新勒索病毒的低调攻击
新年伊始,勒索病毒再次在中国传播。腾讯反病毒实验室最近收到了许多客户对勒索软件攻击的反馈。通过后续分析,发现黑客使用的勒索病毒都是GlobeImposter家族的勒索病毒,黑客在突破企业防护界限后释放并运行勒索病毒,最终导致系统损坏,影响正常事情秩序。1. 靠山
新年伊始,勒索病毒再次在中国传播。腾讯反病毒实验室最近收到了许多客户对勒索软件攻击的反馈。通过后续分析,发现黑客使用的勒索病毒都是GlobeImposter黑客在突破企业防护界限后释放并运行家族勒索病毒,最终导致系统损坏,影响正常事务秩序。
通过腾讯反病毒实验室的分析GlobeImposter勒索家族攻击显示以下特点:
1. GlobeImposter勒索家族习惯于通过垃圾邮件和扫描渗透传播。勒索病毒的攻击过程很可能是Windows勒索病毒被暴力破解后植入远程桌面服务密码。
2. 从勒索病毒样本的角度来看,这次GlobeImposter勒索软件在代码上做了一些改变。例如,家庭样本将在加密前完成。sql”,“outlook”,“excel”、”word等待过程,而勒索病毒没有这些检测过程的代码。
3. 该次的勒索病毒使用了RSA AES加密方法,包括AES密钥的自然方式不是通过传统的随机函数,而是通过CoCreateGuid函数自然是全局唯一的标识符,并将其作为标识符AES加密算法的secret key。
在网上公开分析家族勒索病毒的故事中,文档加密部门的勒索原理模糊不清,文档加密算法等细节在公开故事中总是被替换。鉴于此,本文将讨论样本的勒索原理,重点从技术的角度分析文档的加密过程。
2. 手艺剖析
2.1 整个勒索病毒加密过程
使用了勒索病毒RSA AES加密过程涉及两对RSA密钥(黑客公私钥和用户公私钥分别使用hacker_rsa_xxx和user_rsa_xxx示意两对密钥和一对AES密钥。黑客RSA加密用户使用密钥RSA密钥,用户RSA密钥用于加密AES密钥,AES密钥用于加密文件内容。
详细的加密过程是:勒索病毒首先解码内置的RSA公钥(hacker_rsa_pub),同时,使用每个受害者RSA天生公私钥(user_rsa_pub和user_rsa_pri),使用内置的自然密钥信息RSA公钥(hacker_rsa_Public)加密后,作为用户ID。在遍历系统文件中,对符合加密要求的文件进行加密。通过每个文件CoCreateGuid天生就有一个唯一的标志符,唯一的标志符最终是天生的AES密钥(记为file_aes_key),加密文件。在加密文件的过程中,唯一的标识符将通过RSA公钥 (user_rsa_pub) 加密后保留在文件中。
黑客收到赎金,用户ID和文件后,通过自己的私钥(hacker_rsa_pri)解密用户ID,可以获得user_rsa_pri,使用user_rsa_pri解密文件,即可获得文件file_aes_key,然后可以通过AES原始文件的算法解密。
以下是对样本中使用的一些工艺手段的分析。
2.2 加密字符解密算法
软件中的字符和内置公钥等信息以加密的方式保留,加密使用AES解密算法函数为算法函数,函数包含5个参数,每个参数的寄义如下:
参数1:返回值,解密内容
参数2:返回值,解密内容长度
参数3:解密key
参数4:解密key的长度
参数5:文件句柄。如果文件句柄不空,将解密内容写入文件句柄对应的文件中
对aes_crypt函数,使用mbedtls_aes_crypt_ecb举行AES解密操作。
通过IDA上下文交织引用,共有七处被挪用MyAESDecode解密函数的内容,这七个挪用释如下:
2.3 解码清洁文件夹和清洁后缀名称
恶意样本绕过了包含某些特殊字符的文件夹。这些特殊字符的解码算法如下:
1. 使用“CC 0B E4 F0 69 F6 AE 6F FF CC BF D9 2C E7 36 EE 21 79 2B 85 83 39 D6 32 F5 77 26 8C 2C DD 38 4A”作为AES key,行使2.2解密算法,解密00401158硬编码0x210解密后的数据内容为硬编码RSA公钥(hacker_rsa_pub)。
