欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

McAfee针对GandCrab勒索软件的分析

来源:本站整理 作者:佚名 时间:2018-08-30 TAG: 我要投稿

GandCrab作者反应神速,马上就作出改变,其中一家安全公司也不甘,制作一个免费工具来作为回应,但在几小时内,作者又发布了另一个版本4.1.2并更改了文本。恶意软件不再创建任何文件,而是使用此特殊名称创建互斥对象。互斥锁保留并在名称中保留.lock扩展名。

所以该杀毒工具不适用于第二版4.1.2和4.2版,但它确实适用于以前的版本。
版本4.2
此版本会检测是否处于虚拟机环境,一但检测到虚拟机就会停止运行。

恶意软件计算主Windows安装逻辑单元的空闲空间,并最终计算出一个值。如果此值想对于勒索软件是正确的,则它会正常运行。如果该值小于0x1E,则等待一小时以启动正常进程。如果该值大于0x1E,则勒索软件完成其执行。

版本4.2.1
这个版本出现在8月1日。与之前版本不同的是,这是一条发给安全公司的短信,以及一个0day漏洞的链接,攻击该公司的一个产品。该漏洞攻击了这家公司的一个产品。代码是一个Visual Studio项目,可以很容易地重新编译。在Visual Studio中加载项目后,该代码有俄文文件夹。
版本4.3
此版本也出现在8月1日。此版本与以前的版本有以下变化:1.它删除了用于检测虚拟机的代码以及4.2版中的其他一些东西。这段代码有一些bug——无法检测到某些虚拟机。2.它针对防病毒公司的一种产品的发起攻击,该产品通过版本4.1.2的第一版发布了针对4.0版的杀毒工具。而代码出现的位置是在恶意软件加密文件之后和删除之前。

这些函数中的新代码使静态分析更加复杂。介绍一个很有效的技巧:勒索软件进行了一个delta调用(将delta偏移的地址放在堆栈的顶部)并添加0x11(特殊代码的大小,意味着恶意软件作者正在使用宏)到ESP寄存器中的值。ESP现在指向特殊代码块之后的地址,并在该块的操作码中间跳转。这种技术使它看起来像另一条指令,在本例中是“pop eax”,它从堆栈顶部(ESP寄存器)添加0x11后提取值。代码稍后在EAX中无条件跳转到此地址。这样勒索软件遵循其正常的代码流程。

结论
GandCrab是任何个人或企业的领先勒索软件威胁。作者使用多种方式传播它—— 包括漏洞利用工具包,钓鱼邮件,木马程序。开发人员主动更新和改进代码,以使分析更加困难。该代码不是专业编写的,并且仍然存在漏洞,但该产品在地下论坛中得到了很好的推广,并且价值也在不断增加。
 

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载