对勒索病毒的逆向分析
source link: https://www.secpulse.com/archives/161828.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
对勒索病毒的逆向分析
样本分析准备
基础知识:
1.需要具备一定的开发能力
2.熟悉汇编语言
3.PE文件结构的掌握
工具使用:
熟练掌握以下常用工具的功能,基于以下工具展开详细分析,可以对病毒样本进行一个详细流程和功能分析,从而分析还原出关键的病毒功能,及研究对应的对抗方案。
样本分析流程
对一个病毒样本或者软件详细分析,一般可以通过五个步骤进行分析样本功能:样本基本属性、样本结构、样本静态分析、样本功能行为监控、样本动态分析。基于以上的五个步骤基本上可以分析出详细的样本功能实现。
样本基本信息
通过PEID、ExeInfoPE工具分析出样本的几个基本属性。
通过Hasher工具可以分析出样本的MD5、sha1、CRC32的属性值。
PEID、ExeInfoPE两个工具原理:
通过解析PE文件结构解析出样本的区段信息、通过匹配征码方式匹配出样本是否加壳、加什么壳,样本开发语言和开发工具。
样本功能分析
病毒样本功能可以从几个维度分析:自启动(服务器,注册表)、释放文件、网络通信、加密解密。
主要通过静态IDA分析和动态ollydbg分析相结合,通过IDA分析出样本中的流程结构(也重点关注下导入表信息,字符串信息),然后再针对每个函数进行分析,函数中的参数传递和返回值信息通过ollydbg工具附加下断点进行动态调试分析。
以下流程图是整个病毒样本的功能流程,主要就是进行系统服务操作,利用微软的SMB漏洞进行445端口漏洞的尝试、释放真正的勒索病毒样本。
样本在IDA工具中的main函数的流程结构
样本入口函数的关键功能函数实现的解析
恶意代码功能解析
开始对445端口漏洞尝试功能解析
进行内网445端口漏洞尝试功能实现解析
进行外网445端口漏洞尝试功能实现解析
漏洞尝试的效果展示
释放真正的勒索病毒文件
通过从应用程序的资源部分进行释放出病毒样本exe和dll模块,并将样本的exe和dll模块释放到C盘的windows目录下,以伪装成为系统程序。
释放样本文件效果展示
通过procmon工具,并进行针对病毒样本进程进行监控,可以实际监控到样本释放文件的操作。
释放勒索病毒功能梳理
释放出来的样本在IDA中展示main函数的流程结构(直接用拖入方式即可)
样本main函数流程中的关键函数进行解析
样本中将比特币账号采用硬编码方式直接写在代码中
采用微软的加解密算法,通过调用系统CryptDecrypt和CryptDecrypt函数用于进行加解密ZIP文件。
动态释放模块进行判断释放出来的文件是否是标准PE文件(判断PE文件的DOS头部分“MZ”,在进行判断NT头的PE签名信息“PE”)
勒索病毒对以下所有后缀文件进行加密,这些后缀文件基本覆盖所有类型的文件。
(仅分享样本大概功能流程,还有如核心的加解密算法相关的功能没有进行分析)
对勒索病毒的一点思考
1.预防中病毒通用方案
-
在系统上安装病毒查杀软件并及时更新病毒特征库并定时查杀(建议安装火绒)。
-
从互联网上下载的文件、程序进行查看数字签名有效性,并手动扫描查询文件。
-
使用移动存储介质时,进行查杀病毒后再进行打开。
-
不随意打开、安装陌生或来路不明的软件。
2.分析勒索病毒
-
断网的虚拟机环境
-
PE文件解析工具进行静态PE文件分析。
-
IDA静态流程和ollydbg动态流程分析。
3.勒索病毒预防解决方案
-
主动关闭系统中135、137、139、445端口。
-
创建一个互斥体名称为Global\MsWinZonesCacheCounterMutexA,让勒索病毒程序 启动不起来(仅功能的对抗思路)。
-
及时更新系统补丁程序。
-
定期备份重要的数据在不同位置(网盘、移动硬盘)。
本文作者:知微攻防实验室
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/161828.html
Recommend
-
6
逆向浅析常见病毒的注入方式系列之一-----WriteProcessMemory 胡一米
-
79
程序员 - @wz74666291 - 所谓“溺者常善于水”,作为一个程序员,电脑不喜欢安装 360,但是最近却被勒索软件侵入了,电脑所有资料都被加密了。具体过程如下:实验室电脑系统是 win101. 10 月 24 晚上 10 点半
-
48
一、样本简介 Blackout勒索病毒家族是一款使用.NET语言编写的勒索病毒,它会将原文件名加密为BASE64格式的加密后的文件名,首次发现是在2017年7月份左右,样本使用了代码混淆的方式防止安全分析人员对样本进行静态分析,此次发...
-
55
12月1日,火绒客服团队、官方微博和微信公众号接到若干用户求助,遭遇勒索病毒攻击。火绒安全团队分析确认,该病毒(Ransom/Bcrypt)为新型勒索病毒, 入侵电脑运行后,会加密用户文件,但不收取比特币,而是要求受害者...
-
84
记者温婧不少用户日前遇到了新型勒索病毒攻击,电脑内文件被加密无法打开,同时收到一个二维码,要求扫码支付110元赎金后获得密钥。对此,腾讯表示已对所涉勒索病毒作者账户进行封禁、收款二维码予以紧急冻结。微信用户财产和账户安全不受任何威胁。火绒安
-
50
新京报记者薛星星编辑苏琦一款要求使用微信支付赎金的勒索病毒在近日大规模蔓延开来,相关消息称,截至12月3日,已有近2万人感染该病毒。该勒索病毒入侵用户电脑后会对用户文件进行加密,用户支付赎金才可解密。此外,病毒还会窃取记录用户的键盘行为,窃
-
30
-
45
本文来自微信公众号: 浅黑科技(ID:qianheikeji)
-
23
文/史中来源:浅黑科技(ID:qianheikeji)“微信勒索病毒”全纪实:我只是病毒界的杨超越你要相信,这世界上总有那么一种人,自己没想火,却一夜之间火得妈都不认识。比如参加选秀就是为了2000块钱+盒饭的杨超越。病毒的世界亦是如此。前两天,有一个病毒用一种混不...
-
9
勒索病毒疫情分析 Kaseya遭REvil供应链攻击,100万个系统被加密,购恢复文件需支付7000万美元的赎金 REvil勒索团伙在暗网数据泄露网站发布了一则声明:“ 周五(2021.07.02)我们对MSP提供商发起了攻击,超过100万个系统被感染。...
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK