欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

新勒索病毒变种GlobeImposter(江湖骗子)分析

来源:本站整理 作者:佚名 时间:2017-08-23 TAG: 我要投稿

在过去的几天里,FortiGuard实验室捕捉到一些JS脚本,基于我的分析,这些脚本被用来传播新勒索病毒变种GlobeImposter(江湖骗子),我选择了其中一个文件并进行了快速分析,我分析的病毒变种版本为726。图1展示了我们捕捉到的JS文件的一部分,可以看到以“IMG_”开头的文件都是GlobeImposter病毒的下载程序。
 

图1 捕捉到的JS文件列表
下载并执行JS
当JS文件“IMG_8798.js”被执行时它会从站点“http://wendybull.com.au/87wefhi??JWbXSIl=JWbXSIl”同步下载GlobeImposter病毒并执行,下载的文件名为87wefhi.txt.exe,接下来分析一下该病毒文件在受害者主机的运作机制。当GlobeImposter运行时会动态往一个堆空间注入代码,然后创建标记为“CREATE_SUSPENDED”的子进程,创建这个挂起子进程后它的代码会被之前注入堆空间的代码替换掉,当子进程处于继续执行状态时注入到堆空间的代码会被执行,这是GlobeImposter功能模块的主要行为,图2展示了GlobeImposter病毒执行时的进程树。
 

图2 进程树
初始进程通过调用“继续执行线程”来执行它的子进程然后退出,以下所有的分析都是关于该子进程的。
GlobeImposter病毒子进程
首先,该子进程调用API函数SetThreadExecutionState并传值0x80000041H给它,有了参数值0x80000041H,勒索病毒在加密文件时Windows系统就不会睡眠,当勒索病毒子进程完成加密后会再次调用SetThreadExecutionState函数并传值0x80000000。为了加大被破解的难度,该病毒代码的大部分字符串参数还有API部分都做了加密,当运行时再动态解密。再就是解密被排除在外的文件夹和文件扩展名,这个版本中该病毒设置了两个不被加密的列表,当病毒遍历受害者主机上的所有文件夹及文件时会跳过这两个列表中的文件夹和文件扩展名在该列表中的文件。以下是不会被加密的列表:
不会被加密的文件夹列表(共44个):
Windows, Microsoft, Microsoft Help, Windows App Certification Kit, Windows Defender, ESET, COMODO, Windows NT, Windows Kits, Windows Mail, Windows Media Player, Windows Multimedia Platform, Windows Phone Kits, Windows Phone Silverlight Kits, Windows Photo Viewer, Windows Portable Devices, Windows Sidebar, WindowsPowerShell, Temp, NVIDIA Corporation, Microsoft.NET, Internet Explorer, Kaspersky Lab, McAfee, Avira, spytech software, sysconfig, Avast, Dr.Web, Symantec, Symantec_Client_Security, system volume information, AVG, Microsoft Shared, Common Files, Outlook Express, Movie Maker, Chrome, Mozilla Firefox, Opera, YandexBrowser, ntldr, Wsus, ProgramData.
不会被加密的文件扩展名(共170个):
.$er .4db .4dd .4d .4mp .abs .abx .accdb .accdc .accde .accdr .accdt .accdw .accft .adn .adp .aft .ahd .alf .ask .awdb .azz .bdb .bib .bnd .bok .btr .cdb .cdb .cdb .ckp .clkw .cma .crd .daconnections .dacpac .dad .dadiagrams .daf .daschema .db .db-shm .db-wa .db2 .db3 .dbc .dbf .dbf .dbk .dbs .dbt .dbv .dbx .dcb .dct .dcx .dd .df1 .dmo .dnc .dp1 .dqy .dsk .dsn .dta .dtsx .dx .eco .ecx .edb .emd .eq .fcd .fdb .fic .fid .fi .fm5 .fmp .fmp12 .fmps .fo .fp3 .fp4 .fp5 .fp7 .fpt .fzb .fzv .gdb .gwi .hdb .his .ib .idc .ihx .itdb .itw .jtx .kdb .lgc .maq .mdb .mdbhtm .mdf .mdn .mdt .mrg .mud .mwb .myd .ndf .ns2 .ns3 .ns4 .nsf .nv2 .nyf .oce .odb .oqy .ora .orx .owc .owg .oyx .p96 .p97 .pan .pdb .pdm .phm .pnz .pth .pwa .qpx .qry .qvd .rctd .rdb .rpd .rsd .sbf .sdb .sdf .spq .sqb .sq .sqlite .sqlite3 .sqlitedb .str .tcx .tdt .te .teacher .tmd .trm .udb .usr .v12 .vdb .vpd .wdb .wmdb .xdb .xld .xlgc .zdb .zdc
重定位和启动组
再往后,病毒进程会自复制到“%AllUserProfile%\Public\”路径下,并在受害者的Windows主机注册表中添加新文件到启动组中,这可以实现病毒在系统启动时自动执行。图3表示GlobeImposter病毒已经添加进了Windows注册表的启动组中(….RunOnce\CerificatesCheck)。
 

图3 Windows注册表中的启动组
准备工作
为了防止受害者从磁盘区阴影复制服务中恢复被加密的文件,GlobeImposter病毒在一个可执行批处理文件中调用了

vssadmin.exe Delete Shadows /All /Quiet
以删除所有的阴影磁盘卷,在该批处理文件中又清理了保存在系统注册表中和%UserProfile%\Documents\Default.rdp文件中的远程桌面信息,在文件加密工作完成后批处理文件又会被调用一次,图4展示了批处理文件的内容:
 

图4 批处理文件
下一步,该病毒会初始化加密相关的密钥、数据等,用2048位的RSA算法加密文件,密钥相关的部分数据保存在新创建的文件“%AllUserProfile%\Public\{hex numbers} “中,{hex numbers}名来源于受害者主机的硬件信息。
加密文件之前做了什么
GlobeImposter病毒在加密文件之前会杀掉一些运行中的进程并产生一个html文件,这是开始加密文件之前的最后两步。该病毒通过调用taskkill.exe来杀掉运行中的名字包含”sql“、”outlook“、”ssms“、”postgre“、”1c“、”excel“、”word“等的进程,杀掉的这些进程可能会释放它们在使用的一些文件,这将导致GlobeImposter病毒会加密更多的文件。图5展示了以上过程的伪代码:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载