欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

你被“侠盗”的蟹钳夹伤了吗?漫谈GANDCRAB

来源:本站整理 作者:佚名 时间:2019-04-22 TAG: 我要投稿

还记得 2017 年 5 月,影响全球的 WannaCrypt 吗?在当时,全球超过 230,000 台计算机皆遭此病毒侵害,虽然此病毒要求支付价值等同于 300 美元的比特币才可解密所有遭加密的文档,但事实上,并无法通过付款的方式解密。WannaCrypt 是通过 Windows 操作系统的漏洞,以蠕虫方式进行传播扩散,微软也因为这个事件,破例对当时已停止技术支持的 WindowsXP 释出修补程序。这个事件是一个经典案例,也让许多人见识到了勒索软件的破坏力。  
好一阵子,勒索软件的音量,似乎在各种流行的信息安全威胁中显得小了,勒索软件是否就此绝迹?抑或风险有趋缓的现象?观察 GandCrab 的演化史,或许能给出一些客观的答案。
GANDCRAB 简史
GandCrab 第一次被大众关注是在 2018 年 1 月,由罗马尼亚的安全公司 Bitdefender、罗马尼亚警政署、欧洲刑警组织连手揭露了这个恶意勒索软件,并且很快地,就由 Bitdefender 安全工程师根据 GandCrab 的加密缺陷,破解并释出了免费解密工具,这是 GandCrab1.0。
但这个勒索病毒的开发者十分积极,很快地在同年的 3 月 5 日、 5 月 3 日先后释出了 GandCrab 的 2.0 与 3.0 版本。2.0 版本增加了 QR code 功能,而 3.0 在感染后将病毒加为开机执行项目,并强制关机,下一次开机时会造成操作系统变慢或进不了操作系统,成功进入操作系统后则出现黑屏,并提示受害者已遭勒索软件感染。2018  年 7 月,GandCrab 进化至 4.0 版本,增加了许多提示受害人付钱的说明,以及 Tor 通道,并开始提供一个文档免费解密的验证服务。9    月时,5.0 版面世,GandCrab 开发团队与供应恶意软件加密工具(Crypter)的组织 NTCrypt 结盟,并举办折扣活动,提供购买解密 GandCrab 的客户。而 GandCrab 最新版是 2019 年 2 月 19 日左右所推出的 5.2 版。
GandCrab 在网络上还有一个轶闻,说是一个在叙利亚的父亲不幸感染了 GandCrab 后,再也不能看到他因战争而丧身的儿子照片,由于这个父亲在推特上发文说出了这个情况,GandCrab 的制造者看到随即发了道歉文,并释出解密密钥后,又更新了 GandCrab 版本,将叙利亚地区列为不受感染的白名单,因为这个事件,开始有人对此恶意软件心生好感,并称其为「侠盗」。事实上,该事件中的父亲本不该遭此一劫;而放过叙利亚,荼毒其他国家也非正义!去认同加害者的观点和想法,并不理性,这是典型的「斯德哥尔摩症候群」。
传播
事实上,GandCrab 每个版本间的变化并不是太大,但是它的传播渠道极为多元。在最初的版本,GandCrab 主要用 RIG ExploitKit 和 GandSoftExploitKit 两个开发工具包进行分发,进行水坑式攻击 ( Wateringhole ) 或路过式下载 ( Drive-bydownload ):攻击者尝试制作出网页乱码,以解决页面乱码之由,诱导受害者下载由 GandCrab 伪装的字体更新进行感染;或乔装成软件破解文件、正版商用软件之类,诱骗受害者执行 GandCrab。
后续版本则扩张到使用暴露于网络上的远程桌面、僵尸网络、渗透工具、经由木马程序挟带的做法。而 5.0.2 版,开始大量利用钓鱼邮件,触发后以 PowerShell 执行脚本,埋藏在内存内暗中运作,并会在受害者计算机中尝试利用 CVE-2018-8440 以及 CVE-2018-8120 漏洞进行提权。

通过电子邮件发送 GandCrabv5.1 版的前导攻击恶意文件

日本地区常见的 GandCrab 恶意邮件攻击主题统计,除了图示外,还有许多女星的名字。引用自 Twitter@gorimpthon
至于流行的地区,则可说全球都有其踪迹,亚洲地区受害者最多的国家是南韩,其次为中国。但某些操作系统虽触发了 GandCrab 这个勒索软件,但因为这个勒索软件内建操作系统语系白名单的缘故,只要是使用该白名单语系的操作系统,就不会进行后续的加密程序,这些白名单的操作系统语系分别为:俄罗斯、乌克兰、比利时、塔吉克、亚美尼亚、阿塞拜疆、乔治亚、吉尔吉斯坦、土库曼、乌兹别克、鞑靼斯坦、叙利亚、阿拉伯等。
感染的两三事
当 GandCrab 被触发后,首先它会将它自己复制到%AppData%\Microsoft\[RANDOM NAME],接下来查找下列应用程序,并尝试将它们关闭:msftesql.exe、sqlagent.exe、sqlbrowser.exe、sqlservr.exe、sqlwriter.exe、oracle.exe、ocssd.exe、dbsnmp.exe、synctime.exe、mydesktopqos.exe、agntsvc.exeisqlplussvc.exe、xfssvccon.exe、mydesktopservice.exe、ocautoupds.exe、agntsvc.exeagntsvc.exe、agntsvc.exeencsvc.exe、firefoxconfig.exe、tbirdconfig.exe、ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe。接着,它会尝试向外联机至内建的上千个独立主机列表,联机成功后,它会开始进行感染主机的加密。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载