歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

威脅情報:揭密全球最大勒索病毒GandCrab的接班人

來源:本站整理 作者:佚名 時間:2019-06-18 TAG: 我要投稿

前面文章講述了GandCrab勒索病毒狂賺20億的故事,從6月1號GandCrab勒索病毒運營團隊宣布停止更新之后,過去了快半個月,確實沒有再發現GandCrab新的版本出現,然而有一款跟GandCrab使用相同的傳播渠道的勒索病毒卻在最近一段時間非常活躍,那就是Sodinokibi
國內最早發現Sodinokibi是在4月份,勒索病毒運行之后中毒現象,如下所示:

 
核心技術剖析
對樣本進行詳細分析,Sodinokibi的樣本都使用了大量的代碼混淆加密的方式,勒索病毒核心代碼被一層外殼代碼加密包裹,在內存中解密執行,如下所示:

動態跟蹤分析,我提取出樣本中勒索加密的核心Payload代碼,然后對核心的Payload代碼進行調試,在調試的過程中,我發現這款勒索跟之前GandCrab勒索病毒部分功能比較相似,有一種似曾相似的感覺,該勒索病毒主要的功能函數,如下所示:

該勒索病毒同樣會將加密的一些密鑰信息存儲在注冊表中,如下所示:

獲取主機的相關信息,如下所示:

在內存中解密出大量的域名,我提取了幾百個內存解密出來的域名信息,用這些域名拼接URL,與GandCrab勒索病毒使用的拼接技術一樣,如下所示:

從樣本逆向分析的角度,可以找到與GandCrab勒索病毒的一些相似的關聯信息,分析完這款勒索病毒,我的感覺就是這款勒索病毒作者應該是有GandCrab勒索病毒的一部分源碼或借鑒了GandCrab勒索病毒的一些技術……
在分析樣本的時候,我有一點預感,覺得這個樣本后面應該會比較流行,可能是一種職業的嗅覺,之前我分析過很多勒索病毒家族,修改桌面背景的流行的勒索病毒家族并不多,像之前的GandCrab和Shade勒索病毒等
 
溯源關聯分析
通過溯源,可以找了一個VBS腳本,如下所示:

分析腳本中發現一個惡意服務器IP地址188.166.74.218,通過VT平臺進行關聯分析,該服務器從4月份,還在一直傳播GandCrab勒索病毒,如下所示:

通過病毒樣本的HASH值,在VT上查詢到樣本的相關信息,如下所示:

可以看到樣本最早是4月26號被人上傳到VT平臺分析的,通過威脅情報IP地址關聯,我還關聯到了云安全服務提供商AlertLogic在4月23號發布的相關的分析報告,如下所示:

該報告指出黑客利用Confluence的安全漏洞傳播GandCrab勒索病毒,可以得出在4月23號之前這個惡意服務器還在傳播GandCrab,然而到了4月26號就開始傳播Sodinokibi勒索病毒,然后就有企業感染了Sodinokibi勒索病毒,并將樣本上傳到了VT上,可見黑產的更新速度之快
 
威脅情報追蹤
4月26號,國外某社交網站,Cyber Security公布了一款新型的勒索病毒Sodinokibi,這也是這款勒索病毒首次公布出來,如下所示:

(猜測之前VT上的樣本是不是也是Cyber Security上傳上去的?哈哈哈哈)
4月27號,Cyber Security又在社交網站發布了這款勒索病毒的攻擊感染視頻,如下所示:

4月28號,深信服千里目安全實驗室在國內發布了第一篇關于Sodinokibi勒索病毒的相關詳細分析報告,取名為GandCrab的“藍屏”變種勒索病毒,如下所示:

4月29號,Cyber Security在社交網站公布了VT樣本的下載地址,如下所示:

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视