师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

申博_新闻事件 申博 77次浏览 已收录 0个评论

2019年4月,Cybereason Nocturnus团队碰到了一种名为Sodinokibi(别名Sodin、REvil)的新型讹诈软件。Sobinokibi具有很强的隐蔽性,采用了多种步伐来防备检测。

Sodinokibi的作者疑似与另一讹诈软件的作者——GandCrab有关。GandCrab是一款于近退役的讹诈软件,因为其幕后团队称本身“已赚到了充足多的钱”。在过去的讹诈软件事宜中,环球有近40%的感染是由GandCrab形成的。假如这类关联是正确的,那末Sodinokibi可能有朝GandCrab为目的生长的潜质。

讹诈软件对很多组织机构来讲仍然是一个庞大的贸易隐患,像Sodinokibi和GandCrab如许的高躲避性讹诈软件每一年都会对它们形成高额的损失。

在本文中,我们将对Sodinokibi讹诈软件举行深切的手艺剖析,重点关注它的通报要领以及为防止AV检测而采用的防备机制。

要点

· 大多Sodinokibi初期突击事宜都发生在亚洲,近来进击有转移到欧洲的趋向。

· Sodinokibi初期应用的是中小企业效劳器或是别的一些基础设施中的破绽,跟着时候的推移,我们还看到了别的的感染序言,比方收集垂纶和破绽应用工具包。

· 观察历程当中我们还发明:Sodinokibi会在受感染的机械中搜刮由韩国平安供应商“Ahnlab”制造的AV产物,并注入其payload。

· 在这项研讨中,有证据表明Sodinokibi讹诈软件是由GandCrab团队开辟的。

引见

Sodinokibi于本年4月尾初次发明,当时是经由历程应用Oracle WebLogic破绽(CVE-2019-2725)装置在目的盘算机上的,随后才最先经由历程破绽应用工具包和垃圾邮件举行流传。

Sodinokibi能阻挠用户对目的机械数据的接见,使公司机构完整损失营业才。到目前为止,它还没有自我流传的才,但一旦完成,其影响可能会扩展到全部收集。

这个歹意软件也显现了讹诈软件的苏醒迹象,虽然有报告申明,当前讹诈软件的进击事宜正在削减,但我们看到这个局势照样不容忽视的,而且在本年第二季度,讹诈软件均匀赎金的额度已翻了一番。公司机构都须要壮大的平安产物,在面临此类进击时才慢条斯理。

要挟剖析

Sodinokibi幕后黑手运用的初始感染序言是带有歹意链接的垂纶邮件。点击后,会下载一个看似正当的zip文件。VirusTotal对该zip文件的检测率异常低,表明大多数平安厂商都没有将其初始payload标记。因为Sodinokibi的初始payload未被检测到,因此能绕过大多组织机构的第一层防备。 师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图1.VirusTotal上,Sodinokibi对该zip文件检测率

该zip文件内里是一个殽杂的JavaScript文件,当用户双击后会被WScript实行。

 师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图2.WScript实行歹意JavaScript 师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图3.Cybereason解决方案中所示的第一阶段流程

此JavaScript文件经由历程重新排列内部名为eiculwo的列表中的字符,来消弭本身的殽杂。

师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图4.殽杂的JavaScript文件的前半部份

位于JavaScript文件中的变量vhtsxspmssj是一个殽杂的PowerShell剧本,进击者会在稍后的进击中对其去殽杂。

师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图5.去殽杂的JavaScript文件

JavaScript文件对变量vhtsxspmssj举行反殽杂处置惩罚,并将其保存在名为jurhtcbvj.tmp的目次中。

接着剧本会下载二级payload,不是将其嵌入到初始剧本中。

我们碰到的数个歹意样本都是经由历程此剧本来下载二级payload,而不是将其嵌入到初始剧本中。

文件jurhtcbvj.tmp是一个添补了多个感叹号的PowerShell剧本,JavaScript文件经由历程启动PowerShell敕令来删除个中的感叹号并实行此剧本。

