欢迎进入UG环球官网(环球UG)!

usdt交易平台(www.caibao.it):Ryuk勒索病毒新变种剖析

admin4周前22

USDT第三方支付平台

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

一、前言

2020年由于新冠病毒(COVID-19)的连续流传导致远程办公的需求激增,同时网络攻击事宜也随着激增,其中勒索病毒最为显著。整个2020年勒索病毒呈发作状态,攻击规模以及勒索赎金都有了很大的增幅。其中被勒索赎金最高的为富士康勒索事宜。2020年12月富士康位于墨西哥工厂的服务器遭到勒索病毒攻击,攻击者要求富士康在限期21天内支付1804.0955枚比特币,约合2.3亿元人民币。

现在最为盛行的勒索病毒家族为Maze、REvil、Sodinokibi 、NetWalker、Ryuk等。随着攻防的演进,2020年勒索病毒也增加了新的特点。好比,勒索分成了两阶段勒索。先要求受害者支付赎金换取密钥以解密文件,然后要求受害者支付另一笔赎金来保证秘密信息不被公然。同时,勒索病毒的操纵者们从性价比的角度出发,改变计谋,攻击目的从广撒网改到精准投放,袭击要害的高价值目的,以此换取高额赎金。另有就是从单纯勒索行为到与僵尸网络,挖矿等相互连系。

Ryuk勒索病毒最早在2018年由外洋平安公司披露出来,其主要特点是通过垃圾邮件以及破绽行使工具包举行流传。阿里云平安中央最近捕获到一个ryuk新型变种样本,我们对其横向流传手艺举行了详细的剖析,以此展现勒索病毒常见的手艺手段。通过剖析人人会发现,勒索病毒会想尽一切办法举行流传,扩大战果,造成最大的损坏。最后我们会给出提防建议。

二、详细剖析

1. 反调试和脱壳

样本编译时间为2021.1.22,VT上首次泛起的时间为2021.2.2,以是样本照样很新的。第一件事当然是IDA里做静态剖析。剖析发现样本使用了独占的加壳程序,这会给静态剖析带来贫苦。以是我们实验让它自己运行到脱壳解密的状态,然后我们再做进一步的剖析。如下图,样本对使用的资源,好比字符串是有加密的。

调试器里运行的时刻,发现样本还具有反调试机制。如下:

这里是一个DebugPort的查询操作,指针地址给的1,这当然会触发异常。另有几个类似的地方需要处置掉。


解决了反调试问题后,样本的代码会对自身举行脱壳解密,随后我们把内存转储出来,再修复一下IAT,这样再剖析代码就会清晰许多了。

2. fileless加密勒索方式

在随后的剖析中我们发现一个有意思的地方,Ryuk勒索病毒在熏染远程机械的时刻,并不是将可执行文件传输已往,然后拉起再加密。而是通过SMB协议,远程熏染加密了文件。这样做的利益是,在被攻击机械上,读写文件的上下文都是系统历程。这对于防御引擎来说,将很难决议是否是恶意的勒索行为。

攻击者使用SMB协议举行远程登录和文件接见,需要先具备登录权限。在许多企业局域网环境下,服务器的登录口令都是一样的,这种情况下,攻击者通过mimikatz和wce等方式可以拿到账户的登录凭证信息,以此再确立smb会话就很容易了。此处不展开讨论。

远程熏染的历程剖析如下:

我们在测试环境有两台同样用户名密码的测试机:测试机1(192.168.0.28),测试机2(192.168.0.31),在测试机1运行勒索样本,在测试机2抓包剖析。


在测试机1运行样本后,测试机2的诱饵文件显示已被加密,并写入勒索通知文件。

通过在测试机2抓包发现,测试机1通过SMB远程登录到测试机2,然后远程对测试机2的诱饵文件举行了加密。

样本在拿到内陆凭证的条件下,通过SMB协议登录局域网内同密码的机械,然后通过SMB加密远程机械内的文件实现勒索的目的。

,

Usdt第三方支付平台

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

通过SMB协议登录的条件是有明文密码或者NTLM hash,明文密码通过爆破可以拿到,难题度较高,但密码NTLM hash对照容易获得,现在公然的工具:mimikatz、wce(Windows Credentials Editor)都能拿到NTLM hash,以是病毒也能用同样都方式获得NTLM hash。

样本先是毗邻445端口,然后通过SMB协议使用NTLM认证登录远程机械。

Response包显示登录乐成。同时远程机械上的日志也记录了登录乐成的历程。(192.168.0.28为攻击者IP)此处可见登录乐成后去遍历磁盘分区。此处可见远程加密重命名诱饵文件。


以上历程通过SMB协议在不投放病毒的情况下,实现了对目的机的文件加密勒索。对于防守方,这给检测防御带来了一定的难题。

3. 持久化和蠕虫化

此处可见勒索病毒通过SMB拷贝了病毒自身过来,放到了 C:\User\Public\目录下。

流传病毒后,后面的流程自然是确立启动项和历程拉起。通过PronMon监控发现,Ryuk这个勒索病毒是通过schtasks给远端的受害者机械确立了一个计划任务。计划任务确立后,马上发送了Run的下令来举行拉起。通过这个历程实现了病毒自身的流传和传导,勒索病毒实现了持久化和蠕虫化。


IDA里找到建立计划任务这部门的逻辑对应的代码如下。


总结下来,流传的历程是这样的:


总结:

Ryuk这款勒索样本,有加壳加密,有内陆勒索,也实现了横向流传和远程勒索,手艺相对周全。另外一个有意思的地方,我们发现这个勒索病毒会通过打印机打印自己的勒索声明,可以说是很嚣张了。

Ryuk这个勒索病毒还在连续演进,防守方需要一直关注样本演化的趋势,并提出新的防御,检测和修复方案。

三、防护建议

1、除非明确需要,Windows服务器强烈建议封禁445端口。

2、局域网内机械不要使用弱口令,也不要使用统一的口令。

3、操作系统要实时安装补丁,平安软件也要保持更新。

4、重要文件定期备份,防患于未然。

上一篇 下一篇

猜你喜欢

网友评论

随机文章
热门文章
热评文章
热门标签