freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

病毒分析 | 一个通过dll劫持系统进程提权的勒索软件
2022-06-24 14:05:27

一、概述

近期,兰云科技银河实验室通过“兰眼下一代威胁感知系统”发现目前仍在活跃的7ev3n家族样本,是一个以windows操作系统为目标的勒索软件,并通过包含恶意附件的垃圾邮件以及文件共享进行网络传播。它会在 \AppData\ Local 文件夹中释放多个文件,每个文件控制不同的功能,包括禁用启动恢复选项,删除勒索软件的安装文件,加密数据以及获得管理员权限。

二、分析

2.1 基本信息



文件名9f8bc96c96d43ecb69f883388d228754
文件类型PE32 executable (GUI) Intel 80386, for MS Windows
文件大小315KB
MD59f8bc96c96d43ecb69f883388d228754
SHA161ed25a706afa2f6684bb4d64f69c5fb29d20953
编译器Visual Studio 2015
编译时间2016-01-20 9:33:12
所属家族7ev3n

2.2 程序流程图

image

2.3 关键行为分析

2.3.1 伪装

释放del.bat文件。

image

拷贝自身并改名为system.exe用于伪装。

image

运行system之后关闭自身。

image

2.3.2 对系统环境进行布局

可以看到del.bat的命令是删除源文件。

image

设置计划任务书,设置的值是bcd.bat的路径。

image

释放bcd.bat,其功能为:关闭系统自动修复,关闭紧急管理服务,最后自删除脚本。
image.png

image

利用cmd设置注册表winlogon项和Run项实现自启动。

image

关闭粘滞键。

image

设置注册表键值下的属性禁用UAC。

image

释放uac.exe文件。

image

2.3.3 dll 劫持系统文件提权

如果当前不是管理员, 则通过执行msu文件(微软补丁格式)释放用于dll劫持文件。

image

启动sysprep目录下的winsat.exe,配合释放的powrprof.dll达成劫持操作,winsat.exe是系统默认的管理员权限。

image

2.3.4 递归遍历文件并加密

加密函数0x404670(假定基址为0x400000) : 遍历文件,并加密指定类型的文件。

image

加密的文件类型有 :

image

该样本通过自实现算法进行加密,新文件名以R5A结尾:

image

image

最后,样本在桌面上释放勒索信:

image

image

2.3.5 强制重启并显示勒索信息

通过cmd指令进行强制重启:

image

用户重启之后system.exe自启动并创建一个窗口:

image

image

三、处置建议

3.1 删除相关服务

1、 打开命令提示符输入“bcdedit /set recoveryenabled YES”开启故障修复。
2、删除注册表winlogon项的键值system.exe。
3、删除注册表Run项的子项system.exe。
4、删除AppData\Local文件夹下system.exe和uac.exe文件。

四、总结

此木马对客户主机中各类信息都进行了加密,对系统功能也进行了破坏,危害极大,使得修复7ev3n造成的损害具有挑战性。建议提前部署具备高级威胁检测能力的安全产品进行及时监控、防范。

本文作者:, 转载请注明来自FreeBuf.COM

# 病毒分析 # 勒索软件
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