欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

GlobeImposter勒索软件详细分析报告

来源:本站整理 作者:佚名 时间:2018-03-05 TAG: 我要投稿

 近日勒索病毒GlobeImposter众多变种开始在国内进行传播,各个变种加密文件后修改的文件后缀名也各不相同,包括.crypted!,.doc,.dream,.TRUE,.CHAK等,其主要是通过垃圾邮件进行传播。

GlobeImposter家族首次出现的时间为2017年5月,在2017年11月也有过一次疫情爆发。本次截获的病毒样本加密文件后缀名为.doc,其真实有效荷载为2017年11月爆发的变种之一。江民杀毒软件在当时已经具备查杀能力,且查杀病毒名为Trojan.Purgen.ct,文件MD5值为:B47124F61A6CAE40691C8F5A69306757,但此次截获样本与11月查杀样本有所改变,其主要是利用NSIS(Nullsoft Scriptable Install System)技术进行变种,使得病毒文件在运行时才会解压尝试运行,利用释放的system.dll文件将包含恶意shellcode的二进制文件LGU映射到内存进行执行。
该shellcode进行7层自我解密,每一层均使用不同的解密key,最终执行真实代码将GlobeImposter在内存中采用AES256算法进行解密,解密完成后又利用了Process Hollowing手法将GlobeImposter的恶意代码嵌入创建的合法进程中,且为了逃避安全类软件对Process Hollowing技术的检测,使用了过去Rootkit常用的SSDT Hook的手法。
在经过一系列的初始化后便执行GlobeImposter的真实代码开始加密文件并提示用户进行付费解密操作。感染该勒索病毒后,全盘除了特定的系统使用的文件夹之外的所有文件均会被加密,系统卷影副本会被删除,用户系统将无法正常工作,用户需及时安装杀毒软件预防此类攻击,江民杀毒能及时有效查杀此类病毒。
样本详细分析报告:
检查病毒文件发现是由NSIS(Nullsoft Scriptable Install System)制作的程序,一般采用这种技术的恶意软件会在运行时会解压真正的恶意程序并加载至内存运行。
 
图1 查看PE文件信息
在系统%temp%目录下创建名称随机,后缀名为.tmp的二进制文件。
 
图2 在%temp%目录下释放.tmp二进制文件
在系统%temp%目录下创建与上一步骤生成文件的同名的目录,并在其文件夹下释放名为system.dll的PE文件。
 
图3 在%temp%\***.tmp\目录下释放System.dll文件
在系统%temp%目录下释放名为LGU的二进制文件。
 
图4 在%temp%目录下释放加密二进制文件LGU
加载释放的System.dll文件到内存空间,该dll文件具备导出函数Call,用于执行后续的关键函数。
 
图5.1 加载释放的System.dll文件到当前进程空间
 
图5.2 System.dll文件导出关键函数Call
使用System.dll导出的Call函数调用关键函数,函数名称及其相关参数使用wsprintf函数拼接完成,最终调用NtCreateSection,NtMapViewOfSection和ReadFile这三个函数完成了将释放的二进制文件LGU的内容映射到内存的任务。
 
 图6.1 System::Call调用CreateFile函数打开LGU二进制文件
 
 图6.2 System::Call调用wsprintf拼接NtCreateSection函数名及其参数
 图6.3 System::Call调用ZwCreateSection函数
图6.4 System::Call调用wsprintf拼接NtMapViewOfSection函数及其参数
 
图6.5 System::Call调用ZwMapViewOfSection函数

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载