安全分析與研究
專注於全球惡意軟件的分析與研究
前言
勒索攻擊已經成為了全球最大的網絡威脅,越來越多的黑客組織開始加入到勒索病毒攻擊活動,目前勒索病毒黑客組織大致可以分為兩類,一類攻擊目標主要以TO C(個人)為主,一類攻擊目標主要以TO B(企業)為主,前者的勒索金額主要為幾百美元到幾萬美元不等,後面的勒索金額主要為幾十萬美元到幾千萬美元為主,前者的攻擊手法以捆綁偽裝其它程序為主,後者的攻擊手法以APT定向攻擊手法為主,筆者在之前的文章都已經詳細講解過這些攻擊手法,可以預見,未來幾年勒索病毒攻擊仍然是全球最大的網絡威脅,同時未來幾年不管是針對TO C,還是針對TO B的攻擊都會越來越流行,個人和企業都要提高安全意識,目前大部分主流勒索病毒都是無法解密的,以防為主。
筆者在某油管視頻下載網站上下載一個網絡安全學習視頻的時候,突然彈出一個網頁,給我下載了一個Windows更新程序,如下所示:
URL為:hxxps://hortel.info/clickid=17287,下載顯示為Windows10-11系統更新程序,本來打算安裝更新程序,正好聯想到前段時間Magniber勒索病毒通過Windows更新程序傳播感染受害者,並帶有有效數字簽名,對該MSI更新安裝程序進行了分析,發現果然是Magniber勒索病毒程序,還好長了一個心眼,沒有直接點擊安裝,不然就中招了,現在勒索病毒真的是無處不在、無孔不入啊,全球基本上每天都有企業或個人中招,一定要提高安全意識。
既然這個勒索病毒的最新變種被我遇到了,那正好分析一下,看看這個勒索病毒黑客組織最近在玩些什麼套路,很可能還會有其他人會遇到,同時給大家提個醒,不管是軟件安裝程序,系統更新程序,漏洞補丁程序,或者其他人發給你的程序或文檔,都不要隨意安裝或打開,安全意識真的很重要,一定要到正規的官方指定的網站下載安裝。
分析
1.下載的安裝程序,時間為2022年5月3日3:55分更新的,如下所示:
2.解析MSI安裝程序的相關信息,如下所示:
3.解包MSI安裝程序,如下所示:
4.安裝程序的InstallExecuteSequence.idt文件,發現一個可疑的安裝u13n05fpc4,如下所示:
5.u13n05fpc4是安裝的什麼呢?查看自定義安裝CustomAction.idt文件,如下所示:
6.安裝加載hj8i35ab程序,通過解包MSI安裝程序,得到hj8i35ab程序,如下所示:
7.hj8i35ab是一個惡意DLL程序,其導出函數為e65nrd8nai,如下所示:
8.動態調試該DLL,如下所示:
9.在內存中解密出整個shellcode代碼,如下所示:
10.執行上面的shellcode代碼,將其中的一段shellcode代碼注入到svchost進程,注入的shellcode代碼,如下所示:
11.在C:\Users\Public目錄下生成XML惡意腳本文件,如下所示:
腳本內容,如下所示:
12.再生成第二個腳本文件,如下所示:
腳本內容,如下所示:
然後調用regsvr32.exe程序,執行惡意腳本,如下所示:
shellcode惡意代碼會啟動fodhelper.exe和compmgmtlauncher.exe,然後注入啟動一段shellcode惡意代碼,如下所示:
13.生成加密後的文件後綴名amcqeuig,如下所示:
排除一些不加密的文件目錄,如下所示:
加密文件過程,如下所示:
14.加密後的文件,如下所示:
15.彈出的勒索提示信息,如下所示:
16.點擊進入之後,如下所示:
17.生成的勒索提示信息文件內容,如下所示:
18.使用TOR瀏覽器打開該勒索病毒暗網URL之後,如下所示:
聊天信息窗口,如下所示:
好了,該勒索病毒黑客組織的最新變種基本就分析完了,通過分析發現該勒索病毒應該是一個技術相對成熟的黑客組織開發並維護的,該勒索病毒從最開始被發現到現在已經有好幾個版本的變種樣本,而且所有的函數都是使用系統調用的方式執行,有興趣的朋友可以詳細分析研究一下該勒索病毒的幾個變種版本。
威脅情報
HASH
E59C6438CA6D9A6FCD5AFC9F051704FF
URL
hxxps://hortel.info/clickid=17287
總結
還好筆者平時一直在關注各種流行惡意軟件的攻擊活動,同時安全意識相對也比較高,不然可能就真中招了,哈哈哈哈。
筆者曾深度跟蹤和研究過上百種主流的勒索病毒黑客組織,現在勒索病毒攻擊手法多種多樣,並且通過之前跟蹤的一些大型的勒索病毒黑客組織的攻擊活動,可以發現勒索病毒黑客組織APT式定向化勒索攻擊的技術手段越來越高,APT式定向勒索攻擊會成為未來針對企業進行勒索攻擊的主流方式,同時針對個人的勒索攻擊也在逐步流行,勒索病毒黑客組織無時無刻不在尋找着新的攻擊目標,可以預測,勒索病毒攻擊在未來幾年仍然將是全球最大的網絡威脅,不管是個人還是企業,一定要提高安全意識。
勒索病毒攻擊技術已經越來越成熟與複雜,同時勒索病毒黑客組織RAAS平台化模式又讓勒索攻擊的成本越來越低,勒索攻擊的暴利導致越來越多的大大小小的黑客組織都紛紛加入到勒索病毒攻擊活動當中,更多勒索病毒攻擊技術和手法,可以參考筆者之前的文章。
大家在下載一些軟件的時候,一定要到正規的官方網站進行下載,同時要檢測軟件安裝包的數字簽名等信息是否完整且有效,現在各種新型惡意軟件不斷湧現,攻擊手法多種多樣,防不勝防,一定要提高安全意識,一不小心可能你的電腦就被植入了勒索、挖礦、APT木馬後門、殭屍網絡等。
做安全,不忘初心,與時俱進,方得始終!
安全分析與研究,專注於全球惡意軟件的分析與研究,追蹤全球黑客組織攻擊活動,歡迎大家關注。
王正
筆名:熊貓正正
惡意軟件研究員
長期專注於全球各種流行惡意軟件的分析與研究,深度追蹤全球黑客組織的攻擊活動,擅長各種惡意軟件逆向分析技術,具有豐富的樣本分析實戰經驗,對勒索病毒、挖礦病毒、竊密、遠控木馬、銀行木馬、殭屍網絡、APT攻擊類樣本都有深入的分析與研究
心路歷程:從一無所知的安全小白菜,到十幾年安全經驗的老白菜,安全的路還很長,一輩子只做一件事,堅持、專注,專業!
留言列表