快捷搜索:  网络  后门  扫描  渗透  CVE  木马  黑客  as

病毒预警 | GandCrab最新变种来袭

1、事故讲演

近来,国外某安全研究人员再次发现GandCrab勒索病毒V2.1最新变种,千里目安全实验室EDR安全团队第一时间拿到相干的样本,发现这次GandCrab勒索病毒最新的变种采用RSA1024加密算法,将体系中的大部分文档文件加密为.GRAB后缀的文件,然后对用户进行勒索。

GandCrab勒索病毒首次发现是2018年2月份,也是首例向受害者勒索达世币的勒索病毒,此次发现的最新样本,可以让受害者使用比特币以及达世币进行赎金支付。用户点击以后会加密受害者主机大部分文件,然后在相应的目录生成勒索信息文件。

截止到发稿,VT上对此样本的查杀情形以下

图片.png 图片.png

二、攻击方式

传播方式

这个勒索病毒首要通过邮件、漏洞、垃圾网站挂马等方式进行传播,其不具备横向感染的能力,不会能局域网的其他设备提议相应的攻击。

样本母体阐发grounded.exe

1. GandCrab母体使用了多层封装与代码混淆,代码会经过几层解密操作,以下图所示:

图片.png

2. 经过几层解密实现以后,启动体系目录下的SVCHOST.EXE程序,以下图所示:

图片.png

执行之落后程列表以下图所示:

图片.png

3. 将解密完的Payload通过反射式DLL注入的方式,注入到SVCHOST.EXE进程中,以下图所示:

图片.png

然后通过VirtualProtect、WriteProcessMemory修改Payload内存属性以及数据,以下图所示:

图片.png

4. Payload加载实现以后,执行Payload程序,以下图所示:

图片.png

5. 最落后行自删除操作,以下图所示:

图片.png

Payload恶意加密程序阐发

1.创建一个主线程来,执行恶意举动,以下图所示:

图片.png

2.加密线程初始化操作,以下图所示:

图片.png

3.获取体系信息,创建互斥变量,以下图所示:

图片.png

相干的体系信息,以下:

pc_user(用户名)、pc_name(主机名)、pc_group(用户组)、av(安全软件信息)、pc_lang(操作体系说话)、pc_keyb、os_major(操作体系版本)、os_bit(操作体系位数)、ransom_id(勒索ID)、hdd(磁盘空间)、ip(IP地址),安全软件相干的信息以下图所示:

图片.png

要是发现有进程中有上述安全相干的进程,则上报到遥程服务器,相干的安全进程列表以下:

AVP.EXE、ekrn.exe、avgnt.exe、ashDisp.exe、NortonAntiBot.exe、Mcshield.exe

avengine.exe、cmdagent.exe、smc.exe、persfw.exe、pccpfw.exe、fsguiexe.exe

cfp.exe、msmpeng.exe

4.遍历相干的进程,然后结束进程,以下图所示:

图片.png

相干的进程列表以下:

msftesql.exe、sqlagent.exe、sqlbrowser.exe、sqlservr.exe、sqlwriter.exe、oracle.exe

ocssd.exe、dbsnmp.exe、synctime.exe、mydesktopqos.exe、agntsvc.exeisqlplussvc.exe

xfssvccon.exe、mydesktopservice.exe、ocautoupds.exe、agntsvc.exeagntsvc.exe、agntsvc.exeencsvc.exe、firefoxconfig.exe、tbirdconfig.exe、oco妹妹.exe、mysqld.exe

mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、sqlservr.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe

winword.exe、wordpad.exe

6.创建ID,创建勒索字符串相干信息,和拼接相应的URL地址,以下图所示:

图片.png

URL地址:www.torproject.org/download/download-easy.html.en

7.生成RSA密钥,连接CSP容器,获得指定的CSP的密钥容器句柄,以下图所示:

图片.png

Microsoft Enhanced Cryptographic Provider1.0的密钥长度为1024位,生成密钥,以下图所示:

图片.png

然后导出相应的公钥以及私钥,黑客工具,以下图所示:

图片.png

8.将导出的公钥以及私钥,加上用户主机相干的信息,进行字符串拼接,以下图所示:

图片.png

9.将拼接的字符串,通过POST的方式发送到遥程恶意服务器上,以下图所示:

图片.png

10.使用HTTP协定进行发送数据包,以下图所示:

图片.png

遥程服务器连接要求的地址:ipv4bot.whatismyipaddress.com

11.相干的HTTP要求,以下图所示:

