对Anatova讹诈软件举行一番深度剖析后发明,它多是新旧两代讹诈手艺的分水岭! | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

对Anatova讹诈软件举行一番深度剖析后发明,它多是新旧两代讹诈手艺的分水岭!

申博_安全工具 申博 93次浏览 未收录 0个评论

媒介

本年1月,迈克菲实验室(McAfee Labs)发明了一款进击威力远胜于 Ryuk 的讹诈软件,该讹诈软件一样平常将本身伪装成盛行的游戏或许应用顺序诳骗用户下载实行,运转后,它会主动请求管理员权限以便对用户磁盘文件举行加密,以后再讨取赎金。依据对Anatova的剖析可以或许发明该讹诈软件的开发者是一个履历实足的歹意代码编写者,至今发明的多个样本中包罗了分歧的密钥和局部分歧的函数,该讹诈软件还预留了模块化扩大的功用,因而其可以或许衍生出更多的歹意行动。以后主要在美国和欧洲局部国度发明了该讹诈软件的踪影,该讹诈软件有简朴的绕过剖析装备的功用,并依据体系言语版本决议是不是举行加密讹诈行动,运用了RSA+Salsa20的体式格局举行加密,中招后不交赎金举行文件剖析的可以或许性异常低。

须要申明的是,Anatova是在一个私有P2P网络中被发明的。在经由了开端剖析以及确保其客户已受到了珍爱以后,迈克菲实验室决议将这一发明公之于众。

从分歧角度来对Anatova举行深度剖析

如今间隔Anatova的涌现已过了快5个月了,不外对它的剖析还都停留在最深刻的程度(就像媒介里剖析的那样),本文,我们将深入剖析Anatova进击时的手艺细节。这些细节在之前都没有被发明过,也没有在别的报导中被说起过。深入剖析该讹诈软件,我们将会对它可以或许发作的几率和进击情势有个正确的掌握。

本文所剖析的详细细节也许包罗:

1.Anatova用于删除卷影副本(Volume Shadow Copy)的现实指令;

2.网络Anatova试图住手的历程的一切称号的列表;

3.Anatova制止沾染的一切文件夹、文件和扩大名;

4. Anatova怎样住手一个历程;

5.当检测到一个目标用户时,Anatova怎样从内存中删除本身的进击陈迹。

愿望这些信息能资助其他研究人员剖析他们未来可以或许碰到的这类讹诈软件和相似的歹意软件。

Anatova讹诈软件是一个64位歹意软件,现在在野外运转,现在FortiGuard实验室的研究人员很少能看到纯碎的64位讹诈软件,由于它们要顺应32位装备的请求。

没有明显被进击的病症

一旦Anatova讹诈软件最先在目标装备上实行,它就会删除“ANATOVA.TXT”文件的副本,该副本包罗带有DASH付出地点的赎金关照。每一个受沾染的文件夹都邑包罗此关照,以轻易受害者晓得怎样与幕后人联络。

图1含有赎金地点关照信息:

对Anatova讹诈软件举行一番深度剖析后发明,它多是新旧两代讹诈手艺的分水岭!

与其他讹诈软件分歧,Anatova提议进击后,没有明显的病症。其他讹诈软件在进击完成后,都邑在受害者的装备上涌现闪灼和闪亮的赎金图象,明白通知他们的装备被沾染。但关于Anatova来讲,除非你已看过ANATOVA.TXT文件,或许你注重到你的某些数据文件已加密,不然你没法肯定装备是不是被进击了。

不显现可见病症应该是Anatova对照高妙的进击战略,值得注重的是,它请求的付出赎金还请求用Dash币(达世币),而不是更罕见的门罗币(Monero)或比特币。达世币是一种基于比特币的,致力于越发匿名化;更快付出效力;以及安稳体系升级的付出类假造泉币。

剖析API

就像任何典范的歹意软件一样,Anatova试图隐蔽其API称号,以制止依然严峻依赖于字符串检测的杀毒扫描顺序。为了剖析API地点,歹意软件从加密称号数组中解密API称号,并挪用GetProcAddress API。

然后,歹意软件运用简朴的XOR指令来剖析API称号。它运用一个单字节密钥来剖析称号中的每一个字符字节,而且每一个API的单字节密钥是分歧的。

图2显现了一些API称号及其被剖析后所包罗的字符串:

对Anatova讹诈软件举行一番深度剖析后发明,它多是新旧两代讹诈手艺的分水岭!

该列表显现现在已被剖析的kernel32 API。别的,该歹意软件还剖析了CryptAcquireContextW,CryptGenRandom,CryptReleaseContext,CryptGenKey,CryptExportKey,CryptDestroyKey,CryptImportKey,GetUserNameW,CryptEncrypt,CryptBinaryToStringA和ShellExecuteW API。

Mutex(互斥锁)

mutex一样平经常使用于为一段代码加锁,以包管这段代码的原子性(atomic)操纵,即:要么不实行这段代码,要么将这段代码悉数实行终了。

在剖析这些称号的历程中,歹意软件在剖析了kernel32.dll中须要的一切API以后,建立了一个名为“6a8c9937zFIwHPZ309UZMZYVnwScPB2pR2MEx5SY7B1xgbruoO”的mutex。

(制止对一些用户举行进击)

Anatova试图制止沾染一些运用特定用户名的计算机体系,好比:

LaVirulera

tester

Tester

analyst

Analyst

lab

Lab

malware

Malware

若是婚配了与以上列表中雷同的用户名,则Anatova将住手实行。

从列表中可以或许看出,这些用户名是装备或体系运用的罕见用户名,而这些用户名经常被用于蜜罐剖析中。可见Anatova的反追踪才能是异常强的。别的,这些称号也在歹意软件内被加密了,且运用与剖析API雷同的剖析手艺。

以上所说的只是Anatova实行进击之前的反检测功用,在终究实行之前,还要经由许多步调。起首,Anatova将包罗已剖析API的内存地位消灭,并删除具有mutex称号的内存地位。接下来,它运用VirtualProtect API将.text局部的一局部内存珍爱变动成PAGE_EXECUTE_READWRITE,然后将其消灭。以后它将内存珍爱变动回PAGE_EXECUTE_READ。 Anatova经由历程仅将可实行代码的上半局部清零,从而制止消灭以后正在实行的代码。

随后,Anatova将包罗以后代码的内存珍爱变动成PAGE_EXECUTE_READWRITE。然后挪用memset函数消灭以后代码的内存地位,从而有效地将本身从内存中删除。

图3显现了歹意软件消灭API和代码局部前后的代码。左边仍包罗歹意软件代码的上半局部,而另一侧已被消灭:

对Anatova讹诈软件举行一番深度剖析后发明,它多是新旧两代讹诈手艺的分水岭!

大多数歹意软件一旦找到某个进击符号,好比用户名,只需住手本身的运转,就会住手其歹意实行。不外如许做,一样平常也会在内存中留下进击陈迹。然则Anatova愿望在它住手其歹意实行之前,消灭内存地位,以确保没有留下任何进击陈迹。

住手历程

Anatova会住手与以上列出的任何称号婚配的任何历程,纵然婚配的历程已住手,歹意软件也会不断地将住手的历程名与其他历程名举行比对。

最后,歹意软件挪用CreateToolhelp32Snapshot API来翻开一个句柄来猎取体系中历程的快照。然后挪用Process32FirstW API来猎取关于第一个历程的信息。然后它最先剖析历程称号列表,并搜检每一个历程名是不是与以后历程名婚配。若是找到婚配项,Anatova会经由历程挪用OpenProcess API翻开该历程,然后实验运用TerminateProcess API住手它(参见图3)。只管这个历程已胜利地住手,但歹意软件仍会继承对剩下的历程称号列表中的称号举行婚配检测。

歹意软件终究经由历程对其他历程的Process32NextW API举行后续挪用,来搜检体系中的一切历程。

对Anatova讹诈软件举行一番深度剖析后发明,它多是新旧两代讹诈手艺的分水岭!

上图显现了正在搜检的以后历程是“onenote.exe”,看是不是与下面列出的历程称号相婚配:

msftesql.exe

sqlagent.exe

sqlbrowser.exe

sqlwriter.exe

ORACLE.EXE

ocssd.exe

dbsnmp.exe

synctime.exe

agntsvc.exeisqlplussvc.exe

xfssvccon.exe

SQLSERVR.EXE

mydesktopservice.exe

ocautoupds.exe

agntsvc.exeagntsvc.exe

agntsvc.exeencsvc.exe

firefoxconfig.exe

tbirdconfig.exe

mydesktopqos.exe

CVE-2019-0708破绽: RDP= Really DO Patch?

CVE-2019-0708是RDP协议的安全漏洞,具有蠕虫功能,因此危害很大。微软快速发布了该漏洞的补丁。但研究人员认为恶意攻击者可能已经将该漏洞武器化,在不久的将来可能就会看到再野漏洞利用了。 受影响的操作系统有: · Windows 2003 · Windows XP · Windows 7 · Windows Server 2008 · Windows Server 2008 R2 蠕虫是可以在网络上进行传播的病毒。蠕虫可以在没有用户帮助的情况下自动在远程机器上执行。如果病毒的主要攻击向量是通过网络,那么就可以将其分类为蠕虫。 概述 RDP协议连接了客户端和终端,定义了虚拟信道之间通信的数据。Windows Server 2000使用的RDP协议版本为RDP 5.1,定义了32个静态虚拟信道(Static Virtual Channels,SVC)。SVC在会话开始时创建在会话结束后断开,而DVC(动态虚拟信道)可按需创建和断开。 如图1所示,RDP Connection Sequence连接的初始化在Security Commencement之前,因此CVE-2019-0708可以在3389端口上进行网络自传播,因此具有蠕虫的相关性质。 图1: RDP协议序列 该漏洞是由于RDP协议的GCC Conference Initialization过程中,MS_T120 SVC name被绑定为引用信道31。信道名是微软内部使用的,因此对客户端来说没有明显的合法用例

ocomm.exe

mysqld.exe

的mysqld-NT.EXE

的mysqld-opt.exe

dbeng50.exe

sqbcoreservice.exe

EXCEL.EXE

INFOPATH.EXE

MSACCESS.EXE

mspub.exe

onenote.exe

OUTLOOK.EXE

POWERPNT.EXE

steam.exe

thebat.exe

thebat64.exe

thunderbird.exe

visio.exe

WINWORD.EXE

wordpad.exe

对目标文件举行加密,从而实行讹诈

Anatova不会沾染以下目次:

Program Files

Program Files (x86)

Windows

ProgramData

Tor Browser

Local Settings

IETldCache

Boot

All Users

它还制止加密以下文件:

bootinit

desktop.ini的

的Thumbs.db

的hiberfil.sys

PAGEFILE.SYS

swapfile.sys

的autorun.inf

BOOT.INI

BOOTFONT.BIN

BOOTSECT.BAK

iconcache.db

NTDETECT.COM

NTLDR

NTUSER.DAT

ntuser.dat.lo

ANATOVA.TXT

若是文件的扩大名与以下内容之一婚配,它也不会举行加密:

ani,bat,cab,cmd,cpl,cur,diagcab,diagpkg,dll,drv,exe,hlp,icl,icns,ico, ics,idx,key,ldf,lnk,mod,mpa,msc,msp,msstyles,msu,nomedia,ocx,prf,rom,rtp,scr,shs,spl,sys,theme,themepack

若是文件经由历程了一切过滤器和搜检,则歹意软件会运用CreateFileW API翻开它。然后它将文件的内容读入内存缓冲区并加密,加密后,它运用WriteFile API将加密的字节写回文件。文件加密胜利后,Anatova会将ANATOVA.TXT的副本放入到以后目次。

每次文件加密胜利后,歹意软件都邑实验删除ANATOVA.TXT文件的副本,以确保受沾染文件夹中一直存在一个副本。

屡次挪用VirtualAlloc API

有些歹意软件除其可见的沾染符号或出如今歹意代码中的署名以外,还具有独一标识。

Anatova在某种程度上也是无独有偶的,每当它处置惩罚一个字符串、剖析或复制时,它就会运用VirtualAlloc API分派一个内存空间,然后在处置惩罚完字符串后,它会运用对VirtualFree API的挪用来开释新的内存空间。

比方,要剖析上面议论的剖析一个API那样,它会挪用VirtualAlloc API来分派新的假造内存。然后复制字符串,剖析API,以后它经由历程挪用VirtualFree API来开释内存空间。

歹意软件在将用户名与要制止的称号列表举行对照时运用雷同的手艺。它在搜检历程称号时以及对照沾染文件时再次实行此操纵。

大多数歹意软件只挪用VirtualAlloc API频频,然后,当须要处置惩罚字符串时,它只运用和重用雷同的分派内存。关于Anatova来讲,在全部歹意软件实行历程中会挪用数千个VirtualAlloc和VirtualFree API。这两个函数可以或许看起来不太相干,但很有多是一种反仿真手艺的情势,由于它们都可以或许在应用顺序中运用假造内存(VirtualAlloc VirtualFree),进而绕过某些限定内存分派的平安软件。VirtualAlloc是一个Windows API函数,该函数的功用是在挪用历程的虚地点空间,预定或许提交一局部页,简朴点的意义就是请求内存空间

删除卷影副本

我们可以或许运用卷影副本将文件或文件夹规复到其先前的状况,卷影副本,也称为快照,是存储在 Data Protection Manager (DPM) 服务器上的副本的时候点副本。要最先数据珍爱,必需先将所选数据的完全副本复制到 DPM 服务器的存储池中。以后,将按期运用对受珍爱数据的变动使副本同步。DPM 依照指定的计划为珍爱组中的每一个副本建立卷影副本。若是涌现数据丧失或破坏,你可以或许访问卷影副本以规复之前版本的文件。你可以或许规复数据,也可以或许启用终究用户规复以便终究用户可以或许自力规复他们本身的数据。

以是大多数讹诈软件为了到达讹诈的目标,都试图制止规复文件这类状况发作。以是讹诈软件的一个主要歹意行动就是删除这些卷影副本,以防备加密文件的规复。 Anatova试图经由历程运用ShellExecuteW API,一连运转以下敕令十次来删除卷影副本(见图5):

C:\Windows\system32\cmd.exe /c vssadmin delete shadows /all /quiet

一旦卷影副本被删除,则要想看到加密文件,就只能向讹诈软件的开发者付出赎金了。

对Anatova讹诈软件举行一番深度剖析后发明,它多是新旧两代讹诈手艺的分水岭!

删除一切的千丝万缕

加密一切可以或许的文件后,歹意软件将经由历程挪用另一个ShellExecuteW API从体系中删除本身运转的陈迹,运用以下敕令举行删除:

C:\Windows\system32\cmd.exe /c timeout -c 9 & del "C:\Users\username\Desktop\malware.exe" /f /q

总结

1.Anatova是一个相称有立异的讹诈软件,它会主动制止沾染那些用于剖析它们的计算机,也会制止沾染那些含有装备经常使用称号的文件和文件夹。这意味着,Anatova的反侦察才能比拟本来的歹意软件有了一个质的奔腾。

2.Anatova与其他讹诈软件的另一个明显区别是,它不会变动加密文件的扩大名。

3. Anatova在进击以后异常“低调”,它不会发出明显的旌旗灯号来提醒用户。

4. Anatova的进击历程异常郑重,只存眷它愿望住手的历程。由于,住手全部列表中的历程可以或许会引起用户的疑心。

5. Anatova会在每一步实行完后,都实时清算它的踪影并消弭任何可以或许的体系规复状况的发作。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明对Anatova讹诈软件举行一番深度剖析后发明,它多是新旧两代讹诈手艺的分水岭!
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址