Clop讹诈软件剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Clop讹诈软件剖析

申博_安全预警 申博 59次浏览 未收录 0个评论

Clop是一类相对较新的讹诈软件,于本年2月出如今民众视野中,Clop背地团队的主要目的是加密企业的文件,收到赎金后再发送解密器。现在Clop仍处于疾速发展阶段。

本文将对clop讹诈软件的手艺细节做剖析,并分享其背地的运作信息。在过去的几个月里我们观察到的变体中,Clop的创作者运用了一些我们之前从未见过的立异手艺。

鉴于Clop有许多变种,在本文中,我们只将重点放在它的主要版本及少部分变种上。

Clop初版

初版Clop中签订了以下证书:

Clop讹诈软件剖析

图1.顺序署名,以防备AV检测

对歹意二进制文件署名后,有肯定概率经由历程平安解决方案的检测。但在我们观察到该版本的几天后,此证书就被撤销了,转而在另一版本涌现了一个新证书:

Clop讹诈软件剖析

图2.新版本中的证书

我们总结了运用新证书举行署名的Clop讹诈软件样本:

Clop讹诈软件剖析

Clop会防备在某些环境下运转,且能自行住手。

起首是运用函数“GetKeyboardLayout”将受益盘算机的键盘与硬编码值举行比较。此函数能在Clop挪用函数时返回用户键盘输入规划。

经由历程搜检规划是不是大于值0x0437(格鲁吉亚语),俄语(0x0419)和阿塞拜疆语(0x082C),GetKeyboardLayout函数决议返回值是1照样0,假如时属于俄罗斯或其他独联体国度,则返回1,在其他状况下返回0。

Clop讹诈软件剖析

图3.搜检键盘规划

假如函数返回0,则转到歹意软件的一般流程,不然它将运用函数“GetDC”猎取全部屏幕的装备上下文。

另一个条件来自函数“GetTextCharset”,它返回体系中运用的字体,假如没有0xCC (RUSSIAN_CHARSET)值,该函数将返回体系中运用的字体。假如运用的是此字符集,歹意软件将从磁盘中删除自身并运用“TerminateProcess”住手自身,但假如不是,它将举行两重搜检,此举是为了绕过量体系言语的用户,即那些有装置俄语但没有在机械中运用的用户。

然则,底本应当将讹诈软件从磁盘中删除的代码中却包括毛病。它将直接挪用体系提示符,而不会守候歹意软件完成实行。这意味着虽然敕令的实行是准确的,然则由于歹意软件仍在运转,因而不会从磁盘中删除。发作这类状况是由于作者没有运用“timeout”敕令。

 Clop讹诈软件剖析

图5.删除歹意软件自身

歹意软件的下一操纵是建立一个启动一切历程的新线程。运用此线程的句柄,它将守候无穷长的时候来完成“WaitForSingleObject”函数,以后返回到winMain函数并退出。

该线程的第一个操纵是在与歹意软件雷同的文件夹中建立名为“Favorite”的文件,稍后运用“GetLastError”搜检近来一个毛病,假如为0,挪用函数“Sleep”守候5秒。

稍后线程运用句柄0对函数“EraseTape”举行假造挪用,此举可以是为了滋扰模拟器,由于句柄在硬编码操纵码中被置于0。

再以后用一个无效名挪用“DefineDosDeviceA”函数,会返回另一个毛病。这些操纵将轮回666000次。

下一步是搜刮某些杀毒产物的历程,这些产物以下所示:

· SBAMTray.exe(Vipre防病毒产物)

· SBPIMSvc.exe(Sunbelt AntiMalware防病毒产物)

· SBAMSvc.exe(GFI AntiMalware防病毒产物)

· VipreAAPSvc.exe(Vipre防病毒产物)

· WRSA.exe(WebRoot防病毒产物)

假如发明有上述产物的历程,将运用“Sleep”守候5秒后再守候5秒,“Sleep”以后再继承一般运转。假如未检测到这些历程,它将接见自身的资本并运用称号“OFFNESTOP1”提取。资本已加密在“.bat”文件中。

Clop讹诈软件剖析

图7.接见第一个加密的资本

解密是一个简朴的XOR操纵,字节来自以下字符串:

“Po39NHfwik237690t34nkjhgbClopfdewquitr362DSRdqpnmbvzjkhgFD231ed76tgfvFAHGVSDqhjwgdyucvsbCdigr1326dvsaghjvehjGJHGHVdbas”。

下一步操纵是运用“CreateFileA”函数,将此批处理文件写入歹意软件地点的统一文件夹中。建立的文件名为“clearsystems-11-11.bat”。该文件稍后以“ShellExecuteA”启动,守候5秒钟完成,并删除带有“DeleteFileA”函数的文件。

很明显,作者不是经验丰富的顺序员,由于他们运用.bat文件用于接下来的操纵:

