Petya敲诈木马拆解

2016-03-30 525600人围观 ,发现 7 个不明物体 WEB安全网络安全

近日,安全厂商G-Data发布报告说,发现了一种新的敲诈类木马Petya。此木马的特点是首先修改系统MBR引导扇区,强制重启后执行引导扇区中的恶意代码,加密硬盘数据后显示敲诈信息,通过Tor匿名网络索取比特币。这是第一个将敲诈和修改MBR合二为一的恶意木马。哈勃分析系统获取到了木马样本,重现了敲诈流程。

此木马的传播途径是通过邮件进行传播,邮件伪装成求职简历,目标是公司HR部门。木马通过链接的方式加入邮件中,链接指向dropbox上的一个共享文件。

dropbox上下载文件后,可以发现文件的名称也是简历相关,图标则伪装为自解压文件。

图片1.png

此木马的恶意代码并未保存在可执行节中,而是运行后在内存中进行解压,然后再执行。这段代码的主要目的是改写磁盘MBR,然后强制重启。写MBR的方式是将“\\.\PhysicalDrive0”这个路径作为文件打开,然后向其中写入数据。

图片2.png

大部分写入内容是512字节(标准扇区大小)的无效数据,“7777……”。

图片3.png

真正有效的数据分为3段,以下简称S1S2S3

S1是标准的MBR扇区,可以看到其末尾的标志位55 AA,此数据被写入磁盘0扇区,作为系统重启后的引导程序。此引导程序会将存放于第34扇区的S2数据读入内存8000H基址处,然后跳转继续执行。

图片4.png

S2数据的长度为0×2000字节,是进行加密和敲诈的恶意代码。此代码执行后,首先显示一个虚假的提示,让受害者以为系统正在进行磁盘扫描修复,实际上此时正在进行的是磁盘加密的程序。

图片5.png

一旦加密完毕,此木马就开始露出它的狰容,有一个骷髅头在受害者屏幕上闪烁:

图片6.png

按任意键后,屏幕上会显示敲诈文本,以及付款途径。同最近爆发的其它敲诈类木马一样,此木马要求在Tor匿名网络下,通过比特币支付赎金换取解密密码。在这段文字中,木马自称PETYA,这也是这类木马命名的由来。

图片7.png

需要指出的是,这个页面上的文字,大部分是编码在S2的数据中,但与付款相关的部分,是从S3中动态读取的。

图片8.png

这两个部分可以从先前S3保存的数据中找到。

图片9.png

由此就可以弄明白木马写入的三段数据的关系:S1是引导程序,S2是恶意代码,S3相当于配置文件,可以在不修改S2的情况下调整执行参数,甚至包括加密密钥等。

 总的来看,自从木马作者从去年开始爆发的敲诈木马中尝到甜头以后,各种不同类型的敲诈木马开始大量涌现。除了利用邮件社工传播和利用匿名网络+比特币支付赎金这两个共同的特点之外,木马作者开始尝试将各种不同的技术融合进木马之中,以增强反检测能力。像这次修改MBR的技术是比较传统的一种病毒恶意手法,之前还只是用于玩笑程序等简单的尝试,而这次则是与敲诈流程串在一起,又发挥了新的用途。敲诈木马的这类演化趋势值得我们持续关注和警惕。

图片10.png

 参考资料:

https://blog.gdatasoftware.com/2016/03/28213-ransomware-petya-encrypts-hard-drives

http://blog.trendmicro.com/trendlabs-security-intelligence/petya-crypto-ransomware-overwrites-mbr-lock-users-computers/

*投稿:腾讯安全管家(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

相关推荐

这些评论亮了

  • yang 回复
    @ 夜尽天明  不过文章并没有说明会kill掉杀软
    )8( 亮了
  • delectate 回复
    读了文章,有2个疑问。
    1、reboot后,并未联网下载key,是否存在本地解密文件的可能性?
    2、修改mbr,杀软就这么轻松放行?qq pc mgr都会有个“修改mbr”的提示呢。
    )7( 亮了
  • tank 回复
    比特币又要涨价啦
    )6( 亮了
  • 科科 回复
    比阿里好多了,写个文章至少有把引用地址弄出来!
    )6( 亮了
发表评论

已有 7 条评论

取消
Loading...

文章目录

    特别推荐

    推荐关注

    官方公众号

    聚焦企业安全

    填写个人信息

    姓名
    电话
    邮箱
    公司
    行业
    职位
    css.php