freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

疫情期间处理勒索病毒的收获
2020-02-27 14:00:25

前言

在疫情期间,印度缺德黑客实施的APT攻击传的沸沸扬扬。我反手一个死亡之PING给印度。

与此同时,团队的小伙伴在月初就开始进行公益性质的勒索病毒协助。

在处理过程中,尽可能的保护未被污染的文件,已加密的文件解密起来难度相当大。

大家都明白新变种的病毒,很少有现成解密方式。

下文以某中招5ss5c勒索事件处理为例

公开勒索解密常用方法

https://github.com/jiansiting/Decryption-Tools

https://www.nomoreransom.org/

https://lesuobingdu.360.cn/

我们遭受的Satan,DBGer和Lucky勒索病毒以及iron勒索病毒的网络犯罪组织提出了一个新版本名为“ 5ss5c”。

该病毒类似Satan为木马下载器,它下载并利用永恒之蓝和一些poc来进行传播,勒索模块就是cpt.exe,遍历7z,bak,cer,csv,db,dbf,dmp,docx,eps,ldf,mdb,mdf,myd,myi,ora,pdf,pem,pfx,ppt,pptx,psd,rar,rtf,sql,tar, txt,vdi,vmdk,vmx,xls,xlsx,zip后缀名的文件然后加密,加密后添加后缀为.5ss5c,并提示勒索勒索一个比特币(5W多),如果在2天之内没有完成支付,则赎金翻倍。

技术求助

Satan勒索病毒变种5ss5c勒索病毒

1.某安全公司QQ求助

2.某安全公司论坛求助

3.某公众号求助

4.某渠道-解密价格比勒索价格更高(提供了某样本文件并成功解密)

渗透测试

回到开始,一个朋友说网站异常,让帮忙看一下。当时未被勒索,简单测试给定资产范围的所有端口,未拿到shell,但是在此同时发现包含泛微OA,尝试了该应用的多个漏洞并没有结果,所以只是给客户做了一个警告。

部分测试截图如下图

等到后面应急处置的过程中客户恢复备份服务器,才发现存在泛微OA E-cology远程命令执行漏洞且没有修复,被恶意利用之后,该页面被删除,所以导致一开始没有成功getshell。当然这是后话,暂且不谈。

查看受害主机

同事到现场后对入侵的主机进行排查,发现服务器上利用IPC横向移动日志,同时被入侵主机会存在以下内容。

被加密文件猴后缀变为5ss5c,并留下如何解密我的文件。

在某日志中截获到初始的勒索病毒文件

利用certutil下载恶意文件,还留下了certutil的日志记录

该文件被投放到C:\ProgramData\ poc .exe,并运行以下命令:

cd /D C:\ProgramData&star.exe –OutConfig a –TargetPort 445 –Protocol SMB –Architecture x64 –Function RunDLL –DllPayload C:\ProgramData\down64.dll –TargetIp

扔到沙箱上的运行截图

分析发现其释放了4个文件

mmkt.exe一个用于密码转储/窃取的程序

c.exe建立服务和自启动

cpt.exe勒索软件

poc.exe 一个使用Enigma VirtualBox打包一个附加的扩展器模块

该恶意程序专门做了针对于360的免杀,同时还对自身增加反编译。

主要加密文件类型如下

7z,bak,cer,csv,db,dbf,dmp,docx,eps,ldf,mdb,mdf,myd,myi,ora,pdf,pem,pfx,ppt,pptx,psd,rar,rtf,sql,tar, txt,vdi,vmdk,vmx,xls,xlsx,zip

样本脱壳

用PEID查询是否有壳。

手动拖壳:利用ESP定律,原理堆栈平衡原理。

适用范围:几乎全部的压缩壳,部分加密壳。

只要是在JMP到OEP后,理论上我们都可以使用。

ESP理解一般理解可以为:

1、在命令行下断hr esp-4(此时的ESP就是OD载入后当前显示的值)

2、hr ESP(关键标志下一行代码所指示的ESP值(单步通过))

一样用od载入要脱壳的程序,加载后看到关键字:pushad

单步步过(快捷键F8)一次

就ESP显示为红色, 鼠标左键选择ESP区域,失去被其它颜色覆盖,判断为被选定状态

鼠标右键选择:数据窗口中跟随。

判断是否选择正确:

看地址区域:是否等于ESP 后面的字符串:地址判断相等,则无错

这里的第一个字节为00

鼠标右键选择:断点-硬件访问-Byte

点击:调试 选择硬件断点

这里多次尝试后找到push,删除断点

在选择PUSH 行的情况下,右键选择用OllyDump脱壳调试进程

ida即可查看代码。

IOC

Name: down.txt

URL:http://58.221.158[.]90:88/car/down.txt

Purpose: Downloader

MD5: 680d9c8bb70e38d3727753430c655699

SHA1: 5e72192360bbe436a3f4048717320409fb1a8009

SHA256: ddfd1d60ffea333a1565b0707a7adca601dafdd7ec29c61d622732117416545f

Compilation timestamp: 2020-01-11 19:04:24

VirusTotal report:

ddfd1d60ffea333a1565b0707a7adca601dafdd7ec29c61d622732117416545f

Name: c.dat

URL:http://58.221.158[.]90:88/car/c.dat

Purpose: spreader

MD5: 01a9b1f9a9db526a54a64e39a605dd30

SHA1: a436e3f5a9ee5e88671823b43fa77ed871c1475b

SHA256: 9a1365c42f4aca3e9c1c5dcf38b967b73ab56e4af0b4a4380af7e2bf185478bc

Compilation timestamp: 2020-01-11 19:19:54

VirusTotal report:

9a1365c42f4aca3e9c1c5dcf38b967b73ab56e4af0b4a4380af7e2bf185478bc

Name: cpt.dat

URL:http://58.221.158[.]90:88/car/cpt.dat

Purpose: ransomware

MD5: 853358339279b590fb1c40c3dc0cdb72

SHA1: 84825801eac21a8d6eb060ddd8a0cd902dcead25

SHA256: ca154fa6ff0d1ebc786b4ea89cefae022e05497d095c2391331f24113aa31e3c

Compilation timestamp: 2020-01-11 19:54:25

VirusTotal report:

ca154fa6ff0d1ebc786b4ea89cefae022e05497d095c2391331f24113aa31e3c

类型特征
文件C:\ Program Files \ Common Files \ System \ Scanlog
文件C:\ Program Files \ Common Files \ System \ cpt.exe
文件C:\ Program Files \ Common Files \ System \ tmp
文件C:\ ProgramData \ 5ss5c_token
文件C:\ ProgramData \ blue.exe
文件C:\ ProgramData \ blue.fb
文件C:\ ProgramData \ blue.xml
文件C:\ ProgramData \ down64.dll
文件C:\ ProgramData \ mmkt.exe
文件C:\ ProgramData \ poc.exe
文件C:\ ProgramData \ star.exe
文件C:\ ProgramData \ star.fb
文件C:\ ProgramData \ star.xml
注册表项SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ 5ss5cStart
命令C:\ Windows \ system32 \ cmd.exe / c cd /DC:\ProgramData&blue.exe –TargetIp
命令star.exe –OutConfig a –TargetPort 445 –协议SMB –架构x64 –功能RunDLL –DllPayload C:\ ProgramData \ down64.dll –TargetIp
关联对象SSSS_Scan
关联对象5ss5c_CRYPT
电子邮件5ss5c@mail.ru
网址http://58.221.158.90:88/car/down.txt
网址http://58.221.158.90:88/car/c.dat
网址http://58.221.158.90:88/car/cpt.dat
恶意IP58.221.158.90
恶意IP61.186.243.2
Hash82ed3f4eb05b76691b408512767198274e6e308e8d5230ada90611ca18af046d
hashdc3103fb21f674386b01e1122bb910a09f2226b1331dd549cbc346d8e70d02df
hash9a1365c42f4aca3e9c1c5dcf38b967b73ab56e4af0b4a4380af7e2bf185478bc
hashaf041f6ac90b07927696bc61e08a31a210e265a997a62cf732f7d3f5c102f1da
hashca154fa6ff0d1ebc786b4ea89cefae022e05497d095c2391331f24113aa31e3c
hashe685aafc201f851a47bc926dd39fb12f4bc920f310200869ce0716c41ad92198
hashe5bb194413170d111685da51***d2fd60483fc7bebc70b1c6cb909ef6c6dd4a9
hashddfd1d60ffea333a1565b0707a7adca601dafdd7ec29c61d622732117416545f
hashef90dcc647e50c2378122f92fba4261f6eaa24b029cfa444289198fb0203e067
hash47fa9c298b904d66a5eb92c67dee602198259d366ef4f078a8365beefb9fdc95
hash68e644aac112fe3bbf4e87858f58c75426fd5fda93f194482af1721bc47f1cd7
hashea7caa08e115dbb438e29da46b47f54c62c29697617bae44464a9b63d9bddf18
hash23205bf9c36bbd56189e3f430c25db2a27eb089906b173601cd42c66a25829a7
hasha46481cdb4a9fc1dbdcccc49c3deadbf18c7b9f274a0eb5fdf73766a03f19a7f
hashcf33a92a05ba3c807447a5f6b7e45577ed53174699241da360876d4f4a2eb2de
hash8e348105cde49cad8bfbe0acca0da67990289e108799c88805023888ead74300
hashad3c0b153d5b5ba4627daa89cd2adbb18ee5831cb67feeb7394c51ebc1660f41
hashde3c5fc97aecb93890b5432b389e047f460b271963fe965a3f26cb1b978f0eac
hashbd291522025110f58a4493fad0395baec913bd46b1d3fa98f1f309ce3d02f179
hash75d543aaf9583b78de645f13e0efd8f826ff7bcf17ea680ca97a3cf9d552fc1f
hash50e771386ae200b46a26947665fc72a2a330add348a3c75529f6883df48c2e39
hash0aa4b54e9671cb83433550f1d7950d3453ba8b52d8546c9f3faf115fa9baad7e
hash5d12b1fc6627b0a0df0680d6556e782b8ae9270135457a81fe4edbbccc0f3552

参考:

https://www.freebuf.com/articles/network/178171.html

https://securityaffairs.co/wordpress/96452/malware/5ss5c-ransomware.html

# 变种 # 勒索病毒 # Satan # 疫情
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者