· 运用vssadmin删除暗影卷(“vssadmin Delete Shadows / all / quiet”)。

· 调解一切单元的暗影存储大小,从C到H单元的字母(硬编码字母),以防备再次天生暗影卷。

· 运用bcedit顺序禁用盘算机指导中的恢复选项,并设置为疏忽指导中正告用户的毛病。

· 一切这些操纵都可以在歹意软件代码自身中实行,不需要外部文件来检测和删除。

Clop讹诈软件剖析

图8.用于禁用暗影卷和更高平安性的BAT文件

下一步操纵是建立一个名为hardcoded“Fany-Fany-6-6-6”的互斥锁,然后挪用函数“WaitForSingleObject”,并运用0搜检效果。假如值为0,则意味着互斥对象是为歹意软件的这个实例建立的,但假如是另一个值,则意味着互斥对象是由另一个实例或“疫苗”天生的。

在此以后,它将天生2个线程,一个用于搜刮历程,另一个用于在其可以接见的网络共享中加密文件。

第一个线程罗列体系的一切历程,以大写情势建立历程的称号,并运用称号盘算哈希值,将其与大的哈希列表举行比较。该哈希算法是自定义算法。歹意软件中通常会试图隐蔽他们正在寻觅的历程。假如找到个中一个,将在翻开后用“TerminateProcess”函数住手,并运用“OpenProcess”函数限定此项操纵的权限。

该歹意软件包括61个硬编码的顺序哈希,如“STEAM.EXE”,数据库顺序,办公顺序等。

下面是前38个哈希表和相干的历程名。这38个我们在其他的讹诈软件家属

Clop讹诈软件剖析

图9.线程杀死解锁文件的症结历程

第二个线程的使命是,罗列一切网络共享并加密文件(条件是可以接见)。

实行此使命运用了模块“MPR.DLL”的典范API函数:

· WNetOpenEnumW

· WNetEnumResourceW

· WNetCloseEnum

该线程运用“GlobalAlloc”函数建立内存贮备,以保留“MPR”函数的信息。

发明的每一个网络共享,第二个线程都邑将其罗列出;而至于每一个文件夹,它将进入该文件夹并搜刮更多子文件夹和文件。这么做的起首步骤是搜检针对硬编码哈希列表找到的文件夹/文件的称号,运用的算法与检测要封闭的历程的算法雷同。

以下是27个哈希中,个中12个的称号:

Clop讹诈软件剖析

假如相符,线程将搜检文件是不是是文件夹,要领是将文件称号与一列硬编码的称号和扩展名举行比较,这些称号和扩展名是纯文本而不是散列花样的:

· ClopReadMe.txt

· ntldr

· NTDLR

· boot.ini

· BOOT.INI

· ntuser.ini

· NTUSER.INI

· AUTOEXEC.BAT

· autoexec.bat

· .Clop

· NTDETECT.COM

· ntdetect.com

· .dll

明白网络安全范畴的纵深防备战略

网络安全领域的发展速度太快,隔一段时间就会有一些流行语和技术术语冒出来。如果你有一段时间不关注该领域,则感觉已经跟不上时代了。“纵深防御”(Defence-in-Depth, DiD)就是这样一个技术术语。 那么为什么会出现这个术语呢?简单地说,DiD要求将安全性应用于多个层,其工作原理是为每个层提供不同类型的保护,以便为提供阻止攻击的最佳手段。这些层也可以防止不同的问题,全方位覆盖多

· .DLL

· .exe

· .EXE

· .sys

· .SYS

· .ocx

· .OCX

· .LNK

· .lnk

· desktop.ini

· autorun.inf

· ntuser.dat

· iconcache.db

· bootsect.bak

· ntuser.dat.log

· thumbs.db

· DESKTOP.INI

· AUTORUN.INF

· NTUSER.DAT

· ICONCACHE.DB

· BOOTSECT.BAK

· NTUSER.DATA.LOG

· THUMBS.DB

这个搜检是经由历程一个自定义函数完成的,该函数会跟上表中每一项对比。这就是为何有大小写两种写法,而不是运用函数“lstrcmpiA”,以防备此函数中运用的某些钩子影响文件;对扩展名的搜检另有个优点是使加密历程更快。

固然,歹意软件还会搜检文件是不是有讹诈关照的称号,以及加密文件中的扩展名。与其他讹诈软件家属比拟,这些黑名单将有助于体系在加密历程当中防备崩溃。

 

这类行动在讹诈软件中是一般的,但之前依据文件/文件夹称号对硬编码哈希举行的搜检很新鲜,由于稍后我们可以在上图中看到,下一次搜检是针对纯文本字符串的。

搜检完成后,歹意软件将建立一个新的线程,该线程的构造中包括一个硬编码的密钥块、文件的称号和文件存在的途径。在这个线程中,第一个操纵是删除毛病模式,将“SetErrorMode”设置为1,以防备在崩溃时向用户显现毛病对话框。稍后,它将从作为参数传递给线程的构造体中预备文件的途径,并运用函数“SetFileAttributesW”将文件的属性变动成ARCHIVE,然则歹意软件不会搜检此操纵是不是可以胜利实行。