图片.png

HTTP要求的主机名:ahnlab.com

12.对导出的公钥以及私钥进行编码处理,以下图所示:

图片.png

RSA公钥以下:

06 02 00 00 00 A4 00 00 52 53 41 31 00 08 00 00 01 00 01 00 57 C0 F3 73 ED D7 6D C6 8C 8F 75 20 2A A1 D7 68 55 C7 62 0A 07 9D 16 D1 61 23 2F 04 EA 3E A8 78 16 DC 0E 76 F4 28 B5 3F 0C 99 C9 BB D9 FF 28 97 BF 3B 77 CF C9 C6 C9 26 B8 6C BF 6D 90 52 6D 33 EB F0 71 AF B4 D4 EC 1B C1 4B 60 87 65 5B 23 92 80 D1 B8 72 C5 11 44 03 6B 07 D4 47  A8 80 13 E2 F1 70 53 89 B5 9E 3A E4 85 7F 35 F5 04 7B D2 04 6C B6 D0 FC E5 D7 9F 8A 7B 9B F6 60 0F 6B 0C 41 11 E6 59 F7 E7 4D 94 AB C8 7D 7A 48 31 77 CA 7F E2 3D 26 97 1F 47 76 DC D6 31 36 56  BE 4F C3 0F 48 66 39 07 27 CC D7 B1 9E BF 56 4D 48 DF 2F BB 34 33 F2 ED 26 26 ED 1B E8 38 D4 4A 27 30 BD CB 00 77 5A C4 0C 97 E9 A8 8A 38 81 49 08 9E 0D F9 FE 6E AD 94 F5 1E 5F 7C AA 7F 2B 83 17 94 F3 57 31 A4 F5 4A A7 90 6B 29 F3 AF 26 BB 42 F4 7B 06 EA 52 7B B5 00 9C A0 0E 27 A6 D7 26 AD 81 28 96

通过编码以后,以下图所示:

图片.png

对RSA私钥编码以后以下图所示:

图片.png

最后将获得的主机相干信息与RSA生成的公钥以及私钥的编码拼接在一块儿,发送到遥程恶意服务器上,以下图所示:

图片.png

发送数据到遥程后台服务器,以下图所示:

图片.png

服务器地址:

ransomware.bit

zonealarm.bit

遥程服务器IP,以下所示:

185.183.98.202

13.获得主机磁盘信息,创建线程进行文件加密操作,以下图所示:

图片.png

14. 下列文件目录下的文件不会被加密,以下图所示:

图片.png

相干的文件目录列表以下:

\ProgramData\

\IETldCache\

\Boot\

\Program Files\

\Tor Browser\

\All Users\

\Local Settings\

\Windows\

15. 在相应的目录下生成勒索信息文本文件CRAB-DECRYPT.txt,以下图所示:

图片.png

16. 加密进程不会加密下列文件,以下图所示:

图片.png

相干的文件名列表以下:

desktop.ini、autorun.inf、ntuser.dat、iconcache.db、bootsect.bak、boot.ini、

ntuser.dat.log、thumbs.db、CRAB-DECRYPT.txt

17. 最落后行文件加密操作,以下图所示:

图片.png

18. 调用wmic.exe删除卷影服务,使得文档没法恢复,以下图所示:

图片.png

19.最后执行关机操作,以下图所示:

图片.png

20.加密实现以后的,文件名以“.GRAB”作为后缀,以下图所示:

图片.png

21.勒索信息的文件文件,关上以后以下图所示:

图片.png

关上所提示的链接,可以看到GandCrab向受害用户勒索价值499美元的达世币以及比特币,以下图所示:

图片.png 图片.png

3、防备措施

同时千里目安全实验室提醒用户,一样平常防范措施:

1.不要点击来源不明的邮件和附件,不从不明网站下载相干的软件

2.及时给电脑打补丁,修复漏洞

3.对重要的数据文件定期进行非内陆备份

4.装置专业的终端/服务器安全防护软件

5.定期用专业的反病毒软件进行安全查杀

6.绝量关闭无须要的文件同享权限和关闭无须要的端口,如:445,135,139,3389等

4、相干IOC

MD5

EF5353B4B40EDB06AC7250AEFB6B7000

DNS/URL

ipv4bot.whatismyipaddress.com

ahnlab.com

ransomware.bit

zonealarm.bit

IP

185.183.98.202

* 千里目安全实验室,转载注明来自FreeBuf

您可能还会对下面的文章感兴趣: