GandCrab后继有人?Sodinoki勒索软件接管战场

栏目: 编程工具 · 发布时间: 5年前

内容简介:近日,奇安信威胁情报中心红雨滴安全研究团队(RedDrip)监测到了针对中国用户 投递的且带有中文诱饵的压缩包样本,经分析后确认压缩包内为Sodinokibi勒索病毒。在进行关联分析之后,我们发现诱饵文件与上月初我们捕获到的投递GandCrab[1]的诱饵文件之间存在某些相似的地方,不排除这两起攻击活动由同一个团伙运营,或两者之间联系紧密,有一定程度的人员重合。Sodinokibi最早在今年4月份被Talos发现[2],当时攻击者通过WebLogic服务器零日漏洞CVE-2019-2725发起攻击并投放该恶

背景

近日,奇安信威胁情报中心红雨滴安全研究团队(RedDrip)监测到了针对中国用户 投递的且带有中文诱饵的压缩包样本,经分析后确认压缩包内为Sodinokibi勒索病毒。在进行关联分析之后,我们发现诱饵文件与上月初我们捕获到的投递GandCrab[1]的诱饵文件之间存在某些相似的地方,不排除这两起攻击活动由同一个团伙运营,或两者之间联系紧密,有一定程度的人员重合。

Sodinokibi最早在今年4月份被Talos发现[2],当时攻击者通过WebLogic服务器零日漏洞CVE-2019-2725发起攻击并投放该恶意负载。他们在分析时发现攻击者在植入Sodinokibi数小时后又植入了GandCrab v5.2勒索病毒,并猜测这一异常事件可能是因为新样本Sodinokibi在当时没有达到攻击效果,因此再次使用GandCrab来进行钱财勒索。Tesorion在后续的分析报告中,进一步指出了这两个家族在随机URL生成方面的相似性。在本文中我们将指出两者在诱饵文件方面的相似之处,尽管尚无法确认二者的关联,但相信随着更多新线索的出现,真相将逐渐显现出来。

几天前,GandCrab的作者在表示将停止运营该勒索病毒并退休[4],然而 Sodinokibi 等新样本的出现表明这并不代表勒索类恶意样本的影响会因此而减少 。GandCrab即便真的退出,其一年狂卷25亿美元的“辉煌”业绩并成功逃脱法律制裁,只会更多激励后来者沿着这个技术路线和勒索模式继续作恶,我们绝没有放松警惕的借口,与勒索的搏斗只会持续加强。

诱饵分析

MD5 12befdd8032a552e603fabc5d37bda35
文件格式 Email

通过邮件分析,红雨滴团队发现此次攻击疑似针对国内游戏测评公司任玩堂( www.appgame.com ),邮件伪装成DHL货物交付延迟通知,获取受害者信任并诱使打开。

GandCrab后继有人?Sodinoki勒索软件接管战场

附件为压缩包,内含四个文件,可执行文件的属性设置为隐藏,因此正常用户在默认设置情况下是无法看到可执行程序的存在,只能看到两个快捷方式。在设置显示隐藏文件后能看到所有的相关文件:

GandCrab后继有人?Sodinoki勒索软件接管战场

样本分析

文件名 重要信息.doc.exe/聯繫方式.doc.exe
MD5 e08d8c6d2914952c25df1cd0da66131b

伪装成Office Word的病毒样本首先解密一段ShellCode,并跳转执行该ShellCode:

GandCrab后继有人?Sodinoki勒索软件接管战场

GandCrab后继有人?Sodinoki勒索软件接管战场

ShellCode主要功能为解密核心PayLoad并跳转执行:

GandCrab后继有人?Sodinoki勒索软件接管战场

核心PayLoad为sodinokibi勒索病毒,动态解密修正137处IAT:

GandCrab后继有人?Sodinoki勒索软件接管战场

紧接着创建互斥,保证只有一个实例运行:

GandCrab后继有人?Sodinoki勒索软件接管战场

之后解密配置信息,解密函数如下:

GandCrab后继有人?Sodinoki勒索软件接管战场

解密的配置信息包括公钥、白名单目录、白名单文件、白名单后缀、域名、要结束的进程等信息:

GandCrab后继有人?Sodinoki勒索软件接管战场

然后将公钥、加密后的后缀等信息保存到注册表HKEY_LOCAL_MACHINE\SOFTWARE\recfg:

GandCrab后继有人?Sodinoki勒索软件接管战场

并通过GetKeyboardLayoutList获取键盘布局信息,当遇到下列语言环境时则不进行文件加密:

GandCrab后继有人?Sodinoki勒索软件接管战场

判断操作系统位数:

GandCrab后继有人?Sodinoki勒索软件接管战场

GandCrab后继有人?Sodinoki勒索软件接管战场

判断当前进程是否存在配置文件中需要结束的进程,若有则结束该进程

GandCrab后继有人?Sodinoki勒索软件接管战场

并通过执行CMD命令删除卷影文件防止用户恢复被加密的文件:

GandCrab后继有人?Sodinoki勒索软件接管战场

删除备份文件:

GandCrab后继有人?Sodinoki勒索软件接管战场

并在每个目录下生成勒索相关信息:

GandCrab后继有人?Sodinoki勒索软件接管战场

最终加密除白名单配置以外的所有文件,将加密后的文件设置为之前保存在注册表中的随机后缀:

GandCrab后继有人?Sodinoki勒索软件接管战场

加密结束后,改变桌面背景,显示勒索信息:

GandCrab后继有人?Sodinoki勒索软件接管战场

最后尝试连接配置文件中的域名,发送受害者计算机基本信息:

GandCrab后继有人?Sodinoki勒索软件接管战场

关联分析

2019年5月,奇安信红雨滴安全团队发布了《卷土重来!中文诱饵Gandcrab勒索软件肆虐五月初》分析文章,有趣的是我们发现这两次的攻击的投递方式几乎一模一样:

GandCrab后继有人?Sodinoki勒索软件接管战场

且其快捷方式都泄露了攻击者的电脑名,都为win-0ev5o0is9i7

GandCrab后继有人?Sodinoki勒索软件接管战场

通过该电脑名我们发现近期韩国ESTsecurity也披露了针对韩国境内传播Sodinoki勒索病毒攻击活动,其攻击手法与此次攻击活动一致,且快捷方式中泄露的电脑名也为win-0ev5o0is9i7

GandCrab后继有人?Sodinoki勒索软件接管战场

防护建议

1.尽量关闭不必要的端口,如 445、135,139 等,对 3389、5900 等端口可进行白名单配置,只允许白名单内的 IP 连接登陆。

2.采用高强度的密码,避免使用弱口令密码,并定期更换密码。

3.安装奇安信天擎新一代终端安全管理系统。

4.及时更新软件,安装补丁。

总结

由于Sodinokibi会通过电子邮件传播,我们建议您不要打开任何未知来源的电子邮件,尤其是不要打开附件。即使附件来自常用联系人,我们也建议您在打开之前,使用奇安信天擎对其进行扫描,以确保它不包含任何恶意文档或文件。

参考链接

[1]. https://mp.weixin.qq.com/s/TKZN9Qvcf_qqikeurdHBpg

[2]. https://blog.talosintelligence.com/2019/04/sodinokibi-ransomware-exploits-weblogic.html

[3]. https://www.tesorion.nl/aconnection-between-the-sodinokibi-and-gandcrab-ransomware-families/

[4]. https://www.zdnet.com/article/gandcrab-ransomware-operation-says-its-shutting-down/

[5]. https://blog.alyac.co.kr/2344

*本文作者:奇安信威胁情报中心,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

爆品战略

爆品战略

金错刀 / 北京联合出版公司 / 2016-7-1 / 56.00

◆ 划时代的商业著作!传统企业转型、互联网创业的实战指南! ◆ 爆品是一种极端的意志力,是一种信仰,是整个企业运转的灵魂! ◆ 小米创始人雷军亲自作序推荐!小米联合创始人黎万强、分众传媒创始人江南春、美的董事长方洪波、九阳董事长王旭宁等众多一线品牌创始人联袂推荐! ◆ 创图书类众筹新纪录!众筹上线2小时,金额达到10万元;上线1星期,金额突破100万元! ◆ 未售......一起来看看 《爆品战略》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码