社區應用 最新帖子 精華區 社區服務 會員列表 統計排行
  • 79閱讀
  • 3回復

[分享]最近流行的GlobeImposter家族,勒索病毒分析

樓層直達
z3960 
級別: 茶館館主
發帖
468056
飛翔幣
116398
威望
4052
飛揚幣
2446162
信譽值
8

  • 自2018年8月21日起,多地發生GlobeImposter勒索病毒事件,此次攻擊目標主要是開始遠程桌面服務的服務器,攻擊者通過暴力破解服務器密碼,對內網服務器發起掃描并人工投放勒索病毒,導致文件被加密。不斷出現新的版本和變種,今年七月,“十二主神”系列爆發,國內多個行業深受威脅。時至今日,暫無解密工具。
VirusTotal
  • 上傳到VirusTotal檢測一下,大部分引擎都標注出這是 GlobeImposter家族的勒索病毒。
樣本基本信息 沙箱動態檢測
  • 發現有自啟動、以及遍歷加密文件的操作
  • 根據鏈接器版本猜測是 vs2017寫的程序
感染跡象 詳細分析
  • 首先申請空間,獲取自身路徑,拼接路徑 "C:Users15pb-win7Desktop勒索病毒樣本Ransom.Globelmposter.xids.txt"
  • - 生成字符串 `DF7ADA61E0284DDD4F1E`
  • 把字符串 `Aphrodite666`和字符串`HOW TO BACK YOUR FILES.txt`,以及獲取的計算機名稱,和字符串 `local`進行拼接。
  • 大概是生成密鑰
  • 將上段生成的密鑰,追加到勒索文本后,從這得知生成的是用戶個人ID
  • 提升權限
  • 獲取所有用戶配置文件(`GetEnvironmentVariableW(allusersprofile)`)返回值為C:ProgramData,創建` C:ProgramDatalocal `目錄
- 在目錄` C:ProgramDatalocal `下 創建文件  `.DF7ADA61E0284DDD4F1E`,寫入已下數據(內容暫時不知道什么作用),并設置隱藏。
  • 打開 Homegroup注冊表項,并設置`DisableHomeGroup`的值為1 .作用是禁用家庭組
  • 利用注冊表,禁用 ·WindowsDefender·以及相應的實時監控保護等。
  • 打開注冊表鍵`RunOnce`(只會運行一次),創建名為 ` "WindowsUpdateCheck"`的啟動項,混淆成Windows更新。路徑為樣本所在路徑。
我不喜歡說話卻每天說最多的話,我不喜歡笑卻總笑個不停,身邊的每個人都說我的生活好快樂,于是我也就認為自己真的快樂?墒菫槭裁次視谝淮笕号笥阎型蝗坏鼐统聊,為什么在人群中看到個相似的背影就難過,看見秋天樹木瘋狂地掉葉子我就忘記了說話,看見天色漸晚路上暖黃色的燈火就忘記了自己原來的方向。
z3960 
級別: 茶館館主
發帖
468056
飛翔幣
116398
威望
4052
飛揚幣
2446162
信譽值
8

只看該作者 1 發表于: 2019-12-30
  • 打開注冊表鍵`RunOnce`(只會運行一次),創建名為 ` "WindowsUpdateCheck"`的啟動項,混淆成Windows更新。路徑為樣本所在路徑。
  • 使用cmd執行bat腳本,大概執行了刪除磁盤卷影,停止一些數據庫的服務,停止報告服務器之類的操作
  • 獲取驅動器卷的名稱(GUID),和驅動器盤符。
  • 會給每個磁盤創建線程
  • 每個盤符都 生成用戶ID,長度 417h,追加到勒索文本后
  • 又創建線程,作用是遍歷磁盤,加密文件。
  • 在各個盤符根目錄下創建文件` ".DF7ADA61E0284DDD4F1E"`
  • 遍歷文件如果不是下列文件
  • 然后比較其后綴不為 `dll`、`lnk`、`ini`、`.sys`的話
  • 打開文件獲取文件句柄,創建文件映射對象,然后進行加密。
  • 在內存中加密完成后,停止文件映射,此時已經加密完成。
  • 加密完拼接 文件名與`Aphrodite666`后綴,然后更改名稱。
  • 然后在自己路徑下創建了一個`ids.txt`文件,查看其內容應該是保存了一些調試信息和本機生成用戶ID。
  • 枚舉當前網絡中所有的網絡資源
  • 刪除自己創建的注冊表啟動項 `"WindowsUpdateCheck"`
  • 再次使用cmd 執行 bat腳本,大致也是刪除卷影,刪除日志等操作
  • 刪除自身
防范措施
  • 安裝殺毒軟件,保持監控開啟。
  • 不主動點擊莫名郵件以及陌生exe。
  • 及時更新系統,關閉不必要的文件共享,以及端口
一些問題對病毒密鑰的使用生成以及加密解密部分沒有做具體分析,因為暫時沒有什么好的思路,有很多解密的字符不知道他的具體用處,只知道勒索病毒的流程一般是利用他的RSA公鑰,去加密用戶電腦生成的密鑰。
我不喜歡說話卻每天說最多的話,我不喜歡笑卻總笑個不停,身邊的每個人都說我的生活好快樂,于是我也就認為自己真的快樂?墒菫槭裁次視谝淮笕号笥阎型蝗坏鼐统聊,為什么在人群中看到個相似的背影就難過,看見秋天樹木瘋狂地掉葉子我就忘記了說話,看見天色漸晚路上暖黃色的燈火就忘記了自己原來的方向。
級別: 超級版主
發帖
512456
飛翔幣
115572
威望
222963
飛揚幣
818897
信譽值
0

只看該作者 2 發表于: 2019-12-31
來看一下
級別: 超級版主
發帖
512456
飛翔幣
115572
威望
222963
飛揚幣
818897
信譽值
0

只看該作者 3 發表于: 2019-12-31
不錯,了解了
甘肃新十一选五预测 福建快三推荐号 多多棋牌室 辽宁十一选五真正 网赚技巧 股票配资平台哪个安全b贵丰配资 北京快3手机版三怎么玩 app网赚 100万融资100万多少平仓 股市股评 老黑桃棋牌官网网址