对两款流行锁机的分析

栏目: 服务器 · 发布时间: 6年前

内容简介:据我所知,自2014年来,各种就敲竹杠锁机虽出不穷,刚开始以娱乐为主,后以勒索为目的,其方式变化多端,毫不夸张地说,此类样本很可能己达到千万级,成为流行病毒的重要一部分。 类型从bat (批处理)一(vbe)一exe(可执行程序)。其中exe可分为不加壳,加普通壳一一加强壳。其中保护壳的功能各有不同,如反虚拟机、反沙箱(盒)、反影子。其目的就是为了加大安全人员分析的难度。勒索方式有用户锁、屏幕锁、MBR逻辑锁。勒索金额各不相同。起初bat、vbe类主要是以net user管理员账户来修改,因当时大多数杀软

0x00 前言

据我所知,自2014年来,各种就敲竹杠锁机虽出不穷,刚开始以娱乐为主,后以勒索为目的,其方式变化多端,毫不夸张地说,此类样本很可能己达到千万级,成为流行病毒的重要一部分。 类型从bat (批处理)一(vbe)一exe(可执行程序)。其中exe可分为不加壳,加普通壳一一加强壳。其中保护壳的功能各有不同,如反虚拟机、反沙箱(盒)、反影子。其目的就是为了加大安全人员分析的难度。勒索方式有用户锁、屏幕锁、MBR逻辑锁。勒索金额各不相同。起初bat、vbe类主要是以net user管理员账户来修改,因当时大多数杀软对样本调用的cmd命令行不阻止,有很多人中招初代的exe类也是如此。屏幕锁是使软件显示于最上层(类似于游戏全屏),通过各种手段阻止用户退出并要求输入密码,以此来勒索用户。而MBR逻辑锁是通过修改MBR,使用户无法进入操作系统,停留在引导界面并要求输入密码,以此来勒索。下面,我们正式进入分析。

0x01本地随机数

这样称是因为样本的算法在本身中,随机ID匹配对应的密码,作者通过算法即可算出密码。这里以柠檬锁机为例。 对两款流行锁机的分析

对两款流行锁机的分析

样本信息

对两款流行锁机的分析

中招效果

对两款流行锁机的分析

原理就是写入MBR

在虚拟机环境中,双击样本。通过弹窗“请不要在虚拟机中运行程序”标题是SE壳的名称。

对两款流行锁机的分析

SE壳是目前保护壳中最难破解的,所以我们请来了逆向dalao——sound来帮助我们分析。通过一会的的逆向分析,找到了OEP入口点。据他说是利用脚本就可以直接跑出OEP的,这个脚本他曾经发布过,有兴趣的可以自己找找看。

对两款流行锁机的分析

找到了OEP入口点,也就是说,我们成功对程序进行了解压缩。这时候已经开始运行真正的程序了。通过分析算法,得到结果如下:有两个随机数,一个取md5,一个取16进制大写。然后与固定参数25572参与运算,转换为md5,取前10位,再取一次md5前16位,最后得到密码,并且都是大写的。破解该锁后,作者声称无法破解的幻想已经破灭。

0x02网络随机数

对两款流行锁机的分析

这样称只是为了方便辨识,而不是算法在服务器上。其原理就是将本地算法生成的ID与密码发送到服务器/邮件上这里以蜗牛锁机为例。MBR界面上届有两个QQ号QQ名为主号或备用号,头像为动漫人物的锁机,一定是该作者编写的。因中的人数众多,我们对该样本进行深入分析。

以下是详细信息

对两款流行锁机的分析

360天眼情报系统情报

对两款流行锁机的分析

中招情况

对两款流行锁机的分析

通过行为分析 工具 分析得,该样本仅为一个下载器,会从服务器上下载真正的锁机,以此来达到免杀的目的。但笔者下载了作者服务器上的样本,被360 QVM报毒。说明360在联网情况下,支持查杀该样本的变种。

下载器情况

对两款流行锁机的分析

  将样本在虚拟机内运行分析,样本弹窗提示请勿在虚拟机内运行,因为样本加的是SE壳,所以使用分析工具进行运行分析。

样本运行流程

对两款流行锁机的分析

SE壳弹窗提示

对两款流行锁机的分析

绕过之后就可以看到前面样本的下载地址了

对两款流行锁机的分析

那怎么绕过的SE壳的虚拟机检测呢?

因为是dalao帮忙分析的,他的方法我们不得而知。但是我还是有一个办法可以绕过SE壳的虚拟机检测的。这个办法是从pxhb大佬那里学来的。我贴在这里:

第一处:

特征码81 7D E4 68 58 4D 56

cmp dword ptr ss:[ebp-0x1Ch],0x564D5868h //将564D5868 任意修改

jnz L0069B0FF

push -0x4h

pop eax

jmp L0069B101

L0069B0FF:

xor eax,eax

L0069B101:

call L006B3C4C

retn//这里把eax赋值0也可以

原理:in eax,dx这个大家都知道

第二处:

特征码55 8B EC 83 EC 14

    push ebp//直接mov eax,0  retn
    mov ebp,esp
    sub esp,0x14h
    push ebx
    push esi
    jmp L0069AFA9

原理:关键部分vm了

作者使用的是stmp邮件服务器

对两款流行锁机的分析

对两款流行锁机的分析

我登陆上作者的邮箱,得到锁机的密码。

对两款流行锁机的分析

分析到此结束

另外,截至文章发表前,病毒作者作者加入了对火绒的检测,也就是说,在安装火绒的电脑上不运行。但是,这并没有什么用。

0x03 总结

中此类病毒的原因,大多数都是为了贪小便宜,体验开外挂得到的乐趣。但也有些人,轻信作者所谓的“误报”选择关掉杀软,我就把他归结为智商问题。遇不放心的软件放到虚拟机运行,要是虚拟机运行不了,那就是软件作者对软件采取了反虚拟机措施。这时候,你运行这个软件就得小心了。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

搜索引擎

搜索引擎

(美)克罗夫特 / 机械工业出版社 / 2009-10 / 45.00元

《搜索引擎:信息检索实践(英文版)》介绍了信息检索(1R)中的关键问题。以及这些问题如何影响搜索引擎的设计与实现,并且用数学模型强化了重要的概念。对于网络搜索引擎这一重要的话题,书中主要涵盖了在网络上广泛使用的搜索技术。 《搜索引擎:信息检索实践(英文版)》适用于高等院校计算机科学或计算机工程专业的本科生、研究生,对于专业人士而言,《搜索引擎:信息检索实践(英文版)》也不失为一本理想的入门教......一起来看看 《搜索引擎》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试