警惕“俠盜”團伙利用新型漏洞傳播GandCrab勒索“藍屏”變種
背景概述
近日,深信服安全團隊捕獲到利用Confluence新型漏洞傳播勒索病毒的事件,已有政企機構受到攻擊,黑客團伙通過漏洞利用入侵伺服器,上傳Downloader指令碼檔案,連線C&C端下載執行勒索病毒。通過樣本中提取的IP進行關聯,該攻擊事件與利用Confluence漏洞(CVE-2019-3396)傳播GandCrab勒索病毒攻擊事件有密切的關聯。
經深信服安全團隊分析,該勒索病毒在功能程式碼結構上與“俠盜”病毒GandCrab非常相似,同時應用了多種反除錯和混淆方式,進行除錯時會導致主機藍屏,且似乎還處於不斷除錯的階段,與“俠盜”團隊有很大關聯,確認是GandCrab勒索病毒最新變種。該勒索病毒使用RSA+AES演算法進行加密,加密檔案後會使用隨機字串作為字尾,且更換螢幕為深藍背景的Imagetext,具體勒索特徵如下:
釋放勒索資訊檔案“加密字尾-readme.txt”:
排查過程
1. 排查被加密的伺服器,通過修改日期,發現檔案在4.27日五點五十左右被加密:
2. 排查病毒檔案,發現在temp目錄和IE快取目錄下存在勒索病毒檔案:
3. 排查到用於下載勒索病毒檔案的vbs指令碼,檔名為poc.vbs經過檢查確定是針對confluence最新漏洞的poc,屬於手動投毒:
4. 病毒檔案確認,加密現象與遭到攻擊的伺服器相同:
威脅情報關聯
1. 通過雜湊搜尋,Virustotal上該病毒檔案的上傳時間就在近日,且通過加密現象來看屬於一種新的勒索病毒變種:
2. 通過病毒下載連結中的IP(188[.]166[.]74[.]218)進行威脅情報關聯,該C&C端近日被用於下載惡意檔案:
3. 該IP還關聯到通過Confluence漏洞(CVE-2019-3396)傳播CandCrab勒索病毒的相關事件,連結如下:
由此可見,該攻擊者(團伙)近期活躍頻繁,且慣用手法是利用新型漏洞傳播勒索病毒,入侵使用者終端,並且疑似在開發新型的勒索病毒家族變種。
病毒詳細分析
1. 樣本母體使用各種加密操作,如下所示:
2. 解密出第一層Payload程式碼,如下所示:
3. 解密出勒索核心Payload程式碼,如下所示:
4. 建立互斥變數,如下所示:
5. 在記憶體中解密出勒索相關資訊,如下所示:
6. 提升程序許可權,如下所示:
7. 記憶體中解密出勒索資訊文字,如下所示:
8. 生成隨機勒索資訊文字檔名:[隨機數字字串]+[-readme.txt],如下所示:
9. 獲取鍵盤佈局,如下所示:
如果為以下區域,則退出程式,如下所示:
對應的相應區域,如下所示:
序號 | 簡稱 | 英文名稱 | 中文名稱 |
---|---|---|---|
18 | ko | Korean | 朝鮮語 |
19 | nl | Dutch | 荷蘭語 |
20 | no | Norwegian | 挪威語 |
21 | pl | Polish | 波蘭語 |
22 | pt | Portuguese | 葡萄牙語 |
24 | ro | Romanian | 羅馬尼亞語 |
25 | ru | Russian | 俄語 |
26 | hr | Croatian | 克羅埃西亞語 |
27 | sk | Slovak | 斯洛伐克語 |
28 | sq | Albanian | 阿爾巴尼亞語 |
29 | sv | Swedish | 瑞典語 |
30 | th | Thai | 泰語 |
31 | tr | Turkish | 土耳其語 |
32 | ur | Urdu | 烏爾都語 |
33 | id | Indonesian | 印度尼西亞語 |
34 | uk | Ukrainian | 烏克蘭語 |
35 | be | Belarusian | 白俄羅斯語 |
36 | sl | Slovenian | 斯洛維尼亞語 |
37 | et | Estonian | 愛沙尼亞語 |
38 | lv | Latvian | 拉脫維亞語 |
39 | lt | Lithuanian | 立陶宛語 |
41 | fa | Persian | 波斯語 |
42 | vi | Vietnamese | 越南語 |
43 | hy | Armenian | 亞美尼亞語 |
44 | az | Azeri | 阿澤里語 |
10. 遍歷程序,結束mysql.exe程序,如下所示:
11. 通過cmd.exe執行相應的命令,刪除磁碟卷影,如下所示:
12. 遍歷磁碟檔案目錄,如下所示:
13. 遍歷共享檔案目錄,如下所示:
14. 遍歷磁碟檔案,如下所示:
15. 加密檔案,使用RSA+AES演算法進行加密,如下所示:
16. 生成勒索資訊桌面圖片,更改桌面背景圖片,如下所示:
17. 從記憶體中解密出來的域名列表中,選取一個然後進行URL拼接,如下所示:
相應的域名列表,如下所示:
sochi-okna23.ru;<a href="http://www.blavait.fr">www.blavait.fr</a>;kamin-somnium.de;geoweb.software;<a href="http://www.drbrianhweeks.com">www.drbrianhweeks.com</a>;kombi-dress.com;johnkoen.com;prodentalblue.com;transifer.fr;matteoruzzaofficial.com;jax-interim-and-projectmanagement.com;hawaiisteelbuilding.com; <a href="http://www.kausette.com">www.kausette.com</a>;<a href="http://www.galaniuklaw.com">www.galaniuklaw.com</a>;<a href="http://www.atma.nl">www.atma.nl</a>;<a href="http://www.piestar.com">www.piestar.com</a>;<a href="http://www.kerstliedjeszingen.nl">www.kerstliedjeszingen.nl</a>;biodentify.ai;endlessrealms.net;condormobile.fr; <a href="http://www.cxcompany.com">www.cxcompany.com</a>等(此處省略N多字...)
18. 拼接出來的URL,然後傳送相應的資料,如下所示:
主機相關資料,如下所示:
傳送相應的HTTP請求,如下所示:
解決方案
針對已經出現勒索現象的使用者,由於暫時沒有解密工具,建議儘快對感染主機進行斷網隔離。深信服提醒廣大使用者儘快做好病毒檢測與防禦措施,防範該病毒家族的勒索攻擊。
病毒檢測查殺
1、深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺。
64位系統下載連結: http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載連結: http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
病毒防禦
深信服安全團隊再次提醒廣大使用者,勒索病毒以防為主,目前大部分勒索病毒加密後的檔案都無法解密,注意日常防範措施:
1、及時給電腦打補丁,修補漏洞。
2、對重要的資料檔案定期進行非本地備份。
3、升級Confluence版本:
版本6.6.12及更高版本的6.6.x.
版本6.12.3及更高版本的6.12.x
版本6.13.3及更高版本的6.13.x
版本6.14.2及更高版本
4、主動升級widgetconnector-3.1.3.jar到 widgetconnector-3.1.4.jar。
*本文作者:深信服千里目安全實驗室,轉載請註明來自FreeBuf.COM