近期GandCrab勒索事件详细分析

栏目: 编程工具 · 发布时间: 6年前

内容简介:作者:Kshom从2018年9月底开始,根据数据监测GandCrab勒索有大规模爆发趋势,且版本更新频繁。在国内GandCrab目前仍以弱口令爆破、伪装正常软件诱导用户运行及漏洞传播这三种方式传播。当用户遭受感染时,系统磁盘被加密,文件后缀被修改为随机字母,并勒索交付数字货币赎金。 本文将对勒索事件应急中的一些经验与大家分享

近期GandCrab勒索事件详细分析

作者:Kshom @360 观星实验室

勒索事件概述

从2018年9月底开始,根据数据监测GandCrab勒索有大规模爆发趋势,且版本更新频繁。在国内GandCrab目前仍以弱口令爆破、伪装正常软件诱导用户运行及漏洞传播这三种方式传播。当用户遭受感染时,系统磁盘被加密,文件后缀被修改为随机字母,并勒索交付数字货币赎金。 本文将对勒索事件应急中的一些经验与大家分享

PS: GandCrab作者曾向被加密的叙利亚受害者道歉公布了5.0.3以前版本的密钥,随后更新了5.0.4版本并将叙利亚排除在加密区域之外,但是在10月最新的5.0.5版本又将这个区域设定删除

样本勒索执行流程

近期GandCrab勒索事件详细分析

勒索样本分析

虽然GandCrab勒索病毒更新比较频繁,但代码框架变动不大,为保持文章完整性,这里对勒索的流程和细节进行梳理,以10月最新的5.0.5版本分析为主。

MD5: C805528F6844D7CAF5793C025B56F67D

从GandCrabV4版本之后,作者对函数调用入口做了处理,增加静态分析难度,此处入口为 loc_4061B3

近期GandCrab勒索事件详细分析

遍历进程,结束占用特定文件的进程,为能正常加密文件做准备

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

结束的进程如下

近期GandCrab勒索事件详细分析

检测特定的互斥量

近期GandCrab勒索事件详细分析

这里的互斥量对应了样本中嵌入的DLL,决定是否开启利用两个提权漏洞进行提权DLL通过xor 0x18解密后,内存执行并通过管道与主进程通信

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

通过VerifyVersionInfoW判断操作系统MajorVersion是否为6以上

近期GandCrab勒索事件详细分析

判断当前进程权限及安全身份RID,判断是否大于0x1000,这是确认当前进程是否为system组启动,以上两步均是判断操作系统是否为win7以上

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

判断是否为俄语系键盘语言及输入法

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

5.0.4版本中作者将叙利亚列入未加密区域,在5.0.5中又将其删除

近期GandCrab勒索事件详细分析

5.0.5如下图所示,5.0.4版本如上图所示

近期GandCrab勒索事件详细分析

将系统盘磁盘卷区的序号与特定字符串拼接加密后计算hash值,以此创建Mutex变量

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

随后使用内置的密钥解密出RSA公钥

近期GandCrab勒索事件详细分析

当前版本RSA公钥如下

近期GandCrab勒索事件详细分析

查找是否存在相关杀软进程

近期GandCrab勒索事件详细分析

从注册表中取处理器相关信息拼成字符串计算CRC32值

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

获取机器信息,生成ransomId并拼接成字符串

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

随后通过RC4对这部分数据加密,RC4密钥为”jopochlen”

近期GandCrab勒索事件详细分析

加密后的数据如下

近期GandCrab勒索事件详细分析

在GandCrabV5版本后,加密文件后生成后缀变为随机

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

提取中要加密文件的类型及其后缀

近期GandCrab勒索事件详细分析

使用CryptGenKey及CryptExportKey生出并导出公私密钥对,并查找注册表HKCUSOFTWAREkeys_datadata及HKLMSOFTWAREkeys_datadata两项,作者检查HKCU及HKLM为确保样本在非管理员权限以上启动也可正常写入注册表

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

若这两个注册表项均不存在,则先创建HKLM(HKCU)SOFTWAREex_datadata项,并生成ext子项中存储此次勒索后缀。

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

生成RSA公钥加密后的密钥

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

将密钥信息写入到注册表HKLM(HKCU)SOFTWAREkeys_datadata的public和private中

近期GandCrab勒索事件详细分析

若这些注册表项已经存在则会使用HKLM(HKCU)SOFTWAREkeys_datadata项中原有的密钥及对应的后缀继续加密

近期GandCrab勒索事件详细分析

将加密提示写入到txt文件中

近期GandCrab勒索事件详细分析

并将加密后的密钥Base64保存

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

创建线程开始加密

近期GandCrab勒索事件详细分析

加密会分别枚举网络资源和本地文件,枚举网络资源如下

近期GandCrab勒索事件详细分析

以下目录不加密

近期GandCrab勒索事件详细分析

以下文件不加密

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

存在随机生成的字符串则在目录下生成XXXXX-DECRYPT.txt勒索信息文件,否则生成KRAB-DECRYPT.txt

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

使用随机生成的字符串为后缀,若不存在则使用KRAB后缀

近期GandCrab勒索事件详细分析

递归遍历磁盘目录,加密流程如下

近期GandCrab勒索事件详细分析

加密函数与老版本基本相同

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

最后末尾写入0x21c大小的加密数据

近期GandCrab勒索事件详细分析

将机器信息Base64编码后发送到某些域名

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

解密出的域名如下图

近期GandCrab勒索事件详细分析

通过执行vssadmin delete删除巻影镜像防止恢复

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

勒索完成后会自删除

近期GandCrab勒索事件详细分析

在GandCrabV5版本后,会在%TEMP%目录下创建并更改系统壁纸,展示勒索信息

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

在GandCrabV5版本后,作者增加了多个提权漏洞利用,有影响Win7、WinServer 2008及WinServer 2008 R2提权漏洞CVE-2018-8120

