freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    GandCrab退出江湖 警惕继任者sodinokibi勒索病毒取而代之
    2019-06-04 11:15:37

    近日,腾讯御见威胁情报中心监测到国内发生大量借助钓鱼邮件方式传播的sodinokibi勒索攻击。该病毒与大名鼎鼎的GandCrab较为相似,该病毒已于周末宣布停止运营。而sodinokibi勒索几乎完全继承了GandCrab的传播渠道。

    sodinokibi勒索病毒首先出现于2019年4月底,早期使用web服务相关漏洞传播。近期发现,sodinokibi勒索病毒会伪装成税务单位、司法机构,使用钓鱼欺诈邮件来传播(病毒附件名:關於你案件的文件.doc.exe,聯繫方式.doc.exe,來自最高法院的文件\錶殼材料.doc.exe,稅務局的文件\樣品填充.doc.exe等)。由于系统默认设置不显示文件扩展名,伪装成doc文档的EXE病毒常被错误判断为文档而双击打开。

    1.png

    通过分析近期传播的sodinokibi勒索病毒可知,该病毒在代码二进制上相比较有了进一步变化,主要为有部分样本暂时弃用CVE-2018-8453漏洞(一个Windows内核提权漏洞),同时对使用到的大量字串进一步使用RC4算法进行加密。最终使用RSA+salsa20的方式配合IOCP完成端口模型进行文件的加密流程,这意味着该病毒加密文件效率将进一步提升,被该病毒加密破坏的文件暂时无法解密。

    sodinokibi勒索病毒在执行加密时,会排除白名单中指定的某些文件夹和文件类型不加密,病毒也会排除几个俄语系国家及东欧国家不进行加密破坏行动。

    腾讯安全专家提醒用户务必小心处理来历不明的邮件,推荐修改系统默认的文件查看方式,选择查看已知文件类型的扩展名,就可以简单识别那些伪装成doc文档的危险程序。目前,腾讯电脑管家和腾讯御点均可查杀该勒索病毒。

    2.png

    分析

    sodinokibi勒索通常情况下会使用外壳程序来保护自身核心代码,通过调试可在内存中找到核心勒索payload。

    3.png


    外壳程序通过拷贝勒索payload节数据,修正重定位信息后跳转入口代码执行

    4.png


    勒索payload执行后首先动态解密修正IAT,共131处

    5.png

    近期发现病毒版本此多修正7处,共138处,这意味着病毒功能更加丰富

    6.png

    判断当前系统为x86或x64

    7.png读取相应的配置“exp:true”后尝试准备相应的提权payload

    8.png

    9.png

    payload为CVE-2018-8453提权利用相关代码

    10.png

     

    11.png

    分析近期样本可知,近期部分病毒版本由于配置原因并不执行提权payload,猜测因为漏洞利用代码由于兼容性问题导致可能出现蓝屏,故病毒作者暂时不再提权

    12.png

    病毒通过在内存中解密出大量使用明文信息,其中包含了尝试使用的上传domain列表和

    以下部分信息:

    RSA公钥信息:

    "nAjfiPcoIyeIwwCkM1hLhXo5HUQMtrAB+7m8eHzerho="

     

    白名单过滤目录:

    ["system volume information"

    "mozilla","appdata","intel","msocache","$windows.~ws","programdata","perflogs","programfiles","windows","boot","google","$windows.~bt","programfiles (x86)","tor browser","applicationdata","windows.old","$recycle.bin"]

     

    白名单过滤文件:

    ["autorun.inf","ntuser.dat","ntuser.dat.log","ntldr","thumbs.db","desktop.ini","ntuser.ini","boot.ini","bootfont.bin","bootsect.bak","iconcache.db"]

     

    白名单过滤后缀:

    ["hlp","icns","cab","com","ico","icl","nls","cpl","bin","ics","spl","dll","ps1","scr","cmd","prf","lnk","diagcab","wpx","msc","adv","nomedia","sys","mpa","shs","rom","themepack","cur","msu","drv","ocx","msstyles","mod","key","diagcfg","msi","ldf","rtp","ani","bat","386","idx","msp","theme","diagpkg","lock","hta","deskthemepack","exe"]

     

    结束进程信息:

    ["mysql.exe"]

    13.png

    解密出的勒索说明信息

    14.png


    Domain使用会随机拼接以下3部分内容作为完整url,进一步上传本地用户名,操作系统等感染信息

    15.png

    而近期传播病毒版本对样本内使用的大量明文字串使用RC4算法进行了加密处理,通过动态解密后使用

    16.png

    通过获取键盘布局信息,加密时避开部分语言国家

    17.png

    18.png

    该病毒同样会删除系统卷影信息防止文件找回

    19.png

    分析近期传播版本病毒可知病毒加密文件前会先创建2*CPU个数的工作线程,以便充分利用CPU资源

    20.png

    使用IOCP完成端口模型完成对文件数据的加密流程

    21.png

    加密方式使用salsa20

    22.jpg

    被加密文件会被添加随机扩展后缀

    23.png

    并留下名为“随机扩展-readme.txt”的勒索说明文件,部分病毒版本使用“随机后缀-HOW-TO-DECRYPT.txt”,同时修改桌面壁纸为深蓝

    24.jpg

    IOCs

    MD5

    f92ed77eb41b9e7a0ca17e09f107a9e6

    0af70f511fef0a5c3d5d84b5c02b3961

    e46d2a8345033bb845270db946ca0d96

    c5d873737465e219f2aeab6de1b53a82

    ebef42cbd2c43ef6adb1599259e197d7

    ef8f9dbdd85992d71c338e05ea92cd01

    安全建议

    企业用户:

    1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

    2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

    3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

    4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

    5、对重要文件和数据(数据库等数据)进行定期非本地备份。

    6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。

    7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

    25.png


    8、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

    个人用户:

    1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码

    2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。

    本文作者:, 转载请注明来自FreeBuf.COM

    # 勒索病毒 # GandCrab # 腾讯御见威胁情报 # sodinokibi
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    评论 按热度排序

    登录/注册后在FreeBuf发布内容哦

    相关推荐
    • 0 文章数
    • 0 评论数
    • 0 关注者
    登录 / 注册后在FreeBuf发布内容哦
    收入专辑