2. 解密上面RSA公钥(hacker_rsa_pub)盘算SHA256,盘算sha256代码片段如下:
3. 使用sha256的值做为AES key,再次行使2.2解密算法,解密字符串列表。
解密字符串列表:
2.4 用户ID的天生
勒索病毒运行后,自然会在用户机械上命名为60091F9FF415A9DD5FDFF0D880249E69F883A75D0242CE20D6E6A90CC5AEAFDE该文件称为内置公钥SHA256哈希值。用户保留在文件中ID信息。
用户ID自然算法是:勒索病毒首先通过RSA-1024自然用户公私钥(user_rsa_pub和user_rsa_pri),在自然密钥中rsa.P与rsa.Q拼接上“.TRUE.HOWBACKFILE使用内置公钥后,使用内置公钥(hacker_rsa_pub)作为用户,加密效果ID,与此同时,公钥(user_rsa_pub)加密将作为以下遍历文件系统key使用。可见,用户ID也经由了RSA公钥(hacker_rsa_pub)没有私钥的加密(hacker_rsa_pri)在这种情况下,很难恢复RSA-1024密钥内容。
2.5文件加密过程
通过GetLogicalDrives获取盘符信息,对每个盘符打开一个线程进行加密。每个线程函数的参数包括三个部分:当前盘符路径和加密key(user_rsa_pub),用户ID。
警惕商贸信病毒开工潮
判断文件路径是否属于清洁路径:
函数sub_4094D9对文件进行加密,使用文件进行加密AES加密算法。下面将详细描述函数的过程
AES加密的KEY通过CoCreateGuid天生,CoCreateGuid函数功效是自然全局唯一的标志符,勒索病毒使用全局唯一的标志符作为secret_key,secret_key用来天生AES的加密key.。
AES加密时的IV参数由当前文件的大小和文件路径组成。IV参数将MD(filesize|| filename )后取前16位。
将IV和secret key使用MBEDTLS_MD_SHA256盘算8192次HASH,并将HASH效果做为AES加密的KEY
然后,使用内置的RSA公钥将guid加密和加密guid及用户ID写入当前文件。
最后,使用AES算法加密文件内容。
AES 加密算法过程如下:
2.6 自启动
通过勒索病毒RunOnce注册表下新建名称BrowserUpdateCheck按键值,达到启动启动的目的。部门代码如下
2.7 自删除
通过挪用CMD /c del实现自删除,部门代码如下
2.8 删除远程桌面相邻信息及事项日志
解密bat文件发布到暂时目录,并加载操作
解密bat文件内容如下
@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Bat将删除远程桌面相邻信息文件default.rdp,并通过wevtutil.exe cl下令删除日志信息
3. 总结
从以上工艺分析可以看出,文件的加密是使用的AES加密,每个文件对应一个AES密钥,AES密钥由CoCreateGuid函数天生,该密钥经由用户公钥(user_rsa_pub)加密后保留在加密文件中。黑客使用CoCreateGuid函数天生key,一方面是思考CoCreateGuid函数自然内容的独特性和随机性,自然的全球唯一标志符作为key使用不易猜测;另一方面可能是对反勒索平安软件的匹敌。
最后,腾讯反病毒实验室提醒用户提高安全意识,不要随意打开来源不明的文件,或点击可疑链接,定期非内陆备份主要数据文件。对于可疑文件,计算机管家可以扫描或上传哈勃分析系统(https://habo.qq.com/)检查文件是否有风险。
对于企业用户,只需关闭不必要的文件共享权限和445、135、139、3389等不必要的端口。皇家边界防御可用于文章中提到的勒索攻击APT邮件网关(http://s.tencent.com/product/yjwg/index.html)皇界高级威胁检测系统(http://s.tencent.com/product/gjwxjc/index.html)两种安全产品进行有用的检测和保护。
2月16日-32月2日,勒索病毒双周报