxin-inc.cn
天穹公网地址(联系我们申请账号):https://sandbox.qianxin.com