近期GandCrab勒索事件详细分析

影响Win7以上的操作系统的提权漏洞CVE-2018-8440

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

近期GandCrab勒索事件详细分析

Win10提权漏洞CVE-2018-0896

近期GandCrab勒索事件详细分析

至此勒索样本分析完成

事件溯源分析

在2018年10月18日,360观星实验室团队在处理用户应急时,发现内网遭遇勒索,文件后缀被加密为PWFKPFCP,在磁盘目录下发现PWFKPFCP-DECRYPT.txt文件,根据特征判断用户感染了GandCrab勒索软件

近期GandCrab勒索事件详细分析

对于被感染的用户,使用了观星实验室应急响应分析平台,对用户相关系统提取关键日志等信息,通过关联分析,大致得出黑客攻击的路径,具体如下:

无论是前段时间爆发的GlobeImposter勒索、Crysis勒索还是近期的GandCrab勒索,以弱口令爆破为主要攻击手法的黑客团伙已经拥有非常成熟的流程和工具。

在对收集上来的日志进行关联分析时,发现对KProcessHacker服务的加载时间来统计其时间轴进行初步定位

近期GandCrab勒索事件详细分析

从数据得出在2018年10月16日22点57分,KProcessHacker服务已被加载,其登录分析行为如下

近期GandCrab勒索事件详细分析

在暴力破解检测中发现从2018年10月14日开始,用户机器已经遭受大量爆破攻击

近期GandCrab勒索事件详细分析

并发现了两条可疑的RDP登录记录

近期GandCrab勒索事件详细分析

一条记录指向是X.X.X.60这台机器,在2018年10月18日凌晨2点29分通过Administrator RDP登录,这台60机器显然也是受害机器,但时间已经晚于KProcessHacker加载时间

近期GandCrab勒索事件详细分析

另一条记录指向是X.X.X.171这台机器,在2018年10月16日22点56分通过Administrator RDP登录,这台机器的登录时间与KProcessHacker服务的加载时间相近且在其之前

近期GandCrab勒索事件详细分析

深入分析171机器,同样发现了大量爆破记录

近期GandCrab勒索事件详细分析

在2018年10月17日凌晨4点05分Administrator被重置密码

近期GandCrab勒索事件详细分析

随即在2018年10月17日凌晨4点13分开始,恶意ip 119.129.75.111登录

近期GandCrab勒索事件详细分析

并在2018年10月17日 17点27分将Administrator添加为Oracle超级管理员

近期GandCrab勒索事件详细分析

继续对X.X.X.171机器关联分析发现X.X.X.164机器被更多的恶意ip登录

近期GandCrab勒索事件详细分析

针对乌克兰193.238.46.96等ip分析,发现存在明显的扫描和爆破行为

近期GandCrab勒索事件详细分析

对所有登录事件关联分析如下图所示

近期GandCrab勒索事件详细分析

通过以上分析,基本确认出此次攻击的发起点及攻击路径

处置建议

对于已经感染的服务器立即下线隔离
在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放
开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口
每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)
及时修复系统漏洞

安全建议

系统、应用相关的用户杜绝使用弱口令,同时,应该使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现
禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制
有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员IP可对管理端口进行访问,如FTP、数据库服务、远程桌面等管理端口
配置并开启相关关键系统、应用日志,对系统日志进行定期异地归档、备份,避免在攻击行为发生时,导致无法对攻击途径、行为进行溯源等,加强安全溯源能力
针对服务器,不仅要安装带主动防护的杀毒软件,最好部署安全加固软件,阻断黑客攻击

参考链接及IOC

IOC:

c805528f6844d7caf5793c025b56f67d

f8853def4c82a9075ff0434c13ceca23

c805528f6844d7caf5793c025b56f67d

“GandCrab勒索病毒最新疫情”- 360安全卫士

“Rapidly Evolving Ransomware GandCrab Version 5 Partners With Crypter Service for Obfuscation”- Mcafee


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

高效团队开发

高效团队开发

[日] 池田尚史、[日] 藤仓和明、[日] 井上史彰 / 严圣逸 / 人民邮电出版社 / 2015-7 / 49.00

本书以团队开发中所必需的工具的导入方法和使用方法为核心,对团队开发的整体结构进行概括性的说明。内容涉及团队开发中发生的问题、版本管理系统、缺陷管理系统、持续集成、持续交付以及回归测试,并且对“为什么用那个工具”“为什么要这样使用”等开发现场常有的问题进行举例说明。 本书适合初次接手开发团队的项目经理,计划开始新项目的项目经理、Scrum Master,以及现有项目中返工、延期问题频发的开发人......一起来看看 《高效团队开发》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

html转js在线工具
html转js在线工具

html转js在线工具