欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Clop勒索软件分析

来源:本站整理 作者:佚名 时间:2019-09-02 TAG: 我要投稿

Clop是一类相对较新的勒索软件,于今年2月出现在公众视野中,Clop背后团队的主要目标是加密企业的文件,收到赎金后再发送解密器。目前Clop仍处于快速发展阶段。
本文将对clop勒索软件的技术细节做分析,并分享其背后的运作信息。在过去的几个月里我们观察到的变体中,Clop的创作者使用了一些我们以前从未见过的创新技术。
鉴于Clop有许多变种,在本文中,我们只将重点放在它的主要版本及少部分变种上。
Clop第一版
第一版Clop中签署了以下证书:

图1.程序签名,以避免AV检测
对恶意二进制文件签名后,有一定几率通过安全解决方案的检测。但在我们观察到该版本的几天后,此证书就被撤销了,转而在另一版本出现了一个新证书:

图2.新版本中的证书
我们总结了使用新证书进行签名的Clop勒索软件样本:

Clop会避免在某些环境下运行,且能自行终止。
首先是使用函数“GetKeyboardLayout”将受害计算机的键盘与硬编码值进行比较。此函数能在Clop调用函数时返回用户键盘输入布局。
通过检查布局是否大于值0x0437(格鲁吉亚语),俄语(0x0419)和阿塞拜疆语(0x082C),GetKeyboardLayout函数决定返回值是1还是0,如果时属于俄罗斯或其他独联体国家,则返回1,在其他情况下返回0。

图3.检查键盘布局
如果函数返回0,则转到恶意软件的正常流程,否则它将使用函数“GetDC”获取整个屏幕的设备上下文。
另一个条件来自函数“GetTextCharset”,它返回系统中使用的字体,如果没有0xCC (RUSSIAN_CHARSET)值,该函数将返回系统中使用的字体。如果使用的是此字符集,恶意软件将从磁盘中删除自身并使用“TerminateProcess”终止自身,但如果不是,它将进行双重检查,此举是为了绕过多系统语言的用户,即那些有安装俄语但没有在机器中使用的用户。

图4.检查文本字符集并与俄语字符集进行比较
但是,原本应该将勒索软件从磁盘中删除的代码中却包含错误。它将直接调用系统提示符,而不会等待恶意软件完成执行。这意味着虽然命令的执行是正确的,但是由于恶意软件仍在运行,因此不会从磁盘中删除。发生这种情况是因为作者没有使用“timeout”命令。
 

图5.删除恶意软件自身
恶意软件的下一操作是创建一个启动所有进程的新线程。使用此线程的句柄,它将等待无限长的时间来完成“WaitForSingleObject”函数,之后返回到winMain函数并退出。
该线程的第一个操作是在与恶意软件相同的文件夹中创建名为“Favorite”的文件,稍后使用“GetLastError”检查最近一个错误,如果为0,调用函数“Sleep”等待5秒。
稍后线程使用句柄0对函数“EraseTape”进行虚拟调用,此举可能是为了干扰模拟器,因为句柄在硬编码操作码中被置于0。
再之后用一个无效名调用“DefineDosDeviceA”函数,会返回另一个错误。这些操作将循环666000次。

图6.通过循环来干扰分析
下一步是搜索某些杀毒产品的进程,这些产品如下所示:
· SBAMTray.exe(Vipre防病毒产品)
· SBPIMSvc.exe(Sunbelt AntiMalware防病毒产品)
· SBAMSvc.exe(GFI AntiMalware防病毒产品)
· VipreAAPSvc.exe(Vipre防病毒产品)
· WRSA.exe(WebRoot防病毒产品)
如果发现有上述产品的进程,将使用“Sleep”等待5秒后再等待5秒,“Sleep”之后再继续正常运行。如果未检测到这些进程,它将访问自己的资源并使用名称“OFFNESTOP1”提取。资源已加密在“.bat”文件中。

图7.访问第一个加密的资源
解密是一个简单的XOR操作,字节来自以下字符串:
“Po39NHfwik237690t34nkjhgbClopfdewquitr362DSRdqpnmbvzjkhgFD231ed76tgfvFAHGVSDqhjwgdyucvsbCdigr1326dvsaghjvehjGJHGHVdbas”。
下一步操作是使用“CreateFileA”函数,将此批处理文件写入恶意软件所在的同一文件夹中。创建的文件名为“clearsystems-11-11.bat”。该文件稍后以“ShellExecuteA”启动,等待5秒钟完成,并删除带有“DeleteFileA”函数的文件。
很明显,作者不是经验丰富的程序员,因为他们使用.bat文件用于接下来的操作:
· 使用vssadmin删除阴影卷(“vssadmin Delete Shadows / all / quiet”)。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载