欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

anatova勒索软件来袭

来源:本站整理 作者:佚名 时间:2019-01-26 TAG: 我要投稿

在不断寻找新威胁期间,我们发现了一个新的勒索软件系列,称之为Anatova(基于赎金条的名称)。Anatova是在一个私有的点对点(p2p)网络中被发现的。经过初步分析,为确保我们的客户受到保护,我们决定将此发现公之于众。

尽管Anatova相对较新,但我们已在全球范围内发现都检测到
我们认为Anatova可能成为一个严重的威胁,因为它的代码是为模块化扩展做准备的。
此外,它还将检查网络共享是否已连接,并将加密这些共享上的文件。根据我们的评估,Anatova背后的开发人员/攻击者是熟练的恶意软件作者。我们得出这个结论,是因为每个样本都有自己独特的密钥,以及我们在勒索软件系列中经常看不到一些功能。
本文将解释Anatova的技术细节,以及关于这个新的勒索软件家族的一些有趣的事情。
在分析中我们使用了这个特定的哈希值:170fb7438316f7335f34fa1a431afc1676a786f1ad9dee63d78c3f5efd3a0ac0
Anatova的主要目标是在受害者付款之前加密所有文件。
一、Anatova简介
Anatova通常使用游戏或应用程序的图标来欺骗用户下载。它有一个清单来请求管理员权限。

二进制文件信息
Anatova勒索软件是一个64位应用程序,编译日期为2019年1月1日。此特定散列的文件大小为307kb,但由于样本中使用的资源量,可能会发生变化。如果我们删除所有这些资源,大小为32kb;一个非常小的程序,里面有一个强大的机制。
Anatova有一些强大的静态分析保护技术,这让事情变得有些棘手:
· 大多数字符串都是加密的(Unicode和Ascii),使用不同的密钥对它们进行解密,嵌入在可执行文件中。
· 90%的调用是动态的;它们仅使用以下非可疑的Windows API和C编程语言的标准库:GetModuleHandleW,LoadLibraryW,GetProcAddress,ExitProcess和MessageBoxA。
· 当我们在IDA Pro中打开二进制文件(包括最新版本的IDA)时,检测到的函数很差,并且在3个操作码后就完成了处理。我们不确定这是IDA Pro中的bug,或者是恶意软件作者故意造成的(我们怀疑)。

IDA Pro 7.2最新版本中的问题
二、初始感染向量
目前,我们不知道Anatova正在使用或将要使用的感染向量。我们最初的发现位置是私人p2p。
与其他勒索软件系列一样,Anatova的目标是加密受感染系统上的所有或多个文件,并要求付款以解锁它们。该攻击者要求以10 DASH的加密货币支付赎金 – 目前价值约700美元,与其他勒索软件家族相比而言比较高。
三、版本1.0的亮点
由于这是一个新的系列,在代码中找不到任何版本号,我们称之为1.0版本。
恶意软件执行的第一个操作是获取“kernel32.dll”库的模块句柄,并使用“GetProcAddress”从中获取29个函数。

解密字符串后获取kernel32中的函数
如果恶意软件无法获取kernel32的模块句柄,或者找不到某些函数,它将退出而不执行任何加密。
稍后,恶意软件将尝试创建具有硬编码名称的互斥体(在本例中为:6a8c9937zFIwHPZ309UZMZYVnwScPB2pR2MEx5SY7B1xgbruoO),但每个样本中的互斥体名称都会更改。如果创建了互斥体并获取了句柄,它将调用“GetLastError”函数并查看上一个错误是ERROR_ALREADY_EXISTS还是ERROR_ACCESS_DENIED。这两个错误都意味着存在此互斥对象的实例。如果发生这种情况,恶意软件将进入清理内存流程(我们将在本文稍后解释)并结束。

检查互斥体
在此检查之后,Anatova将使用与kernel 相同的流程从“advapi32.dll”,“Crypt32.dll”和“Shell32.dll”库中获取一些函数。所有文本都经过加密和解密,获取函数,释放内存,然后继续下一个。
如果它无法获得一些这些模块或它需要的一些函数,它将转到清理工具流程并退出。
我们发现的一个有趣的功能是Anatova将检索登录和/或活动用户的用户名,并与加密的名称列表进行比较。如果检测到其中一个名称,它将进入清理流程并退出。
搜索的用户列表是:
· LaVirulera
· tester
· Tester
· analyst
· Analyst
· lab
· Lab
· Malware
· malware
某些分析人员或虚拟机/沙箱在其设置中使用这些默认用户名,这意味着勒索软件无法在这些计算机/沙箱上运行。
在用户检查之后,Anatova将检查系统的语言。当用户安装Windows操作系统时,他们会选择一种语言来安装(虽然以后用户可以安装不同的语言)。Anatova会检查系统上第一个安装的语言,确保用户无法安装这些列入黑名单的语言之一从而避免加密文件。
Anatova不影响的国家名单如下:
· 所有独联体国家
· 叙利亚
· 埃及
· 摩洛哥
· 伊拉克
· 印度
看到独联体国家被排除在执行之外,通常表明作者可能来自其中一个国家,这是很正常的。本案例中,看到其他国家被提及是令人惊讶的。我们没有明确假设为什么这些国家被排除在外。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载