稍后将天生一个随机的AES密钥,并运用此密钥加密文件的每一个字节,接下来将在文件的末端加上标记“Clop ^ _”。在标记以后,它将把用于加密文件的密钥加密到已硬编码歹意软件的主RSA密钥,以庇护它免受第三方免费解密器的进击。

歹意软件可以运用两个差别的大众RSA密钥:在大众blob中运用crypto api导出,或许运用歹意软件中嵌入的base64。歹意软件只要在没法建立crypto上下文或加密api函数有题目时才会运用第二种。

歹意软件在运用crypto函数时不支持Windows XP,由于Windows XP中运用的CSP有另一个称号,但从Windows Vista最先的其他操纵体系中,则可以变动调试器中的称号以猎取上下文,并将天生一个RSA大众blob。

与其他讹诈软件系列的另一个区分是,Clop只会加密物理衔接/嵌入式磁盘(范例3,牢固或可挪动(范例2))的磁盘,疏忽REMOTE范例(4))。

加密后,文件将尝试在统一文件夹中翻开赎金单子,假如赎金单子存在,它将继承而不会掩盖它以节省时候,但假如不存在,它将接见歹意软件中的一个称为“OFFNESTOP”的资本。运用与第一个资本雷同的XOR操纵来加密此资本:.bat文件在解密后在文件夹中写入赎金关照。

 Clop讹诈软件剖析

图12.从加密资本建立赎金单子

以下是该歹意软件初版赎金单子的示例:

在此以后,Clop对下一个文件运用雷同的流程,但不运用基于哈希的称号搜检。

第二版歹意软件

与初版比拟,2月尾发明的第二版会有一些变化。此版本的哈希是:“ed7db8c2256b2d5f36b3d9c349a6ed0b”。

第一个变动是对代码纯文本中的字符串举行一些变动,使“EraseTape”挪用和“FindAtomW”挪用的实行速率更慢。

第二个变动是二进制文件中加密的资本的称号,第一个资本是用于删除影子卷并删除机械指导中的庇护第二个批处理文件,此资本的前一个称号是“RC_HTML1”。

 Clop讹诈软件剖析

图14.批处理文件的新资本名

然则,解密此资本的算法是雷同的,只是它们变动了作为字节密钥的大字符串。如今字符串是:“JLKHFVIjewhyur3ikjfldskfkl23j3iuhdnfklqhrjjio2ljkeosfjh7823763647823hrfuweg56t7r6t73824y78Clop”。主要的是要记着,这个字符串在二进制文件中仍然是纯文本情势,然则由于它已变动,所以不能用于Yara划定规矩。关于资本的称号和资本的哈希值也是一样的,由于bat在某些状况下每一行都在变化,它能有更多的代码来住手平安产物和数据库产物的效劳。

下一个变动是互斥锁称号,在这个版本中是“HappyLife ^ _-”,因而,基于互斥体称号制造疫苗可以会很庞杂,由于它可以在每一个新样本中很轻易地变动。

下一个变动是歹意软件的硬编码公钥,与前一个版本差别。

另一个变动是建立的文件;第一个版本建立名为“favorite”的文件,而这个版本建立名为“Comone”的文件。

然则,文件的加密算法和加密文件中的标记是雷同的。

另一个区分在于赎金单子如今更清楚,文本中有一些变化,如今有3封电子邮件联络讹诈软件开发商,而不是1封。

疾速更迭

Clop的创作者可以疾速更迭来影响平安团队的跟踪。代码在很大程度上是坚持稳定的,但对字符串的变动会更难以准确检测或分类。Clop在字符串和资本称号方面变化非常快,这使得检测歹意软件越发庞杂。

流传局限

我们在以下国度/区域检测到Clop过:

Clop讹诈软件剖析

· 瑞士

· 大不列颠

· 比利时

· 美国

· 荷兰人

· 克罗地亚

· 波多黎各

· 德国

· 土耳其

· 俄国

· 丹麦

· 墨西哥

· 加拿大

· 多明尼加共和国

疫苗

运用自定义哈希算法搜检文件或文件夹称号的函数可以会对歹意软件的实行形成题目,由于算法和散列都是基于32位的,而且只运用大写字母,所以很轻易发生争执,由于我们晓得目的散列和算法它自身不能作为疫苗运用,但假如最症结的文件位于争执文件夹称号中,它可以有效地防备歹意软件。

截图中,“BOOT”才是哈希的准确称号,其他都冲撞了。

Clop每一个版本都有许多变化,所以要防备运用互斥锁等制造疫苗。

结论

Clop讹诈软件的一些特性表明,企业才是它的目的,而不是普通用户。它的作者展现了一些创造性的手艺解决方案,以检测受益者的言语设置和装置的顺序。另一方面,当涉及到在讹诈软件中编写某些功用时,也有一些不圆满的设定。纵然不圆满,但不幸的是当前仍有许多此类蹩脚的歹意软件在大行其道、牟取暴利。

Clop还在不停发展中,纵然不晓得将来会有什么新的变化,McAfee ATR也将亲昵关注。

本文翻译自:https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/clop-ransomware/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Clop讹诈软件剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址