欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_安全防护正文

GandCrabV5.0.3的JS脚本详细分析报告

de64384a174e12dc2020-09-01187技术文章

一、样本简介

GandCrab应该是2018年最活跃的勒索病毒家族了,从2018年1月份出现GandCrabV1.0版本以来,到现在一直变化到了GandCrabV5.0版本,通过各种方式进行传播感染,笔者从分析GandCrabV1.0一直到GandCrabV5.0版本,之前一直分析GandCrab勒索病毒母体样本,这次给大家详细分析一下GandCrabV5.0.3的JS脚本,对于JS混淆类的脚本,只需要去混淆动态执行解密还原它本身的代码,就可以了。

二、详细分析

GandCrabV5.0.3的JS脚本主要功能:
(1)对抗Avast杀软
(2)对抗Windows Defender
(3)对抗MSE微软杀毒服务
(4)对抗Ahnlab安博士杀软
(5)生成GandCrabV5.0.3勒索病毒变种样本并执行
详细分析如下
1.JS代码,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第1张
2.从以上JS脚本中提取出里面的解密后的代码,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第2张
对里面的函数功能进行介绍,ffnoui生成相应的js脚本或GandCrab勒索病毒程序,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第3张
hmvfdhlkxzz获取系统所有服务及运行状态,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第4张
vwuyaxrl调用WScript.Shell执行生成的相应的JS脚本,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第5张
3.对抗Avast杀软,如果检测到系统服务中包含Avast杀软服务,则生成相应的脚本并执行,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第6张
生成的kyoxks.js脚本内容,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第7张
解密出相应的JS脚本内容,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第8张
以上脚本的功能是先将一代PowerShell脚本代码写入到注册表项中,相应的注册表项:
HKEY_CURRENT_USER\SOFTWARE\ycsdrr\pvrylqzhlnv,相应的PowerShell脚本解密之后,如下所示:
查找并启动Avast更新程序,同时拷贝相应的杀软文件到临时目录,清除缓存数据等,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第9张
遍历Avast更新程序进程,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第10张
查找Avast更新程序窗口进程ID,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第11张
发送相应的消息,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第12张
将上述的PowerShell命令代码写入到注册表之后,再通过PowerShell创建相应的计划任务并执行,通过计划任务执行上面的PowerShell代码,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第13张
4.对抗Windows Defender,如果检测到系统服务中包含WdNisSvc或WinDefend服务,则生成相应的脚本并执行,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第14张
生成的nykvwcajm.js脚本,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第15张
解密出相应的JS脚本内容,查找WdNisSvc或WinDefend服务,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第16张
将关闭Windows Defender软件实时监控和结束相关进程的命令写入到注册表项中,相应的注册表项,如下所示:
HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command\
HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command\
相应的命令行,如下所示:
cmd.exe /C "powershell Set-MpPreference -DisableRealtimeMonitoring $true && taskkill /im MSASCui /f /t
cmd.exe /C "sc stop WinDefend && taskkill /im MSASCui
/f /t
然后通过启动相关程序,执行命令,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第17张
最后删除相应的注册表项,注册表项如下:
HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command\
HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command\
5.对抗MSE微软杀毒服务,如果检测到系统服务中包含NisSrv,则生成相应的脚本并执行,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第18张
生成的bervcptyvulur.js脚本的内容,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第19张
解密出相应的JS脚本内容,查找系统服务中是否存在NisSrv服务,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第20张
将关闭MSE进程的代码写入到注册表中,相应的注册表项:
HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command\
HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command\
相应的代码:
MsiExec.exe /X{2AA3C13E-0531-41B8-AE48-AE28C940A809} ACCEPT=YES /qr+ /quiet
然后启动相关进程,执行关闭MSE的代码,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第21张
最后删除相应的注册表项,注册表项如下:
HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command\
HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command\
6.对抗安博士杀软,如果检测到系统服务中包含V3 Service,则生成相应的脚本并执行,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第22张
生成的recjyzcz.js脚本的内容,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第23张
解密出相应的JS脚本内容,查找系统服务中是否存在V3 Service服务,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第24张
将一串base64加密的字符串写入到相应的注册表项,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第25张
写入的注册表项为:HKEY_CURRENT_USER\Software\capvzgf\cazysa,通过Base64解密出相应的字符串,查找Ahnlab安博士杀软的卸载程序,并执行卸载程序,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第26张
然后将执行此注册表项命令的PowerShell脚本写入到相应的注册表项,并通过启动相应的程序执行,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第27张
执行注册表项的PowerShell命令解密出来的代码,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第28张
最后通过执行PowerShell脚本,查找启动Ahnlab的卸载程序,卸载Ahnlab杀毒软件,同时删除相应的注册表项,注册表项如下:
HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command\
HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command\
7.最后生成GandCrabV5.0.3的勒索病毒母体,并执行勒索病毒加密主机,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第29张
生成的相应的GandCrabV5.0.3版本的勒索病毒样本,样本运行之后,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第30张
勒索信息文本文件,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第31张
解密的TOR链接相关信息,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第32张
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第33张
8.这里我也简单分析一下GandCrabV5.0.3的勒索病毒样本吧,主要是教一些人怎么提取一下Payload代码,虽然这不是本文的重点,但你不说总有人不会,GandCrabV5.0.3第一层解密操作,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第34张
解密出相应的代码,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第35张
9.然后动态调试,执行到如下地址处,进行第二层Payload的解密操作,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第36张
解密出第二层GandCrabV5.0.3的核心Payload代码,从内存中Dump出来,修复PE文件之后,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第37张
可以看到这个GandCrab勒索病毒的版本为GandCrabV5.0.3,如下所示:
GandCrabV5.0.3的JS脚本详细分析报告  技术文章 第38张
这里就不详细分析GandCrab核心Payload代码了,GandCrabV5.0.3的核心代码与GandCrabV5.0的核心代码是差不多的,可以参考之前我分析发表过的GandCrabV5.0勒索病毒分析报告(百度搜索:勒索病毒GandCrabV5.0最新变种来袭)。

从JS脚本释放的GandCrabV5.0.3的母体是一个外壳,它会在内存中通过二次解密出相应的GandCrabV5.0.3的核心加密Payload代码,这也是母体样本分析的重点,也是动态调试的关键点,解密出相应的核心代码之后,然后再在内存中执行相应的加密操作,有兴趣的可以自己动态调试分析。

三、IOC

MD5
595A31A4913951D3EB7211618AE75DEA JS下载脚本
95557A29DE4B70A25CE62A03472BE684 GandCrabV5.0.3勒索病毒样本

样本解压密码:infected

网友评论

2条评论
  • 2020-09-01 00:03:09

    联博统计www.th666888111.com采用以太坊区块链高度哈希值作为统计数据,联博以太坊统计数据开源、公平、无任何作弊可能性。联博统计免费提供API接口,支持多语言接入。一直都很好

  • 2020-09-01 00:03:14

    联博统计www.th666888111.com采用以太坊区块链高度哈希值作为统计数据,联博以太坊统计数据开源、公平、无任何作弊可能性。联博统计免费提供API接口,支持多语言接入。一直都很好