LockerGoga讹诈软件家属剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

LockerGoga讹诈软件家属剖析

申博_安全防护 申博 98次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

本文引见McAfee ATR团队平安研究人员对多个LockerGoga分歧样本的剖析,形貌讹诈软件事情的道理和怎样应对。

研究人员发明讹诈软件家属LockerGoga到场了新的特性来加密受害者文件,并请求受害者付出赎金才能够解密。

手艺剖析

LockerGoga是一款非常迥殊的讹诈软件,研究人员剖析发明与其他讹诈软件家属比拟,它有一些奇特的函数和功用。

研究人员剖析LockerGoga分歧样本发明,LockerGoga与其他讹诈软件家属的分歧包罗发生多个分歧的历程来加快体系中的文件加密历程:

LockerGoga讹诈软件家属剖析

与其他歹意软件相似,LockerGoga运用了体系中一切可用的CPU资本,剖析机械中的CPU运用以下所示:

LockerGoga讹诈软件家属剖析

大多数LockerGoga样本都以雷同的体式格局事情,但研究人员也发明歹意样本在开辟生命周期内会增添和溢出特定范例的功用。

起首,讹诈软件须要以特权账户运转。

LockerGoga以主从(master/slave)设置装备摆设事情。歹意软件经由过程在%TEMP%文件夹装置本身的副本开启终端沾染形式。

LockerGoga讹诈软件家属剖析

复制完成后,会用-m参数最先一个新的历程。

Master历程以-m参数运转,卖力建立要加密的文件列表和建立slave。

Slave历程会以分歧的参数来实行。每一个slave历程只加密很少一部分文件,以防被终端平安产品发明。要加密的文件列表是经由过程IPC从master历程处猎取的。通讯历程是运用名为SM-<name of binary>的映照section经由过程IPC完成的。

LockerGoga运用的IPC手艺有:

· Master历程 (以<LockerGogaBinary> -m运转)在体系上为IPC建立一个section

· Section名为SM-tgytutrc

· master 历程将要加密的文件途径复制到section “SM-tgytutrc”

· slave历程用该section来猎取文件途径并加密目标文件

Master历程的沙箱复制以下所示:

· 建立section并定名

· 在终端上建立slave历程来加密目标文件

LockerGoga讹诈软件家属剖析

Slave历程(加密历程)的沙箱复制以下所示:

· 猎取master历程建立的section的接见

· 依据section中的文件途径找到对应的文件并加密

LockerGoga讹诈软件家属剖析

讹诈软件会在终端上建立多个slave历程来加密文件。研究人员这是为了加快加密的历程,但研究人员以为加快加密的历程能够经由过程多线程要领完成而并非要要多历程要领。

研究人员预测能够的缘由有:

· 削减进击陈迹:若是每一个加密历程都只加密终端上的一部分文件,那末全部进击运动在终端上留下的陈迹就会比较少,而且很难将多个加密历程相干联到同一个要挟中。

· 沙箱绕过。一些基于沙箱的检测体系会监控写入体系的文件的阈值,并将其与相干的文件扩大联系关系在一起。好比,一个历程读取沙箱中的200个文件,但只建立同一个特定的扩大,就会被以为是非常行动。LockerGoga能够也是为了绕过如许的检测手艺。

· 基于文件I/O的检测绕过。多历程的要领能够确保每一个加密历程的文件 I/O的数目在一个特定的范围内,如许就能够绕过基于文件I/O的检测手艺。

· 可靠性。纵然加密历程被终端用户中断,master历程仍然在运转,新的slave历程会继承加密文件的历程。若是讹诈软件历程不运用多历程要领,历程中断就会致使全部加密历程的完毕。

Username Administrator:

LockerGoga讹诈软件家属剖析

Username Tinba:

LockerGoga讹诈软件家属剖析

歹意软件作者运用一个日记函数,启用后能够在样本实行中运用参数-l来生存一切效果到log.txt文件中:

LockerGoga讹诈软件家属剖析

在实行历程当中,研究人员启用了log函数,看到了讹诈软件加密体系的全部历程,包罗高CPU运用率和翻开讹诈新。下图是受沾染体系的界面:

LockerGoga讹诈软件家属剖析

这看起来更像是开辟者运用的调试函数:

LockerGoga讹诈软件家属剖析

在log函数的资助下,研究人员也越发相识讹诈软件的事情道理,并建立了LockerGoga加密体系的递次:

1.在C盘上建立log文件

2.文件夹和文件罗列

3.举行文件加密和在桌面文件夹建立讹诈信

CVE-2019-0726:Win10 DHCP客户端RCE破绽

2019年1月,微软发布补丁修复了Windows系统中DHCP客户端的一个漏洞。攻击者可以发送伪造的DHCP响应来在受影响的系统上获取代码。引发该漏洞的根本原因在于可能导致DHCP客户端服务分配长度为0的堆缓存的恶意Domain Search选项。因为该缓存的长度为0,所以写入该缓冲区就会导致越界。 漏洞分析 Trend Micro研究人员Saran Neti发现了该漏洞的一个新变种。在新变种中,恶意Domain Search选项是以0长度的域名长度开始的,编码为\x00,表明长度为0,恶意Domain Search选项示例如,\x00\x07example\x03com\x00\x00。编码了2个域名字符串,第一个

在举行文件加密前,歹意软件会在垃圾箱中起首搜刮文件。研究人员尚不清晰这一步调的目标,但讹诈软件也能够会加密用户正本都不须要的文件:

LockerGoga讹诈软件家属剖析

LockerGoga会罗列体系中的一切文件夹和文件最先加密历程。这个罗列历程是并行的,以是并不会消费太多时候。

罗列完成后,讹诈软件会在受害者建立讹诈信:

LockerGoga讹诈软件家属剖析

讹诈信也是与加密文件并行建立的,而且硬编码在样本中:

LockerGoga讹诈软件家属剖析

与其他讹诈软件相似,LockerGoga会建立讹诈信文件来请求用户付出赎金以规复加密的文件。

讹诈信的内容示例以下:

LockerGoga讹诈软件家属剖析

LockerGoga讹诈软件家属剖析

与建立讹诈信息并行,LockerGoga会将加密的文件加上.locked扩大。该扩大也被其他讹诈软件普遍运用:

LockerGoga讹诈软件家属剖析

LockerGoga将代码嵌入文件扩大中,示例以下:

LockerGoga讹诈软件家属剖析

样本也设置装备摆设了加密历程要跳过的文件夹和地位以防损坏操作体系的运转。讹诈软件加密的一切文件都有一个FileMarker:

LockerGoga讹诈软件家属剖析

FileMarker注解讹诈软件的版本应该是最新的1440.

研究人员在剖析历程当中还发明了以下版本:

· 1200

· 1510

· 1440

· 1320

基于二进制编译的时候和提取的版本,研究人员以为进击者为分歧的目标或运动建立了分歧的LockerGoga版本:

LockerGoga讹诈软件家属剖析

加密完成后,LockerGoga会实行cipher.exe来移除余暇地位以防文件规复。当文件都被删除后,有时候还会残留在硬盘的余暇地区,理论上是能够规复的。

LockerGoga讹诈软件家属剖析

数字署名的样本:

研究人员剖析发明一些LockerGoga样本的署名是正当的。运用的数字署名有:

· MIKL LIMITED

· ALISA LTD

· KITTY’S LTD

运用正当的数字署名能够资助进击者绕过一些体系中的平安珍爱。

作为沾染历程的一部分, LockerGoga会在体系中船舰以下花样的MUTEX:

MX-[a-z]\w+

研究人员发明的mutex有:

MX-imtvknqq
MX-tgytutrc
MX-zzbdrimp

其他字符串

研究人员在剖析历程当中还从LockerGoga样本中提掏出一些其他的字符串,包罗:

LockerGoga
crypto-locker
goga

歹意软件开辟者能够遗忘从样本中移除这些字符串了,研究人员能够运用这些字符串来辨认歹意软件家属和开辟历程当中运用的框架。

流传要领

歹意软件是经由过程长途文件拷贝在本地网络上流传的。运用简朴拷贝就能够复制.batch文件到长途机械的TEMP目次:

copy xax.bat \\123.123.123.123\c$\windows\temp

歹意软件会复制本身和东西PSEXEC.EXE到雷同的地位。一切文件都复制后,歹意软件会运用一下名来运转.bat文件:

start psexec.exe \\123.123.123.123 -u domain\user -p “pass” -d -h -r mstdc -s accepteula -nobanner c:\windows\temp\xax.bat

这些.bat文件中每一个都含有要在长途机械上实行的歹意软件的敕令行。运用的敕令以下:

start wmic /node:”123.123.123.123″ /user:”domain\user” /password:”pass” process call create “cmd /c c:\windows\temp\kill.bat”

Batch文件还会实验kill到相干的杀毒软件或禁用平安东西。在剧本的末了,长途机械上的歹意软件拷贝会从c:\windows\temp\taskhost.exe实行。

因为batch文件的存在,和歹意软件没有直接援用,研究人员置信流传机制是进击者手动或从未知目次中实行的。剧本中硬编码的途径、用户名和暗码都注解进击者对该情况是熟习的。

下面是歹意软件禁用的历程和效劳列表:

研究人员在LockerGoga实行的受沾染的体系中发明的batch文件会住手与体系症结效劳和平安软件相干的效劳和历程:

LockerGoga讹诈软件家属剖析

总结

研究人员在剖析历程当中发明了LockerGoga的很多从未涌现的新特性,好比并行加密体系中的文件、运用log文件举行调试等等。研究人员没有发明流传LockerGoga的相干要领,因而研究人员以为进击者多是在猎取体系接见权限后举行流传的。停止现在,一切的样本都没有到场庞杂的防珍爱和反剖析要领。而且LockerGoga还会加密一部分正当的DLL,损坏体系中特定运用的功用,还会再加密历程当中加密本身,致使没法举行运转:

LockerGoga讹诈软件家属剖析


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明LockerGoga讹诈软件家属剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址