师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图6.殽杂的PowerShell剧本jurhtcbvj.tmp

 师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图7.用于替代感叹号并实行PowerShell剧本的敕令

接着jurhtcbvj.tmp解码另一个Base64编码的剧本并实行它。解码后的剧本包含一个.NET模块(也运用Base64编码),再将模块解码并加载到PowerShell历程内存中,一旦加载后,将实行Install1函数。 师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图8.模块test.dll加载到内存中

模块test.dll只是此托付历程的众多层之一。函数Install1里还包含了另一个用Base64编码的模块,Install1会解码此模块并将其加载到内存中。 师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图9.Base64编码模块Install1

 师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图10.将模块Install1加载到内存中

假如歹意软件没法取得充足高的权限,它将尝试绕过用户接见掌握。

加载器第一阶段:UAC绕过

加载到内存中的模块用作歹意软件下一阶段的加载顺序。该模块运用CheckTokenMembership来确认历程的权限,假如历程的权限不足,则会尝试绕过用户接见掌握(UAC)。为了绕过UAC,歹意软件将本身写入注册表项Software \ Classes \ mscfile \ shell \ open \ command \中,并启动explorer.exe的新实例来实行CompMgmtLauncher.exe。

师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图11.竖立注册表项并启动CompMgmtLauncher.exe

 师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图12.Explorer.exe用于启动ComMgmtLauncher.exe

实行CompMgmtLauncher.exe时,它将实行在注册表项Software \ Classes \ mscfile \ shell \ open \ command \中的任何设置。在本例中,它正在实行前面实行过的雷同PowerShell敕令,以替代感叹号,并以更高权限实行PowerShell剧本。

师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图13.竖立注册表项以绕过UAC

师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图14.Cybereason解决方案中所示的UAC 绕事后的历程

加载器模块被加载到内存中,并再次搜检权限。在具有充足的权限后继承发起进击。加载器的模块资本中有一个经由XOR 加密的可移植可实行文件(PE)。

师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

平安职员监测到大批针对旅店财务职员的垂纶进击

安全研究人员发现了一个恶意垃圾邮件的活动,这个活动是针对北美酒店业多个实体的财务人员,他们使用恶意附件将NetWiredRC远程访问木马(RAT)扔向毫无戒心的受害者。Malspam(恶意或恶意垃圾邮件的缩写)是一种垃圾邮件,目的是通过恶意url或受感染的附件发送恶意软件。这一恶意活动的运营商发出的垃圾邮件试图欺骗目标酒店员工,让他们打开一个伪装成发票的附件,以未付账单的形式详细列出欠款,并提供有关尚未付款的服务和商品的更多信息。 奇虎360安全中心的安全研究发现,这些附件被用于用NetWiredRC RAT病毒感染受害者的电脑,使攻击者能够获得未经授权的访问权限,远程控制受害者的电脑,并

图15.XOR 加密的的PE

加载器将PE从资本加载到内存中,运用密钥7B在内存中解密,然后实行。 师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图16.XOR解密之前的内存中的PE

师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图17.XOR解密以后的内存中的PE

加载器第二阶段:注入AHNLAB

内存中的PE是第二个加载顺序模块,用于终究payload的加载事情。在此阶段,歹意软件会尝试将讹诈软件的payload注入Ahnlab杀毒软件历程中。

为此,第二个加载器须要搜检目的盘算机中是不是装置了Ahnlab防病毒软件。假如存在Ahnlab V3 Lite的效劳,则会搜检文件autoup.exe是不是可用。autoup.exe位于Ahnlab Updater中,轻易遭到进击。

据了解,GandCrab的作者曾对Ahnlab这款产物觉得头疼过,多是出于报复的心态,Sodinokibi才会特地搜刮Ahnlab并将其用于进击。

师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图18.歹意软件搜检Ahnlab防病毒软件 师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图19.autoup.exe的途径字符串

假如歹意软件可以找到Ahnlab效劳和可实行文件,则加载器会自动启动处于挂起状况的autoup.exe历程,并尝试经由历程process hollowing将Sodinokibi的payload注入个中。

