疫情期间处理勒索病毒的收获
source link: https://www.freebuf.com/articles/es/226654.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
前言
在疫情期间,印度缺德黑客实施的APT攻击传的沸沸扬扬。我反手一个死亡之PING给印度。
与此同时,团队的小伙伴在月初就开始进行公益性质的勒索病毒协助。
在处理过程中,尽可能的保护未被污染的文件,已加密的文件解密起来难度相当大。
大家都明白新变种的病毒,很少有现成解密方式。
下文以某中招5ss5c勒索事件处理为例
公开勒索解密常用方法
https://github.com/jiansiting/Decryption-Tools
我们遭受的Satan,DBGer和Lucky勒索病毒以及iron勒索病毒的网络犯罪组织提出了一个新版本名为“ 5ss5c”。
该病毒类似Satan为木马下载器,它下载并利用永恒之蓝和一些poc来进行传播,勒索模块就是cpt.exe,遍历7z,bak,cer,csv,db,dbf,dmp,docx,eps,ldf,mdb,mdf,myd,myi,ora,pdf,pem,pfx,ppt,pptx,psd,rar,rtf,sql,tar, txt,vdi,vmdk,vmx,xls,xlsx,zip后缀名的文件然后加密,加密后添加后缀为.5ss5c,并提示勒索勒索一个比特币(5W多),如果在2天之内没有完成支付,则赎金翻倍。
技术求助
Satan勒索病毒变种5ss5c勒索病毒
1.某安全公司QQ求助
2.某安全公司论坛求助
3.某公众号求助
4.某渠道-解密价格比勒索价格更高(提供了某样本文件并成功解密)
渗透测试
回到开始,一个朋友说网站异常,让帮忙看一下。当时未被勒索,简单测试给定资产范围的所有端口,未拿到shell,但是在此同时发现包含泛微OA,尝试了该应用的多个漏洞并没有结果,所以只是给客户做了一个警告。
部分测试截图如下图
等到后面应急处置的过程中客户恢复备份服务器,才发现存在泛微OA E-cology远程命令执行漏洞且没有修复,被恶意利用之后,该页面被删除,所以导致一开始没有成功getshell。当然这是后话,暂且不谈。
查看受害主机
同事到现场后对入侵的主机进行排查,发现服务器上利用IPC横向移动日志,同时被入侵主机会存在以下内容。
被加密文件猴后缀变为5ss5c,并留下如何解密我的文件。
在某日志中截获到初始的勒索病毒文件
利用certutil下载恶意文件,还留下了certutil的日志记录
该文件被投放到C:\ProgramData\ poc .exe,并运行以下命令:
cd /D C:\ProgramData☆.exe –OutConfig a –TargetPort 445 –Protocol SMB –Architecture x64 –Function RunDLL –DllPayload C:\ProgramData\down64.dll –TargetIp
扔到沙箱上的运行截图
分析发现其释放了4个文件
mmkt.exe一个用于密码转储/窃取的程序 c.exe建立服务和自启动 cpt.exe勒索软件 poc.exe 一个使用Enigma VirtualBox打包一个附加的扩展器模块
该恶意程序专门做了针对于360的免杀,同时还对自身增加反编译。
主要加密文件类型如下
7z,bak,cer,csv,db,dbf,dmp,docx,eps,ldf,mdb,mdf,myd,myi,ora,pdf,pem,pfx,ppt,pptx,psd,rar,rtf,sql,tar, txt,vdi,vmdk,vmx,xls,xlsx,zip
样本脱壳
用PEID查询是否有壳。
手动拖壳:利用ESP定律,原理堆栈平衡原理。
适用范围:几乎全部的压缩壳,部分加密壳。
只要是在JMP到OEP后,理论上我们都可以使用。
ESP理解一般理解可以为:
1、在命令行下断hr esp-4(此时的ESP就是OD载入后当前显示的值) 2、hr ESP(关键标志下一行代码所指示的ESP值(单步通过))
一样用od载入要脱壳的程序,加载后看到关键字:pushad
单步步过(快捷键F8)一次
就ESP显示为红色, 鼠标左键选择ESP区域,失去被其它颜色覆盖,判断为被选定状态
鼠标右键选择:数据窗口中跟随。
判断是否选择正确:
看地址区域:是否等于ESP 后面的字符串:地址判断相等,则无错
这里的第一个字节为00
鼠标右键选择:断点-硬件访问-Byte
点击:调试 选择硬件断点
这里多次尝试后找到push,删除断点
在选择PUSH 行的情况下,右键选择用OllyDump脱壳调试进程
ida即可查看代码。
IOC
Name: down.txt
URL: http://58.221.158 [.]90:88/car/down.txt
Purpose: Downloader
MD5: 680d9c8bb70e38d3727753430c655699
SHA1: 5e72192360bbe436a3f4048717320409fb1a8009
SHA256: ddfd1d60ffea333a1565b0707a7adca601dafdd7ec29c61d622732117416545f
Compilation timestamp: 2020-01-11 19:04:24
VirusTotal report:
ddfd1d60ffea333a1565b0707a7adca601dafdd7ec29c61d622732117416545f
Name: c.dat
URL: http://58.221.158 [.]90:88/car/c.dat
Purpose: spreader
MD5: 01a9b1f9a9db526a54a64e39a605dd30
SHA1: a436e3f5a9ee5e88671823b43fa77ed871c1475b
SHA256: 9a1365c42f4aca3e9c1c5dcf38b967b73ab56e4af0b4a4380af7e2bf185478bc
Compilation timestamp: 2020-01-11 19:19:54
VirusTotal report:
9a1365c42f4aca3e9c1c5dcf38b967b73ab56e4af0b4a4380af7e2bf185478bc
Name: cpt.dat
URL: http://58.221.158 [.]90:88/car/cpt.dat
Purpose: ransomware
MD5: 853358339279b590fb1c40c3dc0cdb72
SHA1: 84825801eac21a8d6eb060ddd8a0cd902dcead25
