GandCrab 5.1样本详细分析

栏目: 编程工具 · 发布时间: 5年前

内容简介:作者:360企业安全华南基地最近国外安全研究人员发现了GandCrab勒索病毒的V5.1最新版变种,360企业安全华南基地团队马上对此事进行了相关跟进,获取到了相应的变种样本,确认此样本为GandCrab勒索家族的最新的变种,新版本增加了大量花指令,大部分关键功能都是动态获取 API,并且所有关键字符串也都被加密了。文件加密算法采用RSA-2048+ salsa20,并且加密共享目录中的文件, 并使用漏洞进程提权还将系统中指定的文档和文件加密为随机字符后缀,然后对用户进行勒索。天擎已能对该勒索者进行查杀

GandCrab 5.1样本详细分析

作者:360企业安全华南基地

概述

最近国外安全研究人员发现了GandCrab勒索病毒的V5.1最新版变种,360企业安全华南基地团队马上对此事进行了相关跟进,获取到了相应的变种样本,确认此样本为GandCrab勒索家族的最新的变种,新版本增加了大量花指令,大部分关键功能都是动态获取 API,并且所有关键字符串也都被加密了。文件加密算法采用RSA-2048+ salsa20,并且加密共享目录中的文件, 并使用漏洞进程提权还将系统中指定的文档和文件加密为随机字符后缀,然后对用户进行勒索。天擎已能对该勒索者进行查杀

GandCrab 5.1样本详细分析

技术细节详细分析

前期准备

首先GandCrab会遍历当前系统进程列表,如果匹配到指定的进程后则结束该进程。防止文件被占用,要结束的进程列表如下总共71个进程名字

msftesql.exe、sqlagent.exe、sqlbrowser.exe、sqlwriter.exe、oracle.exe、ocssd.exe、dbsnmp.exe、synctime.exe、agntsvc.exe、isqlplussvc.exe、xfssvccon.exe、sqlservr.exe、mydesktopservice.exe、ocautoupds.exe、encsvc.exe、firefoxconfig.exe、tbirdconfig.exe、mydesktopqos.exe、ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe、synctime.exe、dbsnmp.exe、oracle.exe、sqlwriter.exe、ocomm.exe、sqlbrowser.exe、sqlagent.exe、thebat.exe、isqlplussvc.exe、msftesql.exe、agntsvc.exe、xfssvccon.exe、sqlservr.exe、mydesktopservice.exe、ocautoupds.exe、encsvc.exe、firefoxconfig.exe、tbirdconfig.exe、mydesktopqos.exe、ocssd.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、mspub.exe、infopath.exe、msaccess.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe

GandCrab 5.1样本详细分析

然后动态获取Kernel32模块地址,获取导出函数名称,并计算hash后与硬编码的hash比较获取函数地址如下:

0xC930EA1E = Process32Next

0x6C544060 = SetErrorMode

0x99A4299D = OpenProcess

GandCrab 5.1样本详细分析

通过预先设置好的硬编码做为RC4解密算法的key做进行解密,然后还原出每个字符串的原始内容,根据内容判断,是连接C2时使用的请求参数名。

GandCrab 5.1样本详细分析

参数名
pc_user
pc_name
pc_group
av
pc_lang
pc_keyb
os_major
os_bit
ransom_id
hdd
ip
Sub_id
version

GandCrab 5.1样本详细分析

最后将获取到的系统信息,再次使用RC4进行加密,使用的加密key值为 :

.oj=294~!z3)9n-1,8^)o((q22)lb$

GandCrab 5.1样本详细分析

加密后的:

GandCrab 5.1样本详细分析

然后获取Windows版本信息

GandCrab 5.1样本详细分析

获取当前运行进程权限等级

GandCrab 5.1样本详细分析

然后判断当前自身进程权限,如果是低权限,则使用CVE-2018-8440 和 CVE-2018-8120进行提权,如下代码

GandCrab 5.1样本详细分析

然后使用WMI 将自身以管理员权限进行重启

GandCrab 5.1样本详细分析

获取操作系统语言版本 如果是以下语言时则退出加密,并删除程序

419(俄罗斯)422(乌克兰) 423(比利时) 428(塔吉克) 42B(亚美尼亚)42c(阿塞拜疆) 437(格鲁吉亚) 43f(吉尔吉斯坦) 440(吉尔吉斯斯坦) 442(土库曼) 443(乌兹别克斯坦) 444(鞑靼斯坦) 818(未知) 819(未知) 82c(阿塞拜疆) 843(乌兹别克)45A 叙利亚语(叙利亚) 2801 阿拉伯语(叙利亚)

GandCrab 5.1样本详细分析

使用磁盘序列号计算hash后,创建名为GLobal\<hash>.fuck 互斥体,防止多次运行

GandCrab 5.1样本详细分析

在这个版本中仍就点名安全研究员 @hashbreaker Daniel J. Bernstein

GandCrab 5.1样本详细分析

开始加密

做完上文中说的事情后,开始进入加密文件的流程,通过两层解密后得到RSA-2048公钥:

首先使用硬编码的RC4算法进行解密,然后再进行xor算法得到密文

GandCrab 5.1样本详细分析

然后再使用下图解密出来的KEY再次去解密,最终得到RSA的公钥明文

GandCrab 5.1样本详细分析

解密后的RSA-2048 公钥:

GandCrab 5.1样本详细分析

不进行加密的文件后缀:

GandCrab 5.1样本详细分析

不加密的后缀列表如下:

.cab .cpl .cur .diagcab .diagpkg .dll .drv .lock .hlp .ldf .icl .icns .ico .ics .lnk .key .idx .mod .mpa.msc .msp .msstyles .msu .nomedia .ocx .prf .rom .rtp .scr .shs.spl .sys .theme .themepack .exe .bat .cmd .gandcrab .KRAB .CRAB .zerophage_i_like_your_pictures

要加密的文件后缀列表如下:

GandCrab 5.1样本详细分析

随机生成字符串作为加密后的文件扩展名,写入到注册表

HKEY_LOCAL_MACHINE\SOFTWARE\ex_data\data[ext],该字符串作为被加密文件后缀,如下图所示:

GandCrab 5.1样本详细分析

然后生成一对RSA-2048密钥,并导出PUBLICKEYBLOB和PRIVATEKEYBLOB 用于加密salsa20 算法的key(用于加密文件的key)

GandCrab 5.1样本详细分析

创建注册表SOFTWARE\keys_data\data

GandCrab 5.1样本详细分析

写入注册表前生成的RSA-2048公钥

GandCrab 5.1样本详细分析

  1. 导入硬编码公钥

sub_2040EC函数导入硬编码的RSA2048公钥来加密生成的8位随机数和32位随机数

GandCrab 5.1样本详细分析

使用硬编码的公钥加密8位、32位随机字符串,以及生成的RSA-2048私钥,随后将加密的信息写入注册表

GandCrab 5.1样本详细分析

写入加密后的私钥大小+32位随机字符+8位随机字符+加密后的私钥

GandCrab 5.1样本详细分析

  1. 解密勒索字符串信息

使用Base64加密之前的key以及收集的pc信息,拼接到勒索提示文件中

GandCrab 5.1样本详细分析

解密勒索提示文本内容,如下图所示

GandCrab 5.1样本详细分析

最终写入的勒索提示文件,如下图所示:

GandCrab 5.1样本详细分析

  1. 加密文件

加密可用局域网共享目录下的文件

GandCrab 5.1样本详细分析

加密磁盘目录下的文件

GandCrab 5.1样本详细分析

写入勒索提示文本JBKJFFEII-DECRYPT.txt

GandCrab 5.1样本详细分析

写入.lock文件

GandCrab 5.1样本详细分析

排除特定文件

GandCrab 5.1样本详细分析

加密文件内容

GandCrab 5.1样本详细分析

追加加密信息到文件末尾

GandCrab 5.1样本详细分析

创建勒索桌面壁纸文件到C:\Users\<USERNAME> \AppData\Local\Temp\bxmeoengtf.bmp

GandCrab 5.1样本详细分析

通过修改注册表HKCU\Control Panel\Desktop\Wallpaper设置壁纸

GandCrab 5.1样本详细分析

  1. 删除卷影拷贝

GandCrab 5.1样本详细分析

检测如果WMI可用,则使用WMI命令删除卷影拷贝:

C:\Windows\system32\wbem\wmic.exe shadowcopy delete

否则使用CMD命令删除:

C:\Windows\system32cmd.exe /c vssadmin delete shadows /all /quiet

查杀、防御技术方案

  • 不要打开来历不明的邮件附件
  • 在Windows中禁用U盘的“自动运行”功能
  • 打齐操作系统安全补丁,及时升级Web、数据库等服务程序,防止病毒利用漏洞传播
  • 避免使用弱口令,采用复杂密码,设置登录失败次数限制,防止暴力破解攻击
  • 安装杀毒软件,定期扫描电脑,及时升级更新病毒库保持杀毒软件的良好运行
  • 提高安全意识,保持良好的上网习惯,重要数据做好备份

关于360天擎新一代终端安全管理系统

360天擎新一代终端安全管理系统是360企业安全集团为解决政企机构终端安全问题而推出的一体化解决方案,是中国政企客户3300万终端的信赖之选。系统以功能一体化、平台一体化、数据一体化为设计理念,以安全防护为核心,以运维管控为重点,以可视化管理为支撑,以可靠服务为保障,能够帮助政企客户构建终端防病毒、入侵防御、安全管理、软件分发、补丁管理、安全U盘、服务器加固、安全准入、非法外联、运维管控、主机审计、移动设备管理、资产发现、身份认证、数据加密、数据防泄露等十六大基础安全能力,帮助政企客户构建终端威胁检测、终端威胁响应、终端威胁鉴定等高级威胁对抗能力,为政企客户提供安全规划、战略分析和安全决策等终端安全治理能力。

GandCrab 5.1样本详细分析


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

SQL必知必会

SQL必知必会

福达 (Ben Forta) / 钟鸣、刘晓霞 / 人民邮电出版社 / 2013-5-1 / 29.00元

SQL语法简洁,使用方式灵活,功能强大,已经成为当今程序员不可或缺的技能。 本书是深受世界各地读者欢迎的SQL经典畅销书,内容丰富,文字简洁明快,针对Oracle、SQL Server、MySQL、DB2、PostgreSQL、SQLite等各种主流数据库提供了大量简明的实例。与其他同类图书不同,它没有过多阐述数据库基础理论,而是专门针对一线软件开发人员,直接从SQL SELECT开始,讲述......一起来看看 《SQL必知必会》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

随机密码生成器
随机密码生成器

多种字符组合密码

html转js在线工具
html转js在线工具

html转js在线工具