吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 13149|回复: 22
收起左侧

[PC样本分析] 【原创】最近流行的GlobeImposter家族,勒索病毒分析

  [复制链接]
帛青赤 发表于 2019-12-27 01:01
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 帛青赤 于 2020-1-4 12:20 编辑


背景介绍

  • 自2018年8月21日起,多地发生GlobeImposter勒索病毒事件,此次攻击目标主要是开始远程桌面服务的服务器,攻击者通过暴力破解服务器密码,对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密。不断出现新的版本和变种,今年七月,“十二主神”系列爆发,国内多个行业深受威胁。时至今日,暂无解密工具。
  • 365026062.png 365117609.png

VirusTotal

  • 上传到VirusTotal检测一下,大部分引擎都标注出这是 GlobeImposter家族的勒索病毒。

365282421.png

样本基本信息


image.png

沙箱动态检测

  • 发现有自启动、以及遍历加密文件的操作

366199046.png

  • 根据链接器版本猜测是 vs2017写的程序

366867171.png

感染迹象


631402406.png 630090093.png




详细分析

  • 首先申请空间,获取自身路径,拼接路径 "C:\Users\15pb-win7\Desktop\勒索病毒样本Ransom.Globelmposter.x\ids.txt"

519696000.png
  • - 生成字符串 `DF7ADA61E0284DDD4F1E`

537266687.png
  • 把字符串 `Aphrodite666`和字符串`HOW TO BACK YOUR FILES.txt`,以及获取的计算机名称,和字符串 `local`进行拼接。

539338703.png 539439203.png



  • 大概是生成密钥

605758265.png


  • 将上段生成的密钥,追加到勒索文本后,从这得知生成的是用户个人ID

606198453.png

  • 提升权限

608602390.png



  • 获取所有用户配置文件(`GetEnvironmentVariableW(allusersprofile)`)返回值为C:\ProgramData,创建` C:\ProgramData\local `目录

429444375.png

- 在目录` C:\ProgramData\local\ `下 创建文件  `.DF7ADA61E0284DDD4F1E`,写入已下数据(内容暂时不知道什么作用),并设置隐藏。
430728937.png

430609062.png
609098656.png


  • 打开 Homegroup注册表项,并设置`DisableHomeGroup`的值为1 .作用是禁用家庭组

431436656.png

  • 利用注册表,禁用 ·WindowsDefender·以及相应的实时监控保护等。

431748734.png


432501562.png

432387406.png


  • 打开注册表键`RunOnce`(只会运行一次),创建名为 ` "WindowsUpdateCheck"`的启动项,混淆成Windows更新。路径为样本所在路径。

440654515.png


441100375.png



  • 使用cmd执行bat脚本,大概执行了删除磁盘卷影,停止一些数据库的服务,停止报告服务器之类的操作

443374859.png

  • 获取驱动器卷的名称GUID,和驱动器盘符。

442179625.png


  • 会给每个磁盘创建线程
  • 每个盘符都 生成用户ID,长度 417h,追加到勒索文本后

623990875.png
624140265.png

  • 又创建线程,作用是遍历磁盘,加密文件。

625132140.png

  • 在各个盘符根目录下创建文件` ".DF7ADA61E0284DDD4F1E"`


449380125.png

  • 遍历文件如果不是下列文件

image.png

  • 然后比较其后缀不为 `dll`、`lnk`、`ini`、`.sys`的话


455886718.png


  • 打开文件获取文件句柄,创建文件映射对象,然后进行加密。

451780890.png


452010015.png


452327625.png

  • 在内存中加密完成后,停止文件映射,此时已经加密完成。

628846484.png



  • 加密完拼接 文件名与`Aphrodite666`后缀,然后更改名称。

456220906.png

  • 然后在自己路径下创建了一个`ids.txt`文件,查看其内容应该是保存了一些调试信息和本机生成用户ID

629557312.png





  • 枚举当前网络中所有的网络资源

457894546.png

  • 删除自己创建的注册表启动项 `"WindowsUpdateCheck"`

458647078.png
  • 再次使用cmd 执行 bat脚本,大致也是删除卷影,删除日志等操作

630981531.png


  • 删除自身

630649078.png

防范措施

  • 安装杀毒软件,保持监控开启。
  • 不主动点击莫名邮件以及陌生exe。
  • 及时更新系统,关闭不必要的文件共享,以及端口




一些问题

对病毒密钥的使用生成以及加密解密部分没有做具体分析,因为暂时没有什么好的思路,有很多解密的字符不知道他的具体用处,只知道勒索病毒的流程一般是利用他的RSA公钥,去加密用户电脑生成的密钥。

免费评分

参与人数 8吾爱币 +8 热心值 +8 收起 理由
dexter8308 + 1 + 1 虽然看不懂,但感觉是大神
林铁柱和张翠花 + 1 + 1 热心回复!
lcxmap + 1 + 1 谢谢@Thanks!
peterzzx + 1 + 1 我很赞同!
zero呆 + 1 + 1 6666
Aleshaaaa + 1 + 1 谢谢@Thanks!
唔识路 + 1 + 1 用心讨论,共获提升!
FleTime + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| 帛青赤 发表于 2019-12-29 16:54
lcxmap 发表于 2019-12-29 14:46
冒昧想问可否提供样本,想照着文章自己做一次看看

因为没有 virustotal 的帐号,刚刚去 any.run 和 hybr ...

别忘了虚拟机下跑
链接:https://pan.baidu.com/s/1OfyW8uqi7CkgQANxpPsfvQ
提取码:r5ca
复制这段内容后打开百度网盘手机App,操作更方便哦
diyikuai 发表于 2019-12-27 07:04
月下独酌 发表于 2019-12-27 08:55
流浪星空 发表于 2019-12-27 09:25
我客户公司中勒索病毒,重装系统都不行,数据全丢
 楼主| 帛青赤 发表于 2019-12-27 11:02
流浪星空 发表于 2019-12-27 09:25
我客户公司中勒索病毒,重装系统都不行,数据全丢

是,这个暂时没有解密工具出来
 楼主| 帛青赤 发表于 2019-12-27 11:07
本帖最后由 帛青赤 于 2019-12-27 11:21 编辑

发错板块了,应该发到病毒分析区的,有大佬知道咋弄吗??
隔壁老王Orz 发表于 2019-12-28 21:44
能帮一点是一点www.nomoreransom.org
qq8945051 发表于 2019-12-29 07:48
虽然看不太懂但还是支持下。。。。
lcxmap 发表于 2019-12-29 14:46
冒昧想问可否提供样本,想照着文章自己做一次看看

因为没有 virustotal 的帐号,刚刚去 any.run 和 hybrid analysis 上面也没有看到

感谢您
XiaoDu2017 发表于 2019-12-29 16:38
像大佬致敬。想学习,但是毫无头绪
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:36

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表