研究分析GandCrab勒索软件

导语:网络安全公司LMNTRIX的专家在暗网俄罗斯黑客社区发现了一种名为GandCrab的新型勒索软件,并对其进行了分析。

 

在过去的三天里,LMNTRIX Labs一直在追踪GandCrab勒索软件,该样本通过RIG漏洞传播。我们分析的样本为:5d53050a1509bcc9d97552fa52c1105b51967f4ccf2bde717b502605db1b5011,文件大小129KB。

研究分析GandCrab勒索软件

感染

研究分析GandCrab勒索软件
图1:Ransom_GANDCRAB 检测

文件版本和资源如下所示:

研究分析GandCrab勒索软件

图2:资源——文件图标

研究分析GandCrab勒索软件

图3:勒索软件样本版本信息

加密
在调试器中加载样本以进一步研究恶意软件的行为:

00401424|。FF15 54F04000 CALL DWORD PTR DS:[<&KERNEL32.GlobalAlloc>];\GlobalAlloc

GlobalAlloc函数用于内存管理,主要用于解密或解码文件中的代码。

研究分析GandCrab勒索软件
图4:解码函数

遍历上面快照中突出显示的子进程:Address4011F1。执行所有的指令,到达如下位置:

研究分析GandCrab勒索软件
图5:跳到解密代码

进一步调试代码之后,我们发现这个文件包含了一些反调试技巧:

研究分析GandCrab勒索软件

上面的代码都紧紧围绕反调试。我们还在代码中看到多个与网络相关的部件:

研究分析GandCrab勒索软件

这些指令有选择性地调用网络连接函数。在分析过程中,我们观察到恶意软件联系以下域名:

ipv4bot.whatismyipaddress.com ——用来检测网络的IP地址

a.dnspod.com ——我们确认其在Virustotal的Fortinet AV中标记为恶意软件。

注册表项和文件创建
父文件的副本释放在 %appdata%\Microsoft t文件夹中,文件名随机。

研究分析GandCrab勒索软件

并在创建的注册表项中定位相同的文件:

研究分析GandCrab勒索软件

为找到文件名和注册表键值的随机性,我们在执行文件之前恢复了干净状态。 使用<random name.exe>创建副本文件。 Runonce键的值也是随机生成的。 下面是一个例子:

研究分析GandCrab勒索软件

随机值:

研究分析GandCrab勒索软件

在%appdata%文件夹中,恶意软件将释放名为GDCB-DECRYPT.txt的文本文件。这包含恶意软件的赎金便条,指示用户下载Tor浏览器后购买私钥:

研究分析GandCrab勒索软件

图6:GDGB-DECRYPT.txt

IOC

文件哈希:
SHA 256: 5d53050a1509bcc9d97552fa52c1105b51967f4ccf2bde717b502605db1b5011
恶意域名:
a.dnspod.com
TOR 链接:
hxxp://gdcbghvjyqy7jclk.onion.top/259a4fdc3766943
hxxp:// gdcbghvjyqy7jclk.onion.casa/259a4fdc3766943
hxxp://gdcbghvjyqy7jclk.onion.guide/259a4fdc3766943
勒索软件添加的文件扩展名:
.GDCB
注册表:
键: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE"
值: "Random value name on each execution"
物理位置:

%appdata% \Microsoft文件夹中,文件名随机

结论
建议用户应用IOC详细信息设置警报以防止感染。另外,用户在收到不明用户的附件时应时刻谨慎。

本文翻译自:https://www.lmntrix.com/Lab/MobileLab_info.php?id=94
如若转载,请注明原文地址: http://www.4hou.com/technology/10271.html

本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

发表评论