SHA256: ca154fa6ff0d1ebc786b4ea89cefae022e05497d095c2391331f24113aa31e3c
Compilation timestamp: 2020-01-11 19:54:25
VirusTotal report:
ca154fa6ff0d1ebc786b4ea89cefae022e05497d095c2391331f24113aa31e3c
类型 特征 文件 C:\ Program Files \ Common Files \ System \ Scanlog 文件 C:\ Program Files \ Common Files \ System \ cpt.exe 文件 C:\ Program Files \ Common Files \ System \ tmp 文件 C:\ ProgramData \ 5ss5c_token 文件 C:\ ProgramData \ blue.exe 文件 C:\ ProgramData \ blue.fb 文件 C:\ ProgramData \ blue.xml 文件 C:\ ProgramData \ down64.dll 文件 C:\ ProgramData \ mmkt.exe 文件 C:\ ProgramData \ poc.exe 文件 C:\ ProgramData \ star.exe 文件 C:\ ProgramData \ star.fb 文件 C:\ ProgramData \ star.xml 注册表项 SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ 5ss5cStart 命令 C:\ Windows \ system32 \ cmd.exe / c cd /DC:\ProgramData&blue.exe –TargetIp 命令 star.exe –OutConfig a –TargetPort 445 –协议SMB –架构x64 –功能RunDLL –DllPayload C:\ ProgramData \ down64.dll –TargetIp 关联对象 SSSS_Scan 关联对象 5ss5c_CRYPT 电子邮件 [email protected] 网址 http://58.221.158.90:88/car/down.txt 网址 http://58.221.158.90:88/car/c.dat 网址 http://58.221.158.90:88/car/cpt.dat 恶意IP 58.221.158.90 恶意IP 61.186.243.2 Hash 82ed3f4eb05b76691b408512767198274e6e308e8d5230ada90611ca18af046d hash dc3103fb21f674386b01e1122bb910a09f2226b1331dd549cbc346d8e70d02df hash 9a1365c42f4aca3e9c1c5dcf38b967b73ab56e4af0b4a4380af7e2bf185478bc hash af041f6ac90b07927696bc61e08a31a210e265a997a62cf732f7d3f5c102f1da hash ca154fa6ff0d1ebc786b4ea89cefae022e05497d095c2391331f24113aa31e3c hash e685aafc201f851a47bc926dd39fb12f4bc920f310200869ce0716c41ad92198 hash e5bb194413170d111685da51***d2fd60483fc7bebc70b1c6cb909ef6c6dd4a9 hash ddfd1d60ffea333a1565b0707a7adca601dafdd7ec29c61d622732117416545f hash ef90dcc647e50c2378122f92fba4261f6eaa24b029cfa444289198fb0203e067 hash 47fa9c298b904d66a5eb92c67dee602198259d366ef4f078a8365beefb9fdc95 hash 68e644aac112fe3bbf4e87858f58c75426fd5fda93f194482af1721bc47f1cd7 hash ea7caa08e115dbb438e29da46b47f54c62c29697617bae44464a9b63d9bddf18 hash 23205bf9c36bbd56189e3f430c25db2a27eb089906b173601cd42c66a25829a7 hash a46481cdb4a9fc1dbdcccc49c3deadbf18c7b9f274a0eb5fdf73766a03f19a7f hash cf33a92a05ba3c807447a5f6b7e45577ed53174699241da360876d4f4a2eb2de hash 8e348105cde49cad8bfbe0acca0da67990289e108799c88805023888ead74300 hash ad3c0b153d5b5ba4627daa89cd2adbb18ee5831cb67feeb7394c51ebc1660f41 hash de3c5fc97aecb93890b5432b389e047f460b271963fe965a3f26cb1b978f0eac hash bd291522025110f58a4493fad0395baec913bd46b1d3fa98f1f309ce3d02f179 hash 75d543aaf9583b78de645f13e0efd8f826ff7bcf17ea680ca97a3cf9d552fc1f hash 50e771386ae200b46a26947665fc72a2a330add348a3c75529f6883df48c2e39 hash 0aa4b54e9671cb83433550f1d7950d3453ba8b52d8546c9f3faf115fa9baad7e hash 5d12b1fc6627b0a0df0680d6556e782b8ae9270135457a81fe4edbbccc0f3552参考:
https://www.freebuf.com/articles/network/178171.html
https://securityaffairs.co/wordpress/96452/malware/5ss5c-ransomware.html
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK