freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

三天内不给钱就泄密,Sekhmet勒索需警惕
2020-08-25 21:01:27

背景概述

Sekhmet勒索病毒于今年三月份出现,已有一家跨境IT服务公司的数据被该勒索病毒团伙在博客上公布了近百G的数据。

攻击者采用先窃取再加密的方式实施勒索行为。该勒索病毒和“大名鼎鼎”的Sodinokibi勒索病毒一样使用了随机加密后缀。勒索提示文档告知受害者若三天内不缴纳赎金,攻击者将在其搭建的网站上公布受害者的机密信息。

Sekhmet勒索病毒暂无公开解密方式。

执行过程

样本分析

DllRegisterServer为勒索函数:

该样本使用了以下方法来阻碍分析:

  1. 使用大量无效跳转;
  2. 使用push address ,retn进行函数调用;
  3. 手动平衡堆栈;

利用GetProcAddress载入加密、文件、线程等函数阻碍静态特征提取;

创建空间写入PE文件

创建线程一并跳转执行;

调用WMI;

选择卷影删除;

收集用户信息;

生成用户RSA公私钥对2048位,获取密钥容器CryptAcquireContextW;

生成密钥对CryptGenKey;

加密用户私钥CryptEncrypt。

创建线程二(0xACF500)

向攻击者服务器回传用户信息;

计算IP地址185.82.126.81;

连接至185.82.126.81:50端口;

创建POST 185.82.126.81:50/update.php?id=7118;

发送信息;

回传信息内容:

使用了Chacha20算法加密,初始密钥矩阵如下:

使用EncryptBinaryToStringA转换,包含Chacha20密钥的随机值,行列置换后的密钥矩阵及密钥流,用户组信息。

创建线程三

对每个驱动盘进行加密,获取驱动信息;

获取对每个驱动开启单独的加密线程;

每个文件目录下先创建RECOVER-FILE.txt;

写入内容;

遍历文件夹;

不加密部分文件如boot.ini、ntuser.dat等;

不加密文件后缀lnk、exe、sys、dll;

读取文件末尾0x10C字节数据;

获取用户公钥;

两次CryptGenRandom分别生成Chacha20密钥矩阵的Key和Nonce;

使用用户RSA公钥加密该密钥矩阵;

将RSA加密后的Chacha20密钥矩阵写入文件;

使用Chacha20加密文件写入文件;

生成随机后缀;

修改文件后缀,修改完清除内存中的chacha20初始密钥;

关闭句柄,退出线程。

# 系统安全 # 系统安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者