假如盘算机上未装置Ahnlab防病毒软件,则加载器将在挂起状况下启动当前PowerShell历程的零丁实例,并尝试经由历程process hollowing将Sodinokibi payload注入个中。

Payload以XOR加密的PE文件的情势存储在模块资本中,密钥为7B。

师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图20.XOR加密的可移植可实行文件

SODINOKIBI的payload

歹意软件将RC4加密的设置数据存储在.grrr中,此称号在差别的歹意软件变体中会有所差别。师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图21.Sodinokibi的payload

设置文件中包含了要从加密中消除的文件夹、文件和文件扩展名的信息;还包含要杀死哪些历程,删除哪些效劳,以及怎样运用CVE-2018-8453提权破绽,与C2通讯,展现给用户的讹诈单子等相干信息。

师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图22.Sodinokibi的设置文件

Sodinokibi运用GetKeyboardLayoutList辨认有哪些键盘言语,经由历程switch case语句搜检重要言语ID。只要设置了以下言语,则歹意软件将封闭,明显作者将这些国度消除在了目的以外。在此Sodinikobi变体中,还添加了对叙利亚语的搜检,以及运用GetSystemDefaultUILanguage和GetUserDefaultUILanguage对体系言语的新搜检。

师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图23.重要言语的挑选

言语搜检经由历程后,歹意软件将继承实行,并运用vssadmin.exe从盘算机中删除卷影副本,使文件恢复越发难题。

师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图24.运用vssadmin.exe删除卷影副本

接着讹诈软件遍会历机械上的一切文件夹,加密一切文件,并在每一个文件夹中植入讹诈关照。完成加密后,它会变动桌面壁纸以示知用户。

师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图25.讹诈软件加密文件后的新壁纸

师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图26.讹诈软件的赎金单子

歹意软件加密目的盘算机上的文件后,会尝试与C2效劳器竖立通讯。为了天生C2的URL,它会遍历设置文件中的域列表。

师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图27.设置文件中的域列表

歹意软件运用硬编码和随机天生字符串竖立多个随机URL。 Tesorion近来的一份报告里有讲到Sodinokibi和GandCrab在天生随机URL体式格局上的相似之处,这进一步增强了雷同作者的怀疑。

师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图28.用于天生随机URL的硬编码字符串

天生url后,歹意软件将加密的机械信息发送到每一个域,包含用户名、机械名、域名、机械言语、操作体系范例和CPU体系结构。

师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图29.加密前发送到C2效劳器的数据

当用户点击赎金单子并输入密钥时,会涌现一个页面,列出他们必需以比特币付出的价钱,才检索他们的文件。

师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台

图30.Tor浏览器讹诈赎金

结论

在这篇文章中,我们深切探讨了Sodinokibi讹诈软件感染历程,并表明,只管讹诈软件作者运用的殽杂手艺异常简朴,但仍被证实在绕过大多数反病毒软件上异常有用。

另外,我们的剖析进一步支撑了Sodinokibi与GandCrab背地创作职员雷同这一点,比方:言语和国度白名单的相似性(俄语国度、叙利亚阿拉伯语),对Ahnlab产物的“复仇”,以及URL天生例程中的相似之处。

自2019年4月以来,Sodinokibi讹诈软件涌现频仍,并且在初次表态后不到4个月内成为第四种最常见的讹诈软件。它阅历了频频小的更新,我们估计,作者会延续开辟这款开辟讹诈软件,增添更多的功用,也进步其回避检测才。

平安发起

· 请勿下载可疑泉源的文件或点击可疑链接。

· 按期备份云中当地和外部的重要文件。

· 在Cybereason解决方案中启用PowerShell防护。

· 在防备形式下激活Cybearson的反讹诈软件,以检测并防备此类要挟和其他相似要挟。

本文翻译自:https://www.cybereason.com/blog/the-sodinokibi-ransomware-attack


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明师出同门,讹诈不休:GandCrab退役后SODINOKIBI上台
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址