freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

GandCrab传播新动向:五毒俱全的蠕虫病毒技术分析
2018-12-06 08:30:41

前言

近日,360终端安全实验室监控到GandCrab勒索病毒有了新动向,和以往相比本次GandCrab传播量有了明显的波动,我们分析了背后原因,发现此次波动是由一种近年较常见的蠕虫病毒引起的,该蠕虫病毒主要通过U盘和压缩文件传播,一直活跃在包括局域网在内的众多终端上。该蠕虫病毒构成的僵尸网络,过去主要传播远控、窃密、挖矿等木马病毒,而现在开始投递GandCrab勒索病毒。由于该病毒感染主机众多,影响较广,因而造成了这次GandCrab的传播波动。在此特提醒大家注意保护好您的数据,当心被勒索病毒袭击从而遭受不可挽回的损失。

概述

我们对该蠕虫病毒的最新变种进行了深入分析。病毒的母体和以往相比没有太大变化,其主要特别之处在于其投递的病毒种类有了新变化,除了新增投递GandCrab勒索病毒外,还发现该病毒的初次投放方式,也即病毒制作者是怎么投放病毒的。一般病毒的初次投放方式包括挂马、捆绑下载、邮件附件、租用僵尸网络、漏洞利用等,而这次该病毒使用了邮件附件作为其初次投放传播的手段之一。

下面首先就其主要技术特点概括如下:

病毒代码具有风格统一的混淆方式,通过内存解密PE并加载执行来绕过杀软的静态扫描查杀,病毒的母体具有一定反沙箱反分析能力;

具备多种传播方式,包括投递恶意邮件、感染Web/FTP服务器目录、U盘/网络磁盘传播、感染压缩文件等;

窃取多种虚拟货币钱包,包括:Exodus、JAXX、MultiBit HD、Monero、Electrum、Electrum-LTC、BitcoinCore等多种货币钱包;

通过劫持Windows剪贴板,替换多种主流虚拟货币钱包地址,包括:BTC、ETH、LTC、XMR、XRP、ZEC、DASH、DOGE等币种;

窃取邮箱账号、Web网站登录账号、WinSCP凭据、Steam游戏平台账号、以及多种即时通讯软件聊天记录;

下载传播多种病毒,包括勒索、窃密、挖矿、母体传播模块等,其母体内嵌的下载链接主要固定为5种,正好印证了“五毒俱全”的特点;

病毒攻击流程

病毒详细分析

母体DownLoader分析

探测虚拟机/沙箱运行环境

病毒母体是一个DownLoader,运行时通过遍历进程以及检查加载的模块来探测运行环境是否是虚拟机或沙箱环境,其中特别针对python进程进行了检查(沙箱常用),还通过检查加载的DLL模块来检测sandboxie或sysanalyzer:

持久化设置

病毒会将自身拷贝至windows\自建目录\winsvcs32.exe,并创建注册表开机启动项实现持久化运行:

拷贝并重命名为winsvc32.exe

创建注册表开机启动项

删除自身的Zone.IdentifierNTFS Stream避免运行时出现风险提示

添加防火墙例外以及关闭Windows Defender实时防护等功能

防火墙以及WindowsDefender相关设置

通过可移动磁盘/网络磁盘进行AUTORUN传播

针对网络磁盘以及可移动磁盘

在U盘根目录创建”_”目录以及将自身拷贝并重命名为DeviceManager.exe

创建指向病毒母体的lnk文件

Lnk文件内容

被感染后的U盘以及AutoRun.inf截图

通过感染压缩包进行传播

判断%appdata%\winsvcs.txt是否存在,不存在则创建该文件,该文件起到一个开关作用,用来判断是否对压缩文件进行感染:

将自身拷贝至%TEMP%目录,并重命名为“Windows Archive Manager.exe”:

遍历本地磁盘中的压缩文件,将病毒本体添加到压缩文件,受感染的压缩类型包括zip、rar、7z、tar:

这部分代码功能还不太完善,经过测试,压缩格式只支持zip、rar,7z和tar格式的支持有Bug,感染后会破坏原有格式:

替换FTP/WEB服务器目录下的EXE文件进行传播

遍历磁盘文件,判断EXE文件所在路径是否包含如下FTP/WEB服务器目录:

如果满足条件,则把目录下的EXE文件替换成病毒自身文件:

监控系统剪贴板,劫持替换虚拟货币钱包地址

监控剪贴板,如果发现有预期的虚拟货币钱包地址,则进行替换,影响的币种包括:

Btc、eth、ltc、xmr、xrp、zec、dash、doge等。

判断各类货币钱包地址特征

劫持监控剪贴板

通过内置C2下载多个恶意模块

母体内嵌了3个C2服务器以及多个混淆的DNS备用地址用于下载传播其他病毒程序(这些DNS暂时无效,但如果前面3个IP被封或失效,可通过启用这些备用DNS来达到切换C2的目的):

将下列5个文件名与上述ULR链接拼接成完整下载链接:

此处5个恶意链接用来下载传播其他病毒,可谓“五毒俱全”。

下载的多个恶意模块保存在%TEMP%目录下并随机命名,然后删除对应的Zone.Identifier避免运行时出现风险提示:

下载成功后创建进程执行该文件:

此次分析时下载的恶意模块包括:传播模块、2个勒索病毒Downloader、窃密模块、挖矿模块(具体推送某类恶意程序随时间以及C2服务器而定)

挖矿模块分析

内存解密PE加载执行

挖矿模块与病毒母体采用了类似代码混淆方式,通过内存解密PE并加载执行:

解密配置文件URL地址、以及矿池地址等数据

内存映射NTDLL模块,获取所需API,绕过R3 Hook

通过http://92.63.197.60/newup.txt获取挖矿配置相关数据

分析调试时,上述链接已失效:

解析配置数据,包含钱包地址、挖矿端口等配置信息

构造xmrigConfig配置文件

根据前面获取到的钱包地址等信息,构造config文件,并进行base64编码保存。

配置文件格式化

Base64解码后的配置文件(由于url失效,无法获取有效钱包地址)

持久化设置

拷贝自身至“ProgramData\GCxcrhlcfj”目录,并创建r.vbs脚本:

通过VBS脚本,在start menu下生成url快捷方式,指向样本自身:

调用wscript执行:

Url快捷方式负责启动挖矿病毒:

解密内嵌的xmrig程序,借壳系统程序作为傀儡进程挖矿

挂起方式启动wuapp.exe,其命令行参数为挖矿配置文件:

解密xmrig:

解密xmrig

内存解密出的PE为XMRig 2.8.1版本:

在傀儡进程注入代码:

傀儡进程注入

监控TaskMgr.exe

为了隐蔽自身,样本会实时遍历系统进程检查是否有任务管理器进程存在,如果发现则杀掉挖矿进程:

杀进程代码

窃密模块分析

该窃密木马为Delphi编写,窃密内容主要包括即时通讯软件聊天记录、浏览器历史记录、WinSCP凭据、Steam账号、虚拟货币钱包、邮箱、屏幕截图等。

样本尝试与C2服务器通讯拉取配置信息(服务器已失效)

相关窃密功能代码结构:

涉及的虚拟货币钱包:

Exodus、JAXX、MultiBit HD

Monero

Electrum、Electrum-LTC、BitcoinCore

即时通讯软件:

Skype聊天记录等数据

Pidgin、PSI、TeleGram

WinSCP:

Outlook邮箱:

Steam账号相关:

窃取浏览器的历史记录、Cookie等信息(主要针对火狐浏览器):

火狐浏览器sqlite数据库

勒索模块分析

由母体下载的2个勒索模块是做了静态免杀的DownLoader,其中一个针对“中国”地区,而另一个针对“越南”以及“中国”地区投放GandCrab勒索病毒。以下是针对“中国”和“越南”地区的下载逻辑相关代码,另一个只针对“中国”类似,此处不重复分析。

地区列表

通过访问 http://92.63.197.48/geo.php 从服务器拉取地区代码列表,然后与”CN”以及”VN”相比较,如果满足这两个地区,则开始下载GandCrab勒索病毒:

比较地区列表

通过C2下载GandCrab母体并执行

下载的GandCrab母体为5.0.4版本,与常见的版本无差异,这里不再做重复分析:

传播模块分析

传播模块依旧做了静态免杀处理,以及设置持久化运行,并通过SMTP协议发送携带恶意附件的邮件进行传播,邮件附件为带有恶意JS脚本的压缩包,该恶意脚本最终通过Powershell远程下载并执行本次蠕虫母体DownLoader。

持久化设置

拷贝自身到windows\自建目录下,并重命名为wincfgrmgr32:

通过注册表设置自身为开机启动:

通过aol.com获取邮箱服务器地址并测试连通性

邮箱服务器:mx-aol.mail.gm0.yahoodns.net

下载并打包JS DownLoader脚本

通过C2: http://ssofhoseuegsgrfnu.ru/m/get.js 下载恶意js脚本,该JS是一个DownLoader,保存在TEMP目录随机文件名.jpg

连接服务器下载js文件

经过混淆处理的js代码

接着将js脚本文件压缩成zip格式:

然后将js文件压缩包进行base64编码并保存在\%TEMP%\随机文件名.jpg:

BASE64编码

通过SMTP协议随机发送恶意邮件

通过C2(http://ssofhoseuegsgrfnu.ru/m/xxx.txt)获取目标邮箱列表:

随机读取该邮箱列表文件,取出邮箱地址,通过SMTP协议发送恶意邮件,其邮件附件会携带前面压缩好的JS脚本的压缩包:

通过SMTP发送恶意邮件

执行恶意JS脚本

当恶意js脚本在受害者的终端上运行后,js脚本会通过Powershell下载并执行此次蠕虫母体:

进程链信息

相关IOCs

MD5:

c30f72528bb6ab5aab25b33036973b07

48087776645fd9709f09828be7e42f8f

fa940342c3903f54c452a8a2483b1235

24275604649ac0abafe99b981b914fbc

a13d3aef725832752be1605e50b6f7e0

574c8a27fc79939ca1343ccb2722b74f

dfd5be2aeabc2a79c1e64e0b3a6dac73

64e0e23cdec4358354628195ec81a745

C&C:

92.63.197.60

92.63.197.48

92.63.197.112

92.63.197.60:9090

URLs:

hxxp:// 92.63.197.48/t.exe

hxxp:// 92.63.197.48/m.exe

hxxp:// 92.63.197.48/p.exe

hxxp:// 92.63.197.48/s.exe

hxxp:// 92.63.197.48/o.exe

hxxp://ssofhoseuegsgrfnu.ru/m/xxx.txt

hxxp://ssofhoseuegsgrfnu.ru/m/get.js

hxxp://92.63.197.48/geo.php

hxxp://92.63.197.60/newup.txt

hxxp://92.63.197.48/index.php

WalletAddr:

1LdFFaJiM7R5f9WhUEskVCaVokVtHPHxL5

28VcfDWthf987aBo6ddyGuYnMkwtWo6bBe4j7Q87pDYxEEGZzHseUMvFr6MNqj3PGR4PGXzCGYQw7UemxRoRxCC97qVBups

XfPoiH5ShPQdXC3Kc39XzCaB84eL1w53oA

DPngr3jnAGgKY45vQpt4NmYt3jQCP2smrW

0xa9b717e03cf8f2d792bff807588e50dcea9d0b1c

4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQrqWkGbn7jMQVGL3aA

LPuhyFoFggYkXwkkmDbnA19hu1wzuJggHJ

rBkCLqPgHiKt6Hdddnjq27ECehHqCcCHTD

t1aGAy8CBERajaMAKdzddp3WttD5Czji55S

总结及安全建议

通过分析我们可以看到,本次的蠕虫病毒开始传播勒索病毒GandCrab,而且主要针对的是中国和越南地区,病毒扩散渠道从邮件附件到U盘传播等,覆盖范围比起单纯的某一种传播方式要大不少,同时这背后是否也含有病毒传播者认为国人的安全防范意识不够也未可定,总之本次的传播新动向值得引起国人的高度警惕。

针对本次的病毒技术特点以及结合以往的病毒传播方式,我们给出以下安全建议:

不要打开来历不明的邮件附件

在Windows中禁用U盘的“自动运行”功能

打齐操作系统安全补丁,及时升级Web、数据库等服务程序,防止病毒利用漏洞传播

避免使用弱口令,采用复杂密码,设置登录失败次数限制,防止暴力破解攻击

安装杀毒软件,定期扫描电脑,及时升级更新病毒库保持杀毒软件的良好运行

提高安全意识,保持良好的上网习惯,重要数据做好备份

*本文作者:360天眼实验室,转载请注明来自FreeBuf.COM

# 僵尸网络 # GandCrab
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者