【預警】Sodinokibi勒索病毒最新變種,竟通過混淆JavaScript代碼傳播
責編:gltian |2019-08-27 10:56:09近日,亞信安全截獲利用混淆的JS代碼傳播的Sodinokibi勒索病毒變種文件,其通過垃圾郵件附件傳播。由于附件是混淆的JS腳本文件,其可以輕松逃避殺毒軟件的檢測,一旦用戶點擊附件,計算機中的文件將會被加密。亞信安全將其命名為TROJ_FR.620727BA。
Sodinokibi勒索病毒首次出現在今年4月份,早期版本使用Web服務相關漏洞傳播,后來發現該勒索病毒通過垃圾郵件附件傳播,亞信安全曾經多次截獲此類垃圾郵件,其附件是偽裝的Word文檔,實際上是PE格式的可執行文件,其附件文件名稱通常為:關於你案件的文件.doc.exe,聯繫方式.doc.exe,來自最高法院的文件\錶殼材料.doc.exe,稅務局的文件\樣品填充.doc.exe等,這些帶有誘惑性的文件名,極易誤導用戶點擊。
攻擊流程解析
Sodinokibi勒索病毒最新變種詳細分析
原始樣本是一個混淆過的JS腳本,通過對數組內容的讀取獲取混淆后的具體代碼,內容如下:
通過動態調試,獲取到解混淆后正常的JS代碼,該腳本主要是利用PowerShell進一步去除混淆:
通過以上代碼,安全專家得知變量vhtsxspmssj是一個混淆的PowerShell腳本。去除混淆(將其中的感嘆號去除)后它將會被保存到jurhtcbvj.tmp中:
去除混淆后,通過PowerShell執行Base64加密的數據:
安全專家將其中加密的數據進行Base64解密,如下圖所示,其仍然是通過將數據Base64加密,然后利用PowerShell進行解密后執行,主要是執行install1函數:
安全專家對其中加密的數據進行解密,本次解密主要是利用PowerShell腳本來進行,將運行解密后的數據輸出到文件中,以便安全專家進一步分析。安全專家修改原始的腳本,內容如下:
運行腳本后,安全專家發現本次加密數據其實的是一個PE文件,通過查看文件信息,此文件是一個.NET模塊。安全專家將此命名為dump_1.dll文件:
dump_1.dll文件分析(.NET模塊)
安全專家對此.NET文件進行逆向分析,主要是查找原始腳本中執行的install1()函數,該函數的主要功能是將主要數據Base64加密,然后使用NET中的相關解密函數解密后加載到內存中執行:
安全專家將base64加密的數據手動進行base64解密,發現它是一個PE文件,查看文件信息,是使用Borland Delphi編寫的DLL文件,安全專家將此命名為dump_2.dll文件:
dump_2.dll文件分析
安全專家對相關的DLL(dump_2.dll)文件進行逆向分析,通過查看導入函數,安全專家發現了有對資源操作的API,可能是該文件的資源截取存在可疑數據:
安全專家通過查看dump_2.dll文件的資源數據,發現是一個被加密的數據,資源段名稱為HELP,通過查看反匯編相關代碼,該加密數據用7B異或,即可獲取解密后的相關數據:
安全專家可以選擇動態調試解密,在知道如何解密的情況下,也可以使用二進制工具手動進行異或解密。解密后,安全專家發現又是一個PE文件,安全專家命名為dump_3.dll,繼續對此文件進行分析:
dump_3.dll文件分析
安全專家查看該文件的信息,發現其信息與dump_2.dll基本類似,查看反匯編代碼,同樣是使用了資源截取存放payload。安全專家將此payload命令為dump_4.dll文件:
它還會檢查AhnLab相關服務和文件是否存在,AhnLab(安博士)是韓國的一家殺毒軟件:
通過進一步查看其反匯編代碼,加載payload的方式是使用Process Hollowing技術。如果找到AhnLab勒索軟件的服務或者文件,它將會通過Process Hollowing將此payload注入到該安全產品autoup.exe進程中。如果沒有安裝AhnLab勒索軟件,它將會通過Process Hollowing將此payload注入到當前進程(PowerShell進程實例):
dump_4.dll文件分析(真正的勒索軟件主體)
安全專家查看dump_3.dll資源區域,存在加密的數據,使用同樣的方式7B進行異或,得到勒索軟件主體模塊Payload:
安全專家查看文件信息,發現區段中有一個異常的節,通過反匯編代碼可以看到,此節內的數據是加密的,需要解密才可以知道其具體內容(這與以往的Sodinokibi勒索病毒是一樣的,都有一個特殊的節存放著加密的配置文件信息,可能這個節的名字不一樣):
安全專家通過反匯編和動態調試,該區段果然與以往的Sodinokibi勒索病毒一樣,存放著配置信息,配置信息包括白名單目錄、文件擴展名以及域名信息等:
白名單目錄:
隨機域名列表信息:
刪除系統卷影,讓文件恢復變得更加困難:
加密后的桌面壁紙:
加密后文件的擴展名為.vx525c61
加密勒索通知信息:
亞信安全教你如何防范
- 不要點擊來源不明的郵件以及附件;
- 不要點擊來源不明的郵件中包含的鏈接;
- 采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼;
- 打開系統自動更新,并檢測更新進行安裝;
- 盡量關閉不必要的文件共享;
- 請注意備份重要文檔。備份的最佳做法是采取3-2-1規則,即至少做三個副本,用兩種不同格式保存,并將副本放在異地存儲。
亞信安全產品解決方案
- 亞信安全病毒碼版本309.60,云病毒碼版本15.309.71,全球碼版本15.311.00已經可以檢測,請用戶及時升級病毒碼版本。
IOCs
3e974b7347d347ae31c1b11c05a667e2
##
關于亞信安全
亞信安全是中國網絡安全行業領跑者,以安全數字世界為愿景,旨在護航產業互聯網。亞信安全是云安全、身份安全、終端安全、態勢感知、高級威脅治理、威脅情報技術領導者,同時是5G、云計算、物聯網、大數據、工控、移動六大安全場景引領者。在國內擁有2個獨立研發中心,2,000人安全專業團隊。欲了解更多,請訪問: http://www.asiainfo-sec.com
更多媒體垂詢,敬請聯絡:
| 亞信安全 | 謀信傳媒 |
| 劉婷婷 | 雷遠方 |
| 電話:010- 58256889電子郵件: liutt5@aisainfo-sec.com | 電話:010-67588241電子郵件:leiyuanfang@ctocio.com |
上一篇:暢想IT